최근 보안 시장의 가장 큰 테마는 UTM (Unified Threat Management)을 목표로 내세운 다기능, 고성능의 통합보안이다. UTM은 기존 10여 년의 보안 시장을 총 망라하여 방화벽, 가상사설망(VPN), 침입탐지시스템 및 침입방지시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위한 통합보안솔루션으로서 시장에서 지금까지 진화를 거듭해오며 서서히 성장해왔다. UTM은 향후 대형 사이트에서 복잡해지는 보안기기에 대한 관리의 어려움과 성능적인 이슈를 복합적으로 처리하여 주력 보안솔루션으로 자리매김할 것이며 보안 시장에서 대표적인 통합보안 장비로 공급될 전망이다. 이번 호에서는 점점 더 다양하게 증가하고 있는 복합적인 보안위협 요소를 효율적으로 방어하기 위해 진화를 거듭하고 있는 통합보안솔루션 ‘UTM’의 기술동향과 시장을 살펴본다. 또한 이러한 UTM을 활용한 비용절감과 보안강화 등의 도입 성공사례를 통해 효율적이고 강력한 통합보안솔루션이 필요한 대기업과 중소기업, 그리고 각 기관 등에 효율적인 UTM 솔루션 도입과 이에 대한 가이드라인을 제시한다.

최근 보안 시장의 가장 큰 테마는 UTM(Unified Threat Management)을 목표로 내세운 다기능, 고성능의 통합보안이다. UTM이 사용자의 요구사항을 충분히 만족시키는 고성능의 장비로 발전한다면 더 이상의 보안 장비는 없을 것이라는 견해도 있다. 즉 그만큼 UTM은 미래 차세대 통합보안 장비로 꼽힌다.

IT환경이 변하고 시대가 변할수록 금적적인 이익을 위한 사이버 위협과 공격은 점점 더 지능화·다양해지고 있으며 이러한 복잡한 공격들은 보안담당자들에게 방어를 더욱 어렵게 만든다. 이에 대응하기 위해서 기업의 보안담당자들은 다양한 보안 솔루션을 도입해 방어해왔다. 하지만 이렇게 도입된 다양한 보안 솔루션들은 보안투자비용의 상승과 관리상의 문제점 등으로 효율적인 보안을 담보하지 못했다. 그런데 통합은 이러한 문제들을 해결하고 관리, 비용 등의 총제적인 측면에서 많은 이점을 가지고 있기 때문에 시장에서는 이미 기술적 진화를 거친 고성능 UTM에 대한 요구가 증가하고 있었고 최근 다시 주목을 받고 있다.

UTM은 기존 10여 년의 보안 시장을 총 망라하여 방화벽, 가상사설망(VPN), 침입탐지시스템 및 침입방지시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위한 통합보안솔루션으로서 서서히 성장해왔다. 향후에는 대형 사이트에서 복잡해지는 보안기기에 대한 관리의 어려움과 성능적인 이슈를 복합적으로 처리하여 주력 보안솔루션으로 자리매김할 것이며 보안 시장에서 대표적인 통합보안 장비로 공급될 전망이다.

특히 대형 사이트에서는 복잡해지는 보안기기에 대한 관리의 어려움과 성능적인 이슈를 복합적으로 처리하여 주력 보안 제품으로 자리매김할 것이며 비용대비 효율성을 중요시하고 보안인력이 부족한 중소기업에서도 비용절감과 관리의 편리성 등의 이점 때문에 단연 인기를 끌 것으로 전망된다.

통합보안, 비용절감·효율성이 장점

UTM의 도입은 고가의 Point Solution을 구입할 필요가 없기 때문에 구축 및 운용에 있어 상당한 비용절감 효과를 가져온다는 것이 가장 큰 장점이다. 즉 방화벽 외에 별도의 IPS, 안티스팸 게이트웨이, 안티바이러스 게이트웨이 등의 솔루션을 도입하려면 어마어마한 초기 구축비용이 소요될 뿐만 아니라, 각 솔루션 별 유지보수 계약을 별도로 체결하고 이에 더하여 별도의 유지보수 비용과 관리 인력을 책정하여 운영해야 하는 매우 비효율적인 상황이 발생할 수 도 있다.

기업의 보안정책에 의해 고비용 구조임에도 반드시 포인트 솔루션을 도입해야하는 기업이 아니라면 UTM은 기업에 강력한 비용절감 효과를 제공한다. 유명호 안철수연구소 제품기획팀 과장은 “UTM은 우선 Firewall-based Security를 포함한 다양한 보안위협에 효과적으로 대응할 수 있다. 보안의 기본 인프라는 Gateway단에서 내·외부로 흐르는 트래픽의 기본적인 통제를 해주는 방화벽이라고 할 수 있는데 방화벽은 정해진 내부 보안정책에 따라 합법적인 접근과 불법적인 접근을 구분하고 불법적인 접근에 대한 효과적인 접근 제어를 목적으로 하고 있다”고 말했다.

이어서 그는 “하지만 합법적인 접근 내에 숨어 있는 비정상적인 보안위협은 방어할 수 없다는 한계를 가지고 있다. 이러한 합법적인 트래픽 내에 숨어있는 악성코드나 네트워크 기반의 공격을 방어하기 위해 나온 솔루션들이 IDPS(Intrusion Detection & Prevention System) / Anti-Virus / Contents Filtering System(Anti-Spam, 웹사이트 필터링) / DDoS 방어 시스템 등이 있는데 UTM은 방화벽 기반 위에 상기의 다양한 보안 기능들이 유기적으로 결합되어 보다 진보된 네트워크 보안을 제공한다”고 말했다.

한 예로 최근 화두가 되고 있는 웹 취약점을 활용하여 내부정보 또는 사용자 계정을 탈취하는 SQL Injection 해킹은 방화벽만으로는 막을 수 없다. 그러나 UTM은 IPS Signatures에 SQL Injection 공격기법의 패턴을 보유하고 있어 효율적인 방어를 제공할 수 있다는 것. 또 일부 진화된 UTM 솔루션은 IPS Signature 기반의 (D)DoS 방어 기능에 더하여 별도의 DDoS 방어 엔진을 보유해 다양한 종류의 DDoS 공격에 효과적으로 대응할 수 있다는 것이 그의 설명이다.

또한 박재경 어울림정보기술 개발실장은 “UTM의 가장 큰 장점은 하나의 장비에 여러 보안 기능이 함께 동작하므로 여러 장비를 사용하지 않아도 되므로 관리적인 측면과 경제적인 측면에서 보안 시장을 주도할 것”이라고 말했다. 그리고 그는 “대부분의 보안 담당자들이 평가하는 UTM은 진화된 형태의 IPS로 인식하고 있으므로 UTM의 가장 핵심적인 기술은 무엇보다도 IPS(Intrusion Prevention System) 기능이라고 할 수 있다”고 덧붙였다.

그는 IPS 기능은 단순 알려진 위협만을 처리하는 것이 아니라 알려지지 않은 위협에 대해서도 대응해야 하므로 자가 학습을 통한 이상징후(Anomaly) 판단이 필수적인 요소라는 것.

또한 그는 “이는 패킷 레벨에서부터 응용 레벨에 이르기까지 탐지영역을 확대하여 제공되어져야 하는데 UTM에서의 성능 지표는 이러한 IPS 핵심기술을 어떻게 지원하느냐에 달려 있다고 해도 과언이 아니다”고 말했다.

이와 함께 한승수 체크포인트코리아 보안컨설턴트도 UTM에 대한 목표와 정의를 언급하면서 “UTM이 목표하는 바는 보안위협이 점차 다양해지고 복합적이 되더라도 보안솔루션은 단순해져야 한다는 것”이라며 “그렇기에 UTM은 여러 포인트 솔루션들의 기능을 하나의 물리적 어플라이언스로 통합하여 제공한다. 그러나 절대로 간과해서는 안되는 것은 바로 개개의 보안기능, 기능의 통합, 관리의 통합이 담보되어야 한다는 것”이라고 강조했다.

이는 비록 UTM의 개념과 전망이 의미가 있더라도 모든 UTM 제품이 그 전망을 만족시킬 수 있는 능력이 있는 것이 아니기 때문이라는 것을 의미한다. 아울러 그는 “UTM은 여러 보안기능을 하나의 솔루션으로 제공하지만 모든 보안이슈에 대응할 수 있는 것은 아니며 다른 모든 보안통제가 필요 없어지는 것 또한 아니다”라고 덧붙여 말했다.

마지막으로 한승수 컨설턴트가 말하는 비용효율성과 보안성이 높은 UTM이 되기 위한 조건으로는 ‘여러 보안기능들이 어떻게 통합되고 단일화되어 있는가, 그리고 그것들이 어떻게 통합관리되는가’이다. 그리고 개개의 보안기능에 있어서 최상의 소프트웨어 사용, 개개의 보안 서비스간 통합·정책관리·이벤트관리·로깅·리포팅 등의 관리기능의 통합 제공, 극단적인 상황에서도 모든 서비스 작동 보장, 필수적인 보안기능인 방화벽·VPN·IPS·안티바이러스·스팸메일 차단·웹 보안 기능 등이 제공되어야 한다고 것이다. 즉 이러한 것들을 모두 충족시켜야 효율성 높은 고성능의 UTM이라고 말할 수 있다고 덧붙였다.

한편 현재 기관망 및 대형 사이트의 대역폭은 1G에서 10G로 확대된 상황이므로 기존의 1G급의 장비로 현재의 네트워크를 대처하는 것은 많은 비용과 관리적인 어려움이 있는 것이 사실이다. 따라서 이러한 대형 사이트를 대처하기 위해 보안 업계에서는 최근 2~3년간 10G 이상 급의 보안장비를 개발해 왔으며 이러한 장비에 UTM을 탑재하는 마무리 단계에 있는 업체들도 많이 있다. 하지만 기존의 방식을 고수하면서 10G의 네트워크 대역폭에 맞는 보안장비를 개발한다는 것은 매우 어려운 일로 아직까지 몇몇 업체들만이 10G 이상의 대역폭을 갖는 UTM을 출시했다. 하지만 향후에는 더 많은 업체들이 10G 이상의 UTM 솔루션을 개발·출시할 전망이다.

차세대 UTM으로 진화

UTM이 출시된 이후 기업의 네트워크 환경은 급속도로 변모하고 있다. VoIP, 인스턴트 메시징, P2P 등 새로운 애플리케이션이 빠르게 확산되고 있으며 암호화된 트래픽을 전송하는 HTTPS 프로토콜이 보안 강화를 위해 활용되고 있다. 취미활동으로 시작된 해킹은 점차 금전적인 목적을 갖고 거대 기업형으로 변하고 있으며 사용자 PC는 자신도 모르게 봇넷(BotNet)으로 악용되면서 공격에 가담하고 있다.

또 사용자 환경, 공격 패턴이 모두 복잡·다단해지면서 단독형 보안 제품으로는 이에 효과적으로 대응하기 어려운 상태이다. 새로운 공격형태가 발견될 때마다 새로운 보안 제품을 추가로 구입할 수는 없기 때문이다. 이에 따라 더 많은 보안 기능을 더 많이 통합해야 할 필요성이 점점 더 부각되고 있다.

이에 따라 UTM은 고성능의 하드웨어 기술의 발전과 더불어 계속 진화하고 있다. UTM은 다양한 방어 메커니즘을 제공함에 따라 개별 보안 솔루션에 비해 성능이 떨어질 것이라는 우려가 있다. 하지만 이러한 부정적인 이미지를 불식시키기 위해 UTM 업체별로 다양한 고성능 하드웨어 기술을 도입하고 있다. 그리고 최근에는 앞으로 등장할 미래형 보안위협에 대응할 수 있는 차세대 UTM, 즉 확장형 위협관리 솔루션인 ‘XTM’ 제품도 등장하게 됐다.

IDC는 XTM이라는 용어를 새롭게 정의하면서 ‘네트워크 보안의 미래’라고 소개했다. IDC 연구원 챨스 콜로디(Charles Kolody)는 “XTM 플랫폼은 보안 기능과 네트워킹 역량, 관리 유연성을 대폭 확장하여 전통적인 보안 경계를 허물고 네트워크 보안을 새롭게 정의한다” 고 설명한다. eXtensible Threat Management의 약자인 XTM은 ‘확장’을 뜻하는 X, 알려지지 않은 미지수 ‘x’를 의미하면서 향후 미래형 위협에 대해서도 적극적인 대응이 가능하다는 점을 강조한다.

이와 관련해서 한승수 체크포인트코리아 보안컨설턴트는 “최근 보안 시스템을 연구하는 단체들에서 3세대 UTM인 XTM(eXtensible Threat Management)의 개념을 도입했다. 이 XTM의 조건으로는 기존 보안기능에 덧붙여서 새로운 위협에 대한 대응을 위해 실시간 업데이트 가능, 중앙집중화된 단일 콘솔을 통해 강력한 관리기능(통합로깅, 통합리포팅, 이벤트 상관관계 분석 등)의 제공, 네트워크 트래픽 컨트롤 가능, 취약성 관리기능 제공, 도입 비용 보호를 위한 유연성 제공 등이 제시된다”고 말했다.

체크포인트코리아는 최근 XTM 규격을 만족하는 보안아키텍처인 소프트웨어 블레이드 아키텍처를 개발했다. 이는 기업의 규모와 보안 요구에 맞게 각각의 블레이드를 유연하게 구성할 수 있다. 즉 사용자는 현재의 보안 요구에 필요한 블레이드만을 선택적으로 구입 및 설치할 수 있고 향후 새로운 보안요구가 생겼을 때 필요한 블레이드를 추가로 설치할 수 있다. 이때 별도의 하드웨어 없이 기존 하드웨어에 추가하여 설치할 수 있다.

또한 멀티코어 프로세스의 각 코어를 하나의 프로세서로 가정해 보안 기능을 할당할 수 있고 유휴 코어를 활용하는 로드밸런싱 등이 가능해 장비의 성능을 극대화해 향후 UTM과 같은 통합 솔루션의 성능 향상을 기대할 수 있다는 것이다. 

또한 유명호 안철수연구소 제품기획팀 과장은 고성능 UTM 기술에 대해서 “대표적인 하드웨어 기술로는 NP(Network  Processor)나 Multi-Core 플랫폼, ASIC 전용 칩셋 등을 들 수 있다”며 “실제로 글로벌 업체들을 중심으로 방화벽 단독 성능 기준 수십 기가비트의 동시 트래픽을 처리하거나 IPS 동시 구동 성능 기준 수 기가비트의 동시 트래픽을 처리할 수 있는 모델들이 상용화 되어 있다”고 설명했다. 또한 그는 국내 업체들도 Real 10G 수준은 아니지만 방화벽 단독 성능 기준의 멀티기가 급 트래픽을 처리할 수 있는 모델들을 출시하고 있다고 덧붙였다. 특히 안철수연구소는 UTM 솔루션 중 유일하게 DDoS 전용방어 엔진을 탑재하고 있어 DDoS 전용 솔루션이 커버할 수 없는 중대형 DDoS 시장에서 선전하고 있으며 자사 대표 브랜드인 V3와의 연동을 통한 사용자 제어와 악성코드 확산방지 기능을 통해 NAC 시장에서도 적지 않은 성과를 보이고 있다.

아울러 워치가드코리아도 최근 확장형 위협관리(eXtensible Threat Management) 네트워크 보안 장비인 ‘XTM 1050’을 발표했다. 이번 발표한 XTM은 기존의 방화벽에 안티스팸·게이트웨이 안티 바이러스·IPS(침입방지 시스템)·URL 필터링 등을 통합한 UTM(통합위협관리) 제품군에 더욱 다양한 보안기능과 네트워킹 기능을 추가하고 관리 기능을 대폭 향상시켰다. 워치가드의 이번 신제품은 기존의 방화벽과 통합위협관리 솔루션에 엔터프라이즈급 성능, 강력한 연결 옵션, HTTPS와 VoIP 보안, 인스턴트 메시징 및 P2P 애플리케이션 블로킹 등 혁신적인 기능을 추가하여 네트워크를 강력하게 보호한다. 또한 클러스터링, 로드 밸런싱 등 첨단 네트워킹 기능은 물론 역할기반 액세스 컨트롤 (RBAC), 중앙집중형 멀티박스 관리 기능을 갖추었으며 리포팅 기능도 대폭 향상시켰다.

국내 UTM시장 올해 4% 성장 예상

조기발주로 인해 올 전반기 통합보안솔루션(UTM)시장은 작년에 이어 꾸준한 성과를 올린 것으로 나타났다. 특히 공공기관과 중소기업을 대상으로 한 성과가 이를 뒷받침한 것으로 전해지고 있다. UTM 시장 규모는 작년 327억으로 2007년 313억에 비해 4.4% 성장했으며 올해에도 4% 성장할 수 있을 것으로 예상되고 있다. 전 세계적으로 본다면 UTM 시장규모는 작년에만 20% 성장한 것으로 알려졌으며 올해도 이와 비슷할 것으로 업계는 전망하고 있다.

IDC의 자료에 의하면 2009년 Global UTM 시장의 규모는 전통적인 방화벽/VPN 시장을 넘어 설 것으로 예측하고 있다. 유명호 안철수연구소 제품기획팀 과장은 “이러한 흐름을 타고 기존 네트워크 보안 시장의 강자였던 체크포인트, 주니퍼, 시스코 등도 앞다퉈 UTM 솔루션을 출시했고 Stand-alone 솔루션과 UTM 솔루션을 병행하는 전략으로 나가고 있다”거 설명했다.

또한 그는 글로벌 시장에서 UTM은 전용 솔루션이 장악하고 있는 High-end 대형고객 시장진입에 모든 역량을 쏟고 있다. 포티넷, Cross Beam 등 High-end UTM 분야의 선두업체들은 방화벽 성능 기준 수십 기가의 처리량을 낼 수 있는 UTM을 앞세워 대형기업, 은행권 등을 공략하고 있다고 덧붙였다.

그리고 ATCA(Advanced Telecom Computing Architecture) 기반의 블레이드 타입 하드웨어뿐만 아니라 멀티코어 기반 고성능 하드웨어 및 ASIC 기반 전용 칩셋 등을 활용하여 기존 UTM에서 가지고 있던 성능 저하 이미지를 탈피하기 위한 노력들이 조금씩 성과를 거두면서 대형고객 방화벽/IPS 시장에서 적지 않은 매출을 올리고 있다.

한편 국내에서는 UTM이 중소·중견기업(SMB)를 대상으로 하는 솔루션으로 인식되고 있어 올해에는 많은 UTM업체들이 이에 대한 인식전환을 위해 많은 노력을 기울이고 있다. 우리나라의 UTM 솔루션은 대부분 방화벽이나 VPN, IPS 기반으로 통합솔루션 형태로 변화했기 때문에 다른 보안기능에 대해서는 신뢰도가 부족해 SMB용으로 인식됐던 상황이다. 하지만 올해 들어 여러 보안업체들이 캐리어급 네트워킹 지원과 UTM솔루션의 기능을 보강한 엔터프라이즈급 솔루션으로 체질변환을 시도하고 있다.

올해 UTM시장은 공공기관과 중소기업에 타깃팅 돼 있다. 특히 하반기에는 많은 UTM업체들이 교육망 사업에 집중하고 있는 경향을 보이고 있다. 특히 시군구 단위 교육청 산하 교육망의 경우 CC인증 없이 구축이 가능한 사례가 많이 이를 중점적으로 공략하는 업체가 늘어가고 있다.

반면 금융과 기업시장에서는 UTM에 대한 수요가 크지 않다는 것이 업계의 의견이다. 경기 침체로 인해 기업들과 금융업계의 투자가 위축되고 있기 때문. 하지만 하반기에 접어들어 시간이 갈수록  위축됐던 투자에 대한 부담이 해소되면서 약간의 수요가 추가적으로 발생할 수 있을 것으로 기대하고 있다.

일부 업체들은 신제품 출시와 아울러 CC인증 획득을 통한 성과를 기대하고 있다. 넥스지의 경우 9월 달에 CC인증 획득할 것으로 예상돼 공공시장과 제1금융권에 대한 본격적인 마케팅에 돌입할 것이라고 담당자들은 이야기한다. 정보보호기술의 경우, UTM 최신 버전인 5.0버전에 CC인증을 신청해놓은 상태로 현재 반응이 좋은 KMS기반 영업을 더욱 강화할 방침이다. 

아울러 올해를 해외시장 진출의 기반을 삼는 UTM업체도 눈에 띈다. 시큐아이닷컴의 경우, 일본시장 진출에 대한 기반이 마련됐다고 보고 본격적인 마케팅을 실시할 것으로 알려지고 있다. 특히 일본시장에서 외국 업체에 대한 평가가 엇갈려 이로 인한 틈새시장을 공략한다는 전략이다. 외국 UTM 업체들은 아직 국내 업체들이 기반을 닦지 못한 엔터프라이즈 시장에서 나쁘지 않은 성과를 올린 것으로 전해졌다. 특히 올해에는 국내 대형 SI업체들과 연계한 마케팅에 주력하고 있는 것으로 나타났다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>