| [기획특집]UTM 2.0(XTM), UTM의 진화인가? | 2009.08.14 |
[특집] UTM 2.0(XTM)은 UTM의 확장가능성을 의미
지금까지 다양한 IT 분야를 비롯, 심지어 보안 솔루션업체 종사자들에게 조차 UTM은 쉽게 ‘통합보안장비’라는 용어로 인식되어 왔다. 심지어 UTM 솔루션 벤더마저 UTM 성숙기 이전의 초기 제품을 사용하거나 혹은 일부 사용자의 단편적인 지식에 의해 그 근본 개념이 오류를 범하고 있다. 사실 UTM이란 이니셜에서 알 수 있듯이 ‘Unified Threat Management’, 즉 ‘통합위협관리’라는 의미이다. 그러한 개념을 단순히 네트워크 분야의 보안장비로만 국한시켜 본래 광의적 의미를 축소, 왜곡시킨 셈이다. UTM을 처음 접하는 독자라면 좀 난해하겠지만 이 UTM의 개념을 크게 두 가지로 분리해보면 ‘Unified Security(통합 보안)’ 와 ‘Unified Management(통합 관리)’로 나누어 생각해 보면 좀 더 이해가 쉽다. Unified Security(통합 보안) 과거 우리는 IDS(침입탐지시스템)로부터 IPS(침입방지시스템)가 탄생한 네트워크 침입에 대한 수동적인 모니터링이 아닌 방화벽과 연동-결합시켜 능동적인 방어가 가능한 IPS(Intrusion Protection System)로의 보안 패러다임 발전을 경험했다. 같은 맥락으로 연결 보안, 네트워크 보안, 콘텐츠 보안, 애플리케이션 보안, 인증/라우팅 기능 등을 연동-결합시켜 멀티 보안 기능을 보유한 것이 바로 UTM 솔루션이다. 더군다나 요즘은 콘텐츠에 대한 보안이 피해 규모와 전파속도 측면에서 가장 위협적이므로 통합 보안의 또 다른 핵심기술로 정의되고 있다. 또한 제로데이(Zero-Day) 공격을 유발하는 맬웨어의 발 빠른 대응능력(글로벌 위협대응센터)과 이를 재빨리 분석하여 자동으로 UTM에 제공시킬 수 있는 기술 또한 UTM벤더의 핵심 요건이라 하겠다. 따라서 첫 번째 개념인 Unified Security(통합 보안)의 핵심은 세 가지 즉, 멀티 보안, 콘텐츠 보안 기술, 단일화된 글로벌 통합위협대응센터로 요약할 수 있다. Unified Management(통합 관리) 서로 다른 포인트 보안솔루션을 단순히 일렬로 연결한 형태가 아니라, 하나의 엔진과 UI(User Interface)로서 멀티 보안 기능들에 대해 모듈 간의 협력을 강조하는 연계성을 갖춘 시스템을 통합 관리(Unified Management)라고 한다. 이러한 연계성은 다양한 보안기능이 있는 UTM의 보안 성능을 극대화 시켜주는 하드웨어기반 ASIC 기술의 백그라운드일 뿐만 아니라, 관리자와 사용자의 보안 정책 또는 인증 정책을 구현함에 있어 일관성과 통일성을 갖도록 한다. 또한 사후관리 측면에서 서로 다른 기능에서의 이벤트와 로그들을 의미 있는 데이터로 통합 관리하는 포렌식(Forensic), 이벤트 상관관계(Event Correlation), 위협 관리(Threat Management)를 뛰어난 효율을 발휘하여 수행한다. 더불어 강한 연계성을 갖는 시스템과 그렇지 않은 시스템과의 차이점은 보안 원천기술 보유의 유무 여부에 따라 결정된다. 보안 정책구현의 일관성과 유지보수 및 라이센스 문제도 단일화되어 결국 하드웨어 기반 ASIC으로 성능 가속을 구현한 것이 UTM이다. UTM 출현 배경과 특징 기술적 측면 IT 기술이 발전함에 따라 보안 위험도 높아져 이에 대한 보안 기술도 함께 발전하게 된다. 현재의 보안 기술은 최신 공격인 피싱(Phishing)과 파밍(Pharming)에 대응할 만큼 과거엔 상상하지 못할 다각도의 발전을 하였지만, 그 역사는 그리 길지 않다. 다양한 애플리케이션 서비스가 발전함에 따라 콘텐츠 기반의 보안이 중시되었고 스팸메일을 통해 피싱과 파밍 그리고 바이러스를 유포, 이처럼 혼잡하고 다양화된 보안위협의 등장은 포인트 보안솔루션으로 대응이 불가능해짐에 따라 점차 통합된 보안솔루션을 요구하게 되었다. 과거 포인트 장비에서만 가능했던 성능이 이제는 복합기능을 처리하면서도 고성능을 발휘하는 ASIC기술에 의해 충분히 제공할 수 있게 되었다. 게다가 글로벌 통합위협관리센터의 등장은 하나의 센터에서 전 세계에 포진한 글로벌 연구팀을 통해 분야별 보안위협을 공동 연구하여 공통의 대응 매커니즘을 개발하기에 이르렀다. 금전적 측면 UTM은 다수의 포인트 솔루션을 운영/관리하는데 필요한 인력과 비용을 하드웨어 및 소프트웨어의 증가 없이 단일 포인트에 모든 복합기능을 수용하여 비용절감의 혁신을 가져올 수 있었다. 세계 경기의 침체와 더불어 보안 IT 예산이 감소함에 따라 더 높은 TCO(Total Cost of Ownership)를 요구하는 시대적인 요구에 잘 부합한다. 즉 비용을 측정하는 두 가지 요소인 CapEx(Capital Expenditures : 구매, 관리, 유지보수비용)와 OpEx (Operational Expenditures : 관리, 유지, 갱신비용)에 대한 절감 효과가 뛰어나다. 게다가 UTM은 향후 보안 요구사항에 대한 충분한 확장 가능성도 보유하고 있다. 또한 다수의 UTM장비에서 제시하는 장비 라이선스 모델은 만족할 만한 금전적 혜택을 주기에 충분하다. 관리 및 환경적 측면 원 박스(One box)로 구현한 UTM은 데이터센터 내의 상면공간절약, 전력 절감과 같은 금전적 측면뿐만 아니라 관리 및 환경적 측면에서 고효율을 구현할 수 있다. 또한 에너지/전자파 감소, 전체 라이프 사이클(Life Cycle)에 따른 제조공정 단축, 통합화를 통한 구축과정의 케이블링과 재활용 대상의 감소와 같은 RoHS(Restriction of Hazardous Substances), WEEE(Waste Electrical and Electronic Equipment)와 같은 노력은 그린 IT, 즉 녹색성장과 친환경 자원절약의 노력을 통해 기업의 브랜드 가치를 높이는 효과를 거둘 수 있다 UTM 2.0(XTM)의 특징과 트랜드 UTM 2.0 : IT와 보안 기술의 흡수-통합(UTM 2.0) 지속
턴키(Turn-Key) 시스템 디자인 턴키 시스템 디자인은 조직의 비용효율성의 최대화를 보장하는 최적화된 디자인을 말한다. 이에 대한 세 가지 고수준의 요구사항은 턴키 시스템, 모듈성에 기반한 통합, 하드웨어 엔지니어링 기반을 말한다. ● 턴키 시스템 턴키 시스템이 되기 위해서는 UTM의 모든 구현요소들이 한 벤더에서 자체 제공되어야 한다. 이러한 패키지의 출발점은 하드웨어 제작, 보안 OS, 그리고 요구되는 모든 보안 소프트웨어를 갖추는 것이다. 하지만 완전한 턴키 시스템의 모습이 갖춰지기 위해서는 보안리서치센터, 보안 배포 서비스, 관리 및 기술지원 서비스가 필요하다. 모든 구성요소와 서비스는 단일의 원천이어야 하며 직접 제공되고 부담스러운 유저별 라이선스가 아닌 장치별 라이선스가 되어야 한다. Turn - Key System = 하드웨어 + 보안OS +보안 소프트웨어 +보안 리서치/배포 서비스 +관리/기술지원 서비스 ● 모듈성에 기반한 통합 두 번째 고수준의 요구사항은 모듈성에 기반한 통합 즉, 모듈성을 유지한 채 견고히 통합된 능력을 말한다. 어떻게 개발되었는지에 대한 이슈로 시작되는 요구사항이며 모듈성에 기반한 통합은 최적화된 성능, 개별 위협에서의 공통 대응, 높은 유연성과 최적화된 비용을 제공한다. ● 하드웨어 엔지니어링 세 번째 고수준의 요구사항은 하드웨어 설계시 엔지니어링이 반영된 것이다. 이 의미는 특정 보안 소프트웨어, 네트워킹 서비스와 이 두 가지를 시스템이 지원하는 시나리오가 잘 매치되어 충분한 성능을 보장하는 것이다. 즉, 주요 기능들을 PC나 서버 하드웨어와는 차별되는 하드-코딩 및 ASIC으로 구현하는 것이다.
가상화 기술의 발달 가상화 기술은 단일의 UTM장비와 동일한 보안능력을 갖는 가상의 다수 장비로 시스템 자원을 공유하며 다수의 네트워크 세그먼트에 독립적으로 할당하는 기술이다. 이 기술은 MSSP(Managed Security Service Provider)와 같이 집중화된 ISP 내에 고객별로 독립적인 운영관리가 필요한 경우뿐만 아니라, 조직 내 부서별로 독립적인 정책을 적용하고자 하는 엔터프라이즈 요구사항에도 적절한 솔루션이다. 또한 공간 및 비용절감을 구현하는 그린IT로의 징검다리 역할을 할 수 있는 기술이다. 보안 기술의 모듈화 PCI산업협회(www.picmg.org)의 ATCA 및 AMC(Advanced Mezzanine Card) 기술은 텔레콤 및 데이터 통신 분야의 요구를 공개 표준을 통해 처리하는 시스템 레벨의 아키텍쳐를 의미한다. 또한 서로 다른 공급업체의 하드웨어에 공통의 모듈을 삽입하여 사용할 수 있도록 만든 표준을 의미한다. 이러한 표준에 의해 만들어진 보안 모듈은 엔터프라이즈 시장에서 기존의 UTM 박스에 보안기능 모듈을 삽입하여 특정 포인트 솔루션으로서의 성능과 기능을 제공할 수 있도록 한다. 또한 섀시 기반의 ATCA 블레이드는 공통의 보안 블레이드 뿐만 아니라 개별 기능별 블레이드를 장착한 하나의 UTM 섀시로서 기반 기술을 제공한다. 보안관리 기술의 강화 그 동안 UTM솔루션은 보안자체의 방어기능만을 중시하여 체계적인 위협 대응책과 분석기능과 같은 위협 관리가 상대적으로 부족해왔다. 앞으로 컴플라이언스가 강화된 IT 환경에서는 로그나 레포트를 의무적으로 생성 및 저장하고 컴플라이언스에 적합한 자료를 위해 오디팅 및 분석, 개선 레포트가 자동적으로 제공되어야 한다. 이는 정보공유분석센터를 통해 공통의 체계적인 위협대책마련을 위한 토대가 되며 가까운 시일에 정책적으로 보다 더 강화될 것이다. 또한 올해 IDC 보고서에서도 UTM과 더불어 보안관리서비스 MSSP가 활성화 될 것을 예견하였듯이 이미 CPE (Customer Premises Equipment) 기반 UTM서비스는 KT, LG데이콤 등의 대형 ISP에서 VAN(Value Added Network)의 주요 부가서비스 상품으로 정착하였다. 하지만 원거리 운영관리 비용과 설치 이후 나타나는 하드웨어 문제에 대한 방문서비스, 장비 교체, 중앙집중 하드웨어관리 부재 등 높은 관리비용(OpEx)의 개선을 위한 노력은 가상화 기술인 클라우드 기반 서비스형 MSSP서비스가 급속도로 활성화될 것이다. UTM의 궁극적인 보안 목표 2002년 처음으로 출시된 UTM 제품은 그 동안 다수의 포인트 보안솔루션을 도입할 여력이 되지 않았던, 즉 보안이 상대적으로 취약한 중소기업의 전반적인 보안성을 높이는데 크게 기여해 왔다. 하지만 여전히 안티바이러스와 같은 콘텐츠 보안기능에서는 성능상의 이슈가 남아 있는데 이는 압축파일을 해제하여 파일 내부의 바이러스를 스캐닝하고 이를 다시 재조합하여 압축 발송하는 데 있어 많은 오버헤드가 요구되는 파일기반의 보안기능이기 때문이다. 2005년경 바이러스 월이라는 네트워크 기반의 안티바이러스 솔루션이 한때 유행한 적이 있다. 이 솔루션은 안티바이러스 소프트웨어 업체에서 개발한 네트워크형 안티바이러스 솔루션으로 네트워크 경계에서 사전 차단할 수 있다는 점에서 관심을 끌었으나 기간망의 와이어 성능을 낼 수 없는 분석 아키텍쳐에 기인해 지금은 시장에서 모습을 보기가 힘들다. 이와 같이 고성능 네트워크 안티바이러스 보안솔루션을 개발하는데 있어 여전히 한계가 있는 것처럼 UTM의 안티바이러스 보안기능이 그 이상의 성능 발휘를 기대한다는 것 자체가 무리라고 볼 수 있다. 반면 콘텐츠 보안에 대한 필요성을 인지하고 비용을 다소 감내한다면 HA 액티브-액티브 로드 밸런싱 기술이나 섀시 기반의 클러스터 구축은 훌륭한 워크어라운드(workaround)가 될 것이다. 이와 같이 외부와 내부의 위협으로부터 보호하기 위해 다양한 분야의 UTM이 존재하며 새로 출시되는 IT 솔루션에 대응하는 보안기술이 지속적으로 통합되어 궁극적으로 전체 IT 정보기술기반의 UTM구현을 목표로 하고 있다. 보안솔루션으로서의 UTM의 활용 UTM에 대한 일부 부정적 견해는 무엇보다 UTM기능을 모두 사용하면 성능이 떨어진다는 편견이다. 하지만 필자의 생각은 다르다. 첫째, UTM은 반드시 모든 보안기능을 사용하기 위한 개념은 아니며, 둘째, 성능을 논함에 있어 기능별 성능 지표를 제공하고 있으므로 도입시 용도에 맞게 적절히 고려해야 할 사항이라는 것이다. 셋째, 일반적으로 어떤 형태의 시스템이라도 모든 기능을 Full로 적용하는 것은 성능저하를 야기시킬 수 있으며 넷째, 콘텐츠보안의 메커니즘상 발생되는 현 시대의 기술적 한계 때문에 UTM의 모든 기능을 부정적으로 볼 필요는 없다는 것이다. 또 한 가지는 어떤 솔루션일지이라도 기능과 성능, 그리고 가격 모두를 동시에 만족시킬 수 없는 딜레마를 해결하기란 거의 불가능하기 때문에 굳이 UTM에만 해당되는 문제가 아니라는 점이다. 한 예로 섀시형 UTM을 도입한다면 성능은 만족할 수 있겠지만 비용은 늘어나기 때문이다. UTM 도입을 고려하고 있는 독자의 이해를 돕기 위해 보안솔루션으로서의 UTM을 다음의 3가지로 정의해본다.
기존 제품과 많이 다르지 않은 제품으로 시장에 어필하려다보니 UTM 솔루션의 필요성을 왜곡시킨 부분(만능장비)이 어느 정도 있다고 생각한다. 또한 초창기 UTM솔루션을 도입하려던 기업들도 성능 때문에 부정적이 되어 이를 여전히 믿고 있는 경우도 있다. 따라서 UTM을 도입하고자 하는 고객들은 자신들이 원하는 보안성의 수준과 예산 정도를 잘 파악해서 가장 적합한 형태로 UTM을 구축해야 한다. 이 때 특히 중요한 것은 도입하려고 하는 UTM 제품에 대한 객관적인 기관에서의 인증여부 및 정확한 성능 분석표 등을 참조하여 결정해야 할 것이다. <글 : 이규호 포티넷코리아 기술지원팀 차장(alvinlee@fortinet.com)> [월간 정보보호21c 통권 제108호 (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
최근 유행처럼 UTM2.0 혹은 XTM이라는 이름으로 시장에 다가서고 있는 보안업체들이 눈에 띈다. ‘기존 UTM의 진화’라고 표현하는데 과연 기존의 UTM보다 어떤 확장된 기능을 갖추었을까. UTM 패러다임의 변화에 즈음하여 본고에서는 ‘UTM vs. UTM 2.0(XTM)’ 이라는 주제로 그 차이점을 알아보고 바람직한 보안솔루션의 활용과 가이드라인을 제시하고자 한다.
웹2.0이 사용자 참여와 공유를 특징으로 하는 것처럼 UTM 2.0은 기존의 레거시(Legacy)보안 기능뿐 아니라 지속적인 IT 기술과 관련 보안기술을 흡수-통합하는 것을 말한다. 이것은 확장의 의미에서 XTM(Extended Threat Management)라고도 하며 그 중에서도 VoIP, 가상화(Virtualization), 모듈성 강화와 같은 것을 핵심으로 한다. 하지만 사실 UTM벤더에서는 이러한 노력을 초창기부터 경주해왔으므로 별도의 용어를 사용하지만 버전 업에 따른 기능 추가와 다르지 않다.
끝으로 한 가지 첨언 한다면, 필자 또한 보안벤더의 SE로 종사하고 있으며 지금껏 국내 UTM 시장의 발전상황을 자세히 지켜본 경험자이다. 한 가지 걱정스러운 점은 유수의 시장조사기관의 예측과 보안 트렌드에 따라 수년전부터 거의 모든 포인트 보안 벤더들이 UTM 시장에 앞다퉈 진입하였으나 가장 중요한 콘텐츠 보안 연구 인력 없이 써드파티 형태로 UTM제품을 출시하고 있다는 점이다.