향후 고성능의 통합장비가 보안시장 주도할 것

UTM이 사용자의 요구사항을 충분히 만족시킬 수 있는 고성능 장비로 발전한다면 더 이상 의 이상적인 보안 장비는 없을 것이다. UTM의 가장 큰 장점은 하나의 장비에 여러 보안 기능이 함께 동작하므로 여러 장비를 사용하지 않아도 되므로 관리적인 측면과 경제적인 측면에서 보안 시장을 주도할 것으로 모두 확신한 솔루션이었다. 하지만 이러한 다양한 기능들을 한 번에 처리하기 위해서는 무엇보다 고성능을 낼 수 있는 H/W와의 결합이 필요하다.

최근 보안 시장의 가장 큰 테마는 UTM(Unified Threat Management)을 목표로 내세운 다기능, 고성능의 통합 보안 장비일 것이다. UTM은 기존 10여 년의 보안 시장을 총 망라하여 방화벽, 가상사설망(VPN), 침입탐지시스템 및 침입방지시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위한 통합보안솔루션이다.

이러한 UTM은 대형 사이트에서 복잡해지는 보안기기에 대한 관리의 어려움과 성능적인 이슈를 복합적으로 처리하여 주력 보안 제품으로 자리매김하고 이후 계속 보안 시장에 대표적인 장비로 공급될 전망이다.

이러한 UTM의 가장 큰 장점은 하나의 장비에 여러 보안 기능이 함께 동작하므로 여러 장비를 사용하지 않아도 되므로 관리적인 측면과 경제적인 측면에서 보안 시장을 주도할 것으로 모두 확신한 솔루션이었다.

물론 UTM이 이러한 사용자의 요구사항을 충분히 만족한다면 더 이상 이상적인 장비는 없을 것이다. 그러나 UTM에는 많은 제약과 한계가 존재한다는 것이 문제이다. 특히 고성능을 필요로 하는 대형 사이트에서 UTM은 여러 기능을 한 번에 처리해야 하므로 무엇보다도 고성능을 낼 수 있는 H/W가 절실히 필요하다.

UTM의 핵심 기능은 IPS

UTM을 고려하기 전의 H/W의 구성은 단순히 H/W 가속기의 탑재나 여러 H/W를 탑재하여 기능별로 수행하여 고속을 보장할 수 있도록 설계되어왔다.

장비로 유입되는 네트워크 패킷은 각 H/W를 순차적으로 거치며 해당 기능이 필요할 경우 각 단일 H/W에서 처리한 후, 다음 단계로 진행되는 방식을 사용했다. 그러나 이러한 과정을 거칠 경우 각 단계 사이의 지연이 발생하여 고속의 패킷을 처리하는 것은 매우 어려워 대부분의 업체들이 성능적인 한계를 안고 있을 수 밖에 없었다. 따라서 UTM에 대한 설계는 보안 기능적인 부분과 S/W적인 모듈 특성을 H/W와 함께 설계할 경우에만 고성능의 UTM을 개발할 수 있다는 것이다. 그림 1은 이러한 UTM의 일반적인 기술 맵에 대해서 도식화하고 있으며 각 기능별로 연계해야 할 연관성에 대해서 선으로 연결했다.

UTM에서의 가장 중요한 요소는 그림 1의 기술맵을 얼마나 잘 연계하여 위협으로부터 탐지를 극대화하고 사전이나 사후의 대책을 완벽하게 만들어 낼 것인가가 관건이다. 대부분의 보안 담당자들이 평가하는 UTM은 진화된 형태의 IPS로 인식하고 있으므로 UTM의 가장 핵심적인 기술은 무엇보다도 IPS(Intrusion Prevention System) 기능이라고 할 수 있다. IPS 기능은 단순 알려진 위협만을 처리하는 것이 아니라 알려지지 않은 위협에 대해서도 대응해야 하므로 자가 학습을 통한 이상징후(Anomaly) 판단이 필수적인 요소라 할 수 있다.

이는 패킷 레벨에서부터 응용 레벨에 이르기까지 탐지영역을 확대하여 제공되어져야 하는데 UTM에서의 성능 지표는 이러한 IPS 핵심 기술을 어떻게 지원하느냐에 달려 있다고 해도 과언이 아니다.

현재 기관 망 및 대형 사이트의 대역폭은 1G에서 10G로 확대된 상황이므로 기존의 1G급의 장비로 현재의 네트워크를 대처하는 것은 많은 비용과 관리적인 어려움이 있는 것이 사실이다. 따라서 이러한 대형 사이트를 대처하기 위해 보안 업계에서는 최근 2~3년간 10G 이상 급의 보안장비를 개발해 왔으며 이러한 장비에 UTM을 탑재하는 마무리 단계에 있는 업체들도 많이 있다.

하지만 기존의 방식을 고수하면서 10G의 네트워크 대역폭에 맞는 보안장비를 개발한다는 것은 매우 어려운 일로 아직까지 몇몇 업체들만이 10G 이상의 대역폭을 갖는 UTM을 출시한 실정이다.

고성능 보안장비의 H/W 구성

이러한 상황에서 고성능을 낼 수 있는 보안장비에 대한 H/W 구성은 어떻게 되어야 할지에 대해 고민할 필요가 있다. 우선적으로 기존의 구성에서 벗어나 모든 패킷을 동일한 플로우로 처리한 다는 개념을 바꾸어 Slow path와 Fast path로 나누어 설계할 필요가 있다. 그림 2는 이러한 H/W적인 처리를 통해 Slow path와 Fast path를 구분하여 설계한 구조를 도식화 하고 있다.

그림 2에서 우선적으로 H/W구성은 MIB(Media Interface Board)와 두 개의 APB(Application Processing Board)로 구성되며 이들 보드는 각각 SPI4.2 인터페이스를 통해 연결이 되어있다.

MIB를 통해 유입되는 패킷은 첫 번째 APB를 통과하여 보안정책에 따라 세션을 생성하는데 기능별로 slow path와 fast path의 두 흐름 형태를 갖는다. Slow path는 보안 정책에 다중 기능이 포함되어 방화벽을 통과하고 VPN이나 IPS 등의 복합적인 기능을 거치는 경우 나누어진 두 개의 APB보드를 차례로 통과하여 세션을 형성한다.

이와는 달리 방화벽 기능만을 수행할 경우 APB사이의 직접적인 통로(fast path)를 통해 지연 없이 처리된다. 이처럼 두 개의 채널을 통해 각 보안 기능별로 흐름을 제어할 경우 모든 패킷을 Slow path를 통과시키는 구조에 비해 성능을 현저하게 개선할 수 있다.

추가적으로 UTM의 각 기능별 처리를 프로세서 입장에서 살펴보자면 예전의 프로세서는 단일 또는 듀얼 CPU를 사용하는 장비가 대부분 이었으나 현재는 멀티코어(Multi-core Processor) 형태의 장비가 주종을 이루고 있어 이러한 여러 개의 CPU를 잘 활용할 경우 성능을 대폭 향상시킬 수 있다. 그림 3은 멀티코어 프로세서에 대한 동적 스케줄에 대한 내용을 도식화하고 있다.

그림 3에서 보는 것과 같이 물리적인 하나의 CPU 내부에 16개의 프로세서가 있다. 이러한 CPU는 고정적인 스케쥴에 따라 작업을 수행한다. 그러나 이를 보다 효율적으로 활용하기 위해 보안정책 별 각 기능을 파악하여 수행할 기능이 많은 쪽에 프로세서를 우선 배정하는 방식을 활용할 경우 또한 성능을 많이 개선할 수 있다.

즉 IPS나 VPN과 같이 시스템 자원을 많이 활용하는 경우 내부적으로 고정된 프로세서를 할당하지 않고 임의적으로 할당하여 트래픽이 많이 몰릴 경우는 좀 더 많은 수의 CPU를 할당하고 다른 기능에 대한 처리 요구가 많을 경우는 재분배하는 동적인 CPU 스케줄이 보다 효과적일 것이다.

이러한 CPU의 스케줄을 위해 마스터 CPU를 설정하여 전체 CPU를 관장할 수 있게 처리한다. 앞서 설명한 여러 가지 H/W적인 기법들을 통해 대형 사이트에 적합한 성능적인 이슈를 해결할 수 있으며 UTM의 단점인 장애 포인트의 구별이 보다 용이할 수 있도록 설계하는 것이 바람직한 방향일 것이다.

개별적 로그생성 및 모듈 관리 필요

UTM은 많은 기능들이 복합적으로 수행되는 장비이므로 개별적인 로그생성 및 모듈관리가 필요하다.

이는 앞에서 언급한 Slow path와 Fast path별로 구분하여 장애 요소와 개별 로그를 처리하고 또한 CPU별로 할당된 모듈에 따라 개별관리를 할 경우 전체 시스템의 이상이나 장애 발생시에 보다 명확하게 장애 포인트를 발견할 수 있다는 장점도 가질 수 있다. 이러한 정보를 관리자가 파악하기 편하게 전체 시스템의 각 기능별로 현재의 상황을 모니터링 함으로써 장애 상황을 쉽게 파악해야 다기능의 복잡함을 완화할 수 있을 것이다.

이처럼 UTM의 이론적인 장점을 만족하기 위해서는 S/W적인 기술의 집약뿐만 아니라 성능을 만족하기 위한 H/W적인 뒷받침이 필수적인 요소라 할 수 있으며 또한 관리적인 편의성 및 장애사항에 대한 확실한 처리를 위해 관리 툴의 지원도 필요하다.

이러한 다각적인 접근을 통해 UTM은 날로 증가하는 고객의 요구 및 네트워크의 발전에 대응할 수 있는 장비로 거듭날 수 있을 것이다. 차후 고객은 UTM의 발전된 기술을 통해 보다 안전하고 편리한 네트워크 환경을 관리해 나갈 수 있으리라 판단한다.

<글 : 박재경 어울림정보기술 개발실장(jaky@oullim.co.kr)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>