퓨쳐시스템 WeGuardiaTM XTM,  WeGuardiaTM DDoS

퓨쳐시스템의 VPN 최대 시장은 공공/금융시장이다. 현재 퓨쳐시스템이 이 시장에 공급한 VPN제품은 전체 판매 규모의 2/3를 차지하고 있다. 게다가 VPN 보안장비의 특성상 한 두대씩 단품으로 판매한 경우보다는 본점/지점 영역에 대량으로 판매가 많이 되었다. 퓨쳐시스템에 있어서 공공시장은 매출에 있어서 블루칩과 같다.

이 블루칩시장에 확장형 통합위협관리 솔루션인 WeGuardia™ XTM을 가지고 이 황금어장의 금맥을 캐기 위한 첫걸음을 떼었다. 바로 CC인증 획득이다. 이번 CC인증 획득과 더불어 XTM으로 본격적인 공공시장 공략에 나서는 퓨쳐시스템 장비에 대해 구체적으로 살펴봤다. 

정보보호시스템 공통평가기준이라는 이름의 CC인증은 등급에 따라 보증 컴포넌트와 평가 제출물들이 세분화 되어있다. 먼저 등급별 보증 컴포넌트에는 보증 클래스에 개발, 설명서, 생명주기지원, 보안목표 명세서 평가, 시험, 취약점 등이 있으며 EAL 등급에 따라 나뉘어진다.

그리고 등급별 평가 제출물엔 TOE(평가대상제품), 보안목표명세서(ST), 형상관리문서(레이블된 TOE, 형상항목 식별, 형상관리 권한/계획/증거, 자동화된 형상관리 시스템, 수용계획), 배포문서, 개발보안문서(물리적/절차적/인적/기타 대책), 결함교정 절차/지침 문서, 생명주기모델 정의 문서(생명주기 모델), 개발도구문서, 사용자 운영설명서(사용자 역할에 따른 기능/특권, 인터페이스 사용방법/매게변수, 운영모드 및 영향, 보안대책), 준비절차서, 보안구조 설명서(SFR-수행 추상화 설명, 보안영역/TSF 초기화/제체보호/우회불가성), TSF 내부 설명서(구조화된 TSF 내부설명), 기능명세서(S0FR & TSFI 매핑, TSFI 매개변수 식별, SFR-수행 TSFI 에러메시지, SFR-지원/비지원-간섭 설명), TOE 설계 명세서(모든 서브시스템 식별, 모든 행동 & TSFI 매핑, 모든 서브시스템 & TSF 모듈 매핑, 모든 서브시스템 간 상호작용, 모듈간 상호작용 설명), 구현의 표현(TSF 의 상세 설명, TOE 설계 & 구형의 표현 샘플 매핑), 시험서(시험항목 & TSFI 매핑, 시험된 모든 TSFI, 시험항목 & 서브시스템 매핑, 시험된 모든 서브시스템, TSF 모듈시험, 시험계획, 시험절차, 예상/실제 시험결과) 등과 같은 많은 제출물이 제출되어야 하고 이에 대한 평가기간도 있어야 한다.

CC인증 제품 WeGuardia™ XTM

인터넷의 확대에 발맞추어 인터넷 보안위협도 시대 및 기술에 따라 지속적으로 진화하고 있다. 바이러스는 점점 복잡해지고 있으며 ARP를 이용한 L2 스위치 공격처럼 새로운 공격 유형이 지속적으로 출현하고 있으며 제로데이 공격 및 DDoS 공격으로 파괴력과 전파력 또한 아울러 커지고 있다.

이에 기존 단일보안장비의 기능적인 한계와 증가하는 관리비용은 통합보안장비를 필요로 하게 되었고 퓨쳐시스템은 이보다 한 단계 더 나아가 경계망에서의 네트워크를 통한 모든 유해 트래픽 차단을 목표로 지난 3년 여간 개발한 확장형 통합위협관리솔루션인 WeGuardia™ XTM을 출시했고 CC인증까지 획득하게 되어 시장에서 많은 기대와 관심을 받고 있다. 

WeGuardia™ XTM은 멀티코어를 기반으로 개발된 확장형 통합위협관리 솔루션으로 퓨쳐시스템만의 코어 분산 처리방법을 적용하여 멀티코어 환경에 최적인 하이브리드형 소프트웨어 프레임워크인 FOHSAM(Future’s Optimum Hybrid Software Architecture for Multicore environment)을 자체 개발하여 통합보안장비 성능의 한계를 극복, IPS, Firewall, VPN(IPSec, SSL), Anti Virus/Spam/Spyware, DDoS, WAF, NAC 등 모든 보안기능을 동시에 사용해도 우수한 성능을 발휘한다.

또한 각 기능들은 모듈 형태로 되어 있어 고객이 원하는 기능만을 선택해 고객 보안환경에 최적화된 방어체계를 구축할 수 있게 설계되었을 뿐만 아니라 단일보안장비로써도 WeGuardia™ XTM은 기능적인 면과 성능에 있어서도 타 전용장비와 차이가 없다. 그 외에도 국내 최초 WeGuardia™ 전제품 IPv6 완벽 적용, 국내 최초 가상화(Virtualization)기술 적용, 멀티코어 환경에 최적화된 하이브리드형 S/W 아키텍처 적용, 완성도 높은 통합보안기능 그리고 통합위협관리에 가장 중요한 제로데이 공격에 대한 신속한 대응체계를 제공한다.

CC 인증과는 별도로 진행되는 DDoS 별도 지정제품

7.7 DDoS 공격에 의해 IT 강국이라고 자처하던 우리나라의 위상이 상당 부분 훼손되었다. 정부에서는 바닥에 떨어진 IT강국 위상을 되살리기 위해 정부 공공기관에 200억 가량의 예산으로 DDoS 전용장비를 도입하도록 방침이 내려졌다. 이 조치로 인해 각 보안업체들은 자시제품에 대한 판매호조를 예상했고 분산서비스거부공격 방어 솔루션을 국가기관에서 제공할 수 있는 별도 지정제품으로 등재하기 위한 업체간의 움직임이 활발해 졌다.

그 중에서 퓨쳐시스템은 동종업체 중 제일먼저 별도지정제품으로 지정받기 위한 평가계약을 체결했고 이로써 공공기관에 공급이 가능해졌다. 이번 별도지정제품 계약으로 DDoS에 대한 공공시장 영업의 활성화가 예상되는 퓨쳐시스템은 자사의 20년 네트워크 보안시장의 레퍼런스와 영업적 노하우를 바탕으로 시장에서 가시적인 성과를 자신하고 있다.

DDoS 별도 지정제품 - WeGuardia™ DDoS 핵심엔진 3way-D

이번 7.7 DDoS 공격유형은 Syn/ Syn Data, UDP/ICMP Flooding, HTTP Get Flooding 등 복합적인 공격유형이었고 퓨쳐시스템은 WeGuardia™ DDoS 장비의 핵심엔진 3Way-D 엔진(특허출원 제 10-0084495호)을 이용하여 여타 다른 장비들의 대응전략 -임계치 기반의 Drop Policy 설정- 과는 차별화된 전략으로 클라이언트 세션별로 트랜젝션 상태를 표시하고 이전 상태 값과 비교해서 이상 유무를 판단하여 완벽한 방어를 제공한다.

또한 7.7 DDoS 대란의 공격유형 중 HTTP CC Attack은 오탐율이 높아 기 구축된 여타 DDoS 장비가 무력화된 원인을 제공했으나 WeGuardia™ DDoS는 오탐율 높은 CC Attack에 대해서 특허받은 3Way-D 엔진 중 ENBA 엔진을 이용하여 정확한 데이터 분석을 통해서 오탐율 제로를 제공한다. 그리고 WeGuardia™ DDoS는 HTTP Cookie Proxy 기능을 제공하여 인증된 트렌젝션에 대해서만 세션을 통과시킴으로써 자동화된 공격(Bot PC 식별가능)에 완벽한 방어를 제공할 수 있다.

그리고 WeGuardia™ DDoS에는 업계 최초로 FIN/RST Reverse Proxy 기능을 제공하여 내부망(F/W, L4 스위치, 서버 등) 장비의 세션 오버플로어를 방지하여 가용성을 보장하는 기능을 탑재하였고 Syn Proxy 기능으로 spoof 된 IP에 의한 공격에도 완벽하게 방어한다.

WeGuardia™ DDoS 제로데이 공격대응

WeGuardia™ DDoS에서는 ENBA 엔진와 더불어 DDoS 공격에 대응하는 추가적인 기능을 제공한다. 먼저 1차 대응으로써 제로데이 공격대응이 있다. 제로데이 공격대응은 Spoof 된 출발지 주소를 사용하는 제로데이 공격에 대해 패턴 없이 DDoS 엔진에서 원천방어가 가능하도록 해주고 실시간으로 좀비PC의 IP리스트를 차단할 수 있다.(Black IP List DB 보유) 그리고 2차 대응으로 행동기반의 공격차단 기능도 제공한다. 대표IP에 대해 출발IP만 변경되어 접속하는 경우 특정IP를 막지 않고 세션베이스 차단으로 DDoS 공격을 방어한다.

즉 특정IP를 사용하고 있는 그룹에 대해 전체 차단하지 않고 감염PC만 차단 가능하다. 그리고 Control, Handler 통신 트래픽 패턴 차단으로 공격확산을 방지하고 중앙제어 없는 DDoS 공격에 대해서 좀비의 트래픽 유형을 학습하여 방어할 수 있다.

높은 네트워크 가용성 보장

WeGuardia™ DDoS는 ENBA를 거쳐 나온 패킷들 유해여부에 따라 가중치를 적용하여 네트워크 가용성을 보장함으로써 향후 공격을 당하는 중에도 가중치 값에 따라 공격자를 차단하고 정상 사용자의 가용성을 보장함으로써 평상시와 다름없게 사용자들이 서비스를 이용할 수 있도록 한다.

GRT(Gradual Rising Traffic) 공격방어

트래픽 증가폭이 확연하게 드러나는 경우 통계를 통해서 차단이 가능하나 점진적으로 증가되는 지능화된 GRT 공격에 대해선 결국 공격에 무력화될 수 밖에 없으나 WeGuardia™ DDoS는 서버호스트와 클라이언트 호스트의 엔트로피 분석(공격이 발생될 임의적인 확률)을 통해서 GRT 공격에 효과적인 방어를 제공한다.

서버 별 Rate Limit 지원

방어하려는 서버에 대해 서버 별로 트래픽 Rate limit를 설정하여 급격히 증가하는 대용량 트래픽 공격에 대비 할 수 있다. 먼저 대역폭에 대한 임계치를 보장하여 서버용량 초과로 인한 서버다운 현상을 방지, 안정적인 서비스를 제공 할 수 있다. 그리고 CPS(Connection Per Second) / BPS (Bit Per Second) / PPS(Packet Per Second) 단위로 설정가능하며 위와 같은 기능으로 네트워크 대역폭을 마비시키는 공격을 효과적으로 차단할 수 있다.

Client IP 분산도를 통한 공격차단

ENBA의 트래픽 통계분석을 통해 순간적인 Multiple Client IP의 폭주를 탐지하고 차단할 수 있다. 그리고 클라이언트 접속 분산도를 통해 비정상적으로 접근되는 트래픽에 대한 탐지와 차단을 할 수 있다.

<글 : 허태경 퓨처시스템 전략기획팀 팀장(tkheo@future.co.kr)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>