다양한 위협과 공격차단·방어 위해 능동적·즉각적 학습능력 보유

XTM에서 말하는 확장형의 의미는 하나의 장비에서 구현되는 기술뿐만 아니라 여러 보안장비의 상호연동을 통한 넓은 의미의 물리적인 확장형이다. 여기에 가상화 기술이 등장한다. 가상화 기술은 스토리지, 서버, 네트워크 등 물리적 자원을 가상적으로 묶어 공유하는 기술이다. XTM은 이 가상화 기술을 적용한 통합보안제품으로 확장형 보안플랫폼을 제공하여 고객이 원하는 다양한 보안기능을 손쉽게 도입할 수 있으며 가용성 및 관리 효율성 또한 크게 향상시킬 수 있다.

2009년 네트워크 보안의 핵심 키워드는 ‘통합’에 있다. 통합이라는 용어가 하루아침에 탄생된 단어는 아니지만 경제위기 등, 여러가지 사회적인 이슈 속에서 주목 받고 있는 단어의 하나임에는 틀림이 없어 보인다. 통합이라는 단어와 항상 바늘과 실처럼 따라다니는 개념이 전용이라는 단어 일 것이다. 실제 오랜 시간 동안 시장을 차지해왔던 전용이라는 개념에서 기능의 통합, 장비의 통합이라는 통합화에 대한 태생적인 기술의 한계와 장점 그리고 향후 발전가능성에 대해 언급하고자 한다.

통합보안장비에 대한 시장에서의 인식 변화

UTM이라는 단어에 대한 정의는 여러가지로 해석될 수 있다. UTM은 방화벽, 가상사설망(VPN), 침입탐지시스템 및 침입방지시스템(IPS), 안티 바이러스, 안티 스팸과 같은 다양한 보안 기능을 단일 Appliance 형태로 구성해 관리의 복잡성을 최소화하고 복합적인 위협 요소를 효율적으로 방어하기 위한 통합보안솔루션이라고 소개 된다.

여기에 나열된 기능들 하나씩만으로도 독자적인 솔루션이 될 수 있는 상대적으로 강력한 보안의 기능들이다. 이는 마치 예전 한창 IMF와 IT 열풍이 불 때 웹 마스터 과정이라는 교육과정에서 볼 수 있었던 커리큘럼 중 TCP/IP, MS-SQL, IIS, Photoshop 등 각 제목의 시간표와 묘한 느낌으로 오버랩되는 느낌이다. 그 웹 마스터 과정에서는 기본적인 네트워크에 대한 교육을 진행하면서 1주일에 딱 1시간씩을 할애하여 위에 열거한 수업을 이수하게 하였다.

알만한 사람은 다들 알겠지만 TCP/IP만 보더라도 대학교에서 한 학기를 할애해서 수업을 할 정도로 심도 깊은 내용의 주제인 것이다. 이런 엄청난 개념을 1시간씩으로 책정한 것으로 보아 그 강의를 진행하는 사람은 정말 대단한 사람일 것으로 생각된다.

UTM의 기능 역시 그와 다르지 않다. UTM에 나열된 기능 하나하나만 봐도 그 내공은 상당한 수준으로 짐작된다. 각 기능마다 전용장비가 별도로 있을 정도니 무슨 말이 필요하겠냐는 의미인 것이다. 다시 말하자면 웹 마스터 과정의 시간표에 나열된 여러가지 수업들이 그 과정에서 수박 겉핥기로 가볍게 처리되듯이 UTM의 기능 역시 그 고유의 기능과 의미와는 별도로 상당히 얕은 수준의 기능을 제공해 주는 게 아닐까 하는 의심을 많이 가지게 될 것 같다.

아래의 다소 암울한 통계가 이러한 생각을 뒷받침 해주고 있다. 2009년 4월 특정 잡지사에서 국내 UTM 도입 현황 및 전망이라는 설문조사가 있었다. 이 조사결과 UTM 장비를 도입하지 않는 고객에게 도입의사를 물었을 때 60% 이상이 도입 계획이 없는 것으로 조사되었다. 도입을 하지 않는 이유는 ‘UTM 제품의 필요성을 느끼지 못한다’와 ‘전용장비에 대한 필요성이 높기 때문“이라는 것이 우위를 차지한 답변이었다.

그 밖에도 여러가지 이유로 인해 도입에 대한 거부반응을 보이고 있는 것으로 조사되었다. 이 부분이 시사하는 바는 무엇일까? 실제 도입하여 사용하고 있는 업체의 의견이 아닌 것에 상당히 희망적인 시선이 가는 것을 거부할 수 없다. 왜냐하면 사용해보지 않았으니까… 다시 말해 위에서 언급한 다양한 기능에 대한 기대치를 만족시키지 못할 것 같다는 막연한 불안감 때문에 다들 도입에 대한 생각을 보수적으로 가지고 있다는 확신을 가질 수 있었다.

도입한 후에 사용되는 용도에 대한 조사를 보면 관리의 편의성, 보안성 강화, 비용절감 등을 도입목적으로 꼽았고 2~3년 이내에 구축한 사이트에서 위와 같은 긍정적인 답변을 한 것으로 파악된다. 향후 장비를 도입할 계획을 가지고 있는 사이트 대부분이 통합운영/관리의 편리성, 통합에 의한 비용절감 및 운영의 단순화 등을 꼽았다.

또한 신속한 장애처리, 장비의 높은 활용도, 기존 방화벽 대비 다양한 보안 기능 제공, 보안성 강화 다수의 장비로 인한 복잡한 배선 불필요 등을 그 도입 이유로 거론했다. 이런 조사를 통해서 알 수 있는 것은 UTM 장비에 대해 위에서 언급한 통합장비와 전용장비의 기능에 대한 인식의 차이에서 상당한 오해가 있음을 짐작 할 수 있다. 실제 UTM 장비를 운영해보지 않고 막연한 전용장비와의 단순비교를 통해 직관적으로 얻어진 불확실한 정보에 의거한 통합보안장비 기피는 고객에게 좀 더 밀접한 통합보안장비의 정보를 제공하지 못한 제조사의 잘못으로 볼 수 있다.

UTM과 XTM은 확장형의 차이

UTM은 통합이라는 이름으로 시장에 쏟아내고 있는 통합보안장비라고 정의 내렸다. 그럼 XTM은 어떤 개념으로 정의될 수 있을까? 현재 시장에서 XTM 이라는 이름을 사용하는 업체의 제품 슬로건을 보면 확장형(Extensible) 이라는 컨셉을 내세우고 있다. 그리고 그 확장형이라는 개념 역시 업체마다 조금씩은 다른 개념을 가지고 있다. 확장형 XTM의 경우 기존 UTM 장비가 제공해 온 기본 기능인 방화벽, IPS, 안티바이러스, 스팸 필터 외에 정보유출방지(DLP), 인터넷전화(VoIP) 보안, DB보안, 분산서비스거부공경(DDoS) 차단, 네트워크접근제어(NAC), 웹 블로커 등의 기능을 제공한다.

좀 더 XTM에 대한 세부적인 설명을 하자면 XTM은 기능에 대한 확장형으로 정의될 수 있다. 기존 UTM 장비의 기본은 방화벽 IPS, VPN의 전통적인 보안기능에 Anti-Virus 기능이 탑재된 정도의 수준에 그쳤었다. 다양한 보안기능의 탑재뿐만 아니라 XTM의 확장형은 단순한 기능의 확장성에 의거한 통합이 아니라 네트워크 망 전체를 아우르는 통합의 의미를 제시한다.

XTM은 기본 방화벽, IPS, VPN의 클래식한 보안기능에 Anti-Virus, Anti-Spam, Anti-spyware와 같은 프락시 기반의 애플리케이션 보안모듈을 장착했고 IPSec VPN과 대칭을 이루는 SSL VPN 모듈, 그리고 웹 컨텐츠 필터링 모듈과 802.1X 사용자 인증기반의 NAC 기능을 추가하였으며 DDoS/DoS를 방어할 수 있는 모듈까지 탑재되어 있다.

물론 DDoS 전용장비와는 차별성을 두기 위해 Traffic Anomaly와 Portscan Anomaly 중심의 Anti-DDoS 모듈을 자랑한다. 여기에 네트워크 보안장비라면 반드시 지원되어야 하는 IPv6 모듈까지 포함되어야 명실상부한 기능상의 확장형을 마무리하게 될 것이다.

XTM 확장형의 또 다른 모델은 보안기능에 따른 모듈별 분리가 가능하다는 부분에서 찾을 수 있다. 인텔 계열의 CPU를 채택한 XTM 제품의 경우 멀티코어 환경을 제공한다. 여기에 그 업체에서 특허 받은 멀티코어 기술을 이용하여 각 모듈 별로 특화된 코어를 할당 그에 따른 각 기의 성능을 보장하는 기술을 가지고 있다.

예를 들어 4개의 코어를 가지고 있을 경우 VPN 혹은 Anti-Virus의 경우엔 별도의 코어에 그 모듈을 할당하여 성능에 있어서 최적화를 유지할 수 있다. 이러한 각 기능별 보안 모듈을 특화 시켜 전용장비만큼 성능을 유지하면서 전용장비에는 없는 다른 보안기능을 사용할 수 있는 일거양득의 효과를 실제로 보장 할 수 있다.

이 점이 통합보안장비의 태생적인 한계인 성능부분을 극복할 수 있는 원동력인 것이다. 실제 모든 기능을 다 사용하여 장비를 운영하기보단 특화된 몇몇 기능들만 On/OFF시켜 사용할 수 있다면 통합장비를 사용하는 담당자 입장에선 상당한 메리트가 있을 것으로 생각된다. IT 기술이 발전함에 따라 고성능을 낼 수 있는 플랫폼이 출시되고 그에 따라 다수의 기능 수행을 바라는 고객의 요청에 부합하려면 프로세스의 최적화가 반드시 필요하다. 이런 부분을 만족시킬 수 있는 장비가 XTM인 것이다. 

XTM에서 얘기하는 확장형의 의미는 하나의 장비에서 구현되는 기술뿐만 아니라 여러 보안장비의 상호연동을 통한 넓은 의미의 물리적인 확장형이다.

여기에 가상화 기술이 등장한다. 가상화 기술은 스토리지, 서버, 네트워크 등 물리적 자원을 가상적으로 묶어 공유하는 기술이다. XTM은 이 가상화 기술을 적용한 통합보안제품으로 확장형 보안플랫폼을 제공하여 고객이 원하는 다양한 보안기능을 손쉽게 도입할 수 있으며 가용성 및 관리 효율성 또한 크게 향상시킬 수 있다.

다양한 위협과 공격을 차단하기 위한 방어 수단은 능동적이며 즉각적이고 학습능력을 보유하고 있어야 하며 확산을 방지할 수 있는 기능이 구현되어야 한다. XTM은 단 0.01%라도 더 위협으로부터 고객의 귀중한 정보자산을 지키기 위해 ‘Zero-hour Protection’ 보호 방법을 구현한다. 스팸기반 봇넷 IP 대역을 수집하여 유해 트래픽을 사전에 차단하며 각종 이벤트 로그를 상관분석하여 알려지지 않은 위협에 대해서도 예측할 수 있는 사전보호체계 및 HIPS(Host IPS) 행동분석을 통해 위협확산에 대비한다.

또한 위협관리팀을 이용하여 전 세계 위협동향을 모니터하고 이에 대한 대응방안을 신속하게 마련하여 공격이 발생되기 전에 고객에게 대처를 권고하고 즉시 XTM을 업데이트하는 등 위협에 대응할 수 있다.

이 밖에도 XTM은 다형성 바이러스 및 Web 2.0 보안위협의 증가 등으로 점점 지능화되고 복잡해지는 보안위협 속에서 고객의 귀중한 정보자산을 지켜주는 최적의 확장형 통합보안솔루션이고 향후 Massive Multi-Core 구조의 차세대 엔진이 개발되면 더욱 향상된 최고의 성능을 통합보안장비에서 제공할 수 있다.

UTM의 진화

초창기의 UTM은 방화벽, VPN, IPS/IDS 정도로 사용되어 왔지만(하드웨어의 한계 등에 의해), 보다 강력한 보안을 위해 여러 단계의 진화를 거치고 UTM의 한계점을 극복하여 WeGuardia XTM이 나오게 되었다.

그렇다면 UTM의 한계점들을 어떻게 극복했을까? XTM은 A/V, A/S, DDoS, NAC, WAF, SSL.. 등 UTM에서 구현하지 못했던 기능들이 확장되어 제공함으로써 다양한 공격에 대응할 수 있도록 설계되어있고 차세대 네트워크의 가장 큰 이슈가 되는 IPv6 기술인 IPv4-IPv6 Translation, IPv4-IPv6 Tunneling, IPv6 Masquerading 등을 완벽하게 지원함으로써 네트워크 망에 최적화 되어 개발되었다.

각 기업들의 담당자들이 말하는 통합보안장비의 이슈 중 한 가지는 과연 이처럼 많은 기능들을 구현하는데 장비가 제 성능을 발휘 할 수 있을까 하는 것이다. 이러한 문제를 극복하기 위해 XTM은 Multicore Based Processing 환경으로 개발되었다.

Multicore process는 특정 기능들을 각 별도의 Process에 할당하여 분산 처리함으로써 성능의 한계점을 극복하고 최고의 성능을 낼 수 있게 설계 되었다.

또한 점점 늘어나는 트래픽을 처리할 수 있도록 10G 인터페이스를 지원하며 Hybrid-Model S/W설계로 데이터와 기능 분할을 접목하여 효과적으로 트래픽을 처리할 수 있도록 설계되었다.

<글 : 허태경 퓨쳐시스템 전략기획팀 팀장(tkheo@future.co.kr)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>