웹의 급속한 확대와 더불어 여기에 담긴 정보의 중요성이 커짐에 따라 이를 노린 공격도 급증했고 기존의 보안 시스템으로는 방어에 한계가 명백했기 때문에 이를 해결할 수 있는 웹 방화벽이 중요한 위치를 차지하게 된 것이다. 웹 방화벽은 3세대 웹 방화벽이나 WAF+(Web Application Firewall Plus)라 불리우며 새로운 보안 위협에 적극적으로 대응, 발전하고 있다. 웹 2.0을 넘어 웹 3.0이 논의되는 현재 안전한 서비스 제공과 사용자 보호를 위해서 웹 방화벽은 불가결한 요소이다.

처음 웹 방화벽이 등장했을 때 시장에서는 이를 기존의 보안 시스템과 기능이 상당부분 겹치는 영역의 어정쩡한 제품으로 간주했었다. 당시는 웹 공격이 주요 공격이 아니었기 때문에 웹 방화벽을 필요로 하는 수요자나 이를 만드는 공급자 모두 일종의 니치 마켓으로 여긴 것이다. 2005년 한 외국 보고서에서는 웹 방화벽은 DB 보안 및 XML 보안과 융합되어 AAP(Application Assurance Platform)로 통합될 것으로 내다보기도 했다. 하지만 현재 상황은 정반대로 급변했다.

앞서 언급한 보고서에서는 웹 방화벽 시장이 2009년경 소멸할 것으로 예측했으나 2010년 현재 그 중요성은 더욱 커지고 있다. 웹의 급속한 확대와 더불어 여기에 담긴 정보의 중요성이 커짐에 따라 이를 노린 공격도 급증했고 기존의 보안시스템으로는 방어에 한계가 명백했기 때문에 이를 해결할 수 있는 웹 방화벽이 중요한 위치를 차지하게 된 것이다. 이를 반영하듯이 2007년부터 가트너의 보고서에서도 웹 방화벽이 등장하였고 시장에서도 보안시장의 주류로 여기기 시작했다.

프로스트&설리반의 2009년 보고서에서는 웹 방화벽이 시장의 주류(Mainstream)가 될 것이라고 예측하면서 다음과 같은 호재와 악재가 같이 있는 것으로 분석했다.

웹 방화벽 확산 이유

• 웹 공격의 증가
• 컴플라이언스 이슈 : 예) PCI-DSS

웹 방화벽 도입 장벽

• 구축 및 운영 비용
• 보안 관리의 복잡도

이 보고서는 이러한 도입 장벽을 극복하기 위해 웹 방화벽이 기능 추가와 관리 부담 경감, MSS(Managed Security Service)와 같은 보안 서비스 제공을 지원하면 네트워크 방화벽과 같은 필수 요소가 될 것으로 예상했다.

2010년 현재 국내외의 웹 방화벽 대부분이 이러한 문제점을 해결했을 뿐만 아니라 평판(Reputation) 기반 웹 공격 방지나 클라우드 컴퓨팅에 대한 웹 방화벽 서비스를 제공하면서 조사기관의 예측을 넘어서는 시장변화를 주도하고 있다. 즉 조사기관의 예측에 앞서 시장의 요구가 웹 방화벽의 시장의 성장을 이끌고 있으며 이에 대한 분석이 뒤따라가고 있는 상황이다.

세계 및 아시아-태평양(APAC) 웹 방화벽 시장 규모

웹 방화벽 시장에 대한 가장 최근의 보고서인 Technavio의 보고서에 따르면 웹 방화벽 시장은 2008년 1억 8,180만 달러에서 2013년 4억 3,760만 달러에 도달, 동기간 연평균 성장률(CAGR) 24.6%로 급격히 늘어날 것으로 예측되고 있다. 올해 전 세계 웹 방화벽 시장 규모는 2억 3,400만 달러에 달하고 특히 북미나 유럽의 연평균 성장률이 24%인 반면 아시아-태평양(APAC) 지역은 27%로 보다 빠르게 성장할 것으로 내다보았다.

포레스터 리서치의 다른 보고서에서는 2009년 웹 방화벽 시장은 2억 달러 규모이며 올해 20% 성장할 것으로 내다보고 있다. 또한 같은 기관의 2007년 보고서에서는 2010년 시장 규모를 1억 5,000만 달러로 예상했었으므로 시장은 예상보다 더 빠르게 성장하고 있는 셈이다. 한편 프로스트&설리반은 아시아-태평양(APAC) 지역의 웹 방화벽 시장에 대한 별도의 보고서를 발표했는데 2009년 3,880만 달러인 APCA 웹 방화벽 시장은 2012년까지 연평균 성장률 47.5%로 다른 기관의 예상보다도 훨씬 가파른 성장세를 보일 것으로 예측했다. 특히 중국과 인도의 인터넷 성장이 큰 기여를 할 것이며 웹 2.0을 채택한 기업에서 그 수요가 클 것으로 내다봤다.

이 보고서의 흥미로운 점은 APAC 역내의 각 국가별 시장 규모 자료인데 이를 정리하면 그림 2와 같다. 시장 별로는 금융, 전자상거래, 정부기관이 18%대로 비슷한 규모의 시장을 형성하고 서비스, 교육, 제조 분야가 8~12%를 차지하는 것으로 분석하고 있다.

종합하자면 올해 전 세계 웹 방화벽 시장 규모는 2억 달러 이상이며 연평균 성장률 20% 이상의 급속한 성장을 이룰 것으로 예측된다.

국내 웹 방화벽 시장 규모 및 동향

프로스트&설리반의 APAC 웹 방화벽 시장 보고서는 올해 발표된 웹 방화벽 시장 보고서 가운데 유일하게 한국 시장을 언급하고 있다. 이에 따르면 국내 웹 방화벽 시장은 2009년 APAC 웹 방화벽 시장의 21%를 차지, 금액상 814만 8,000달러 규모이다. 이는 어림잡아 1달러당 1,200원으로 계산해도 100억원에도 미치지 못한다. 이는 필자가 재직하고 있는 회사의 웹 방화벽 매출액에도 미치지 못하는 미미한 규모이다. 아마도 이는 해당 조사기관이 입수 가능한 해외 제조사의 자료만으로 계산했기 때문인 것으로 추측된다.

KISA에 따르면 올해 웹 방화벽 시장은 290억원 규모로 2014년까지 6%의 연평균 성장률을 보이며 침입차단시스템 제품군의 성장을 견인할 것으로 보인다.

이러한 시장 규모는 국내 주요 보안전시회나 언론매체에 보도된 보안 시스템 도입 설문 조사에서도 웹 방화벽이 항상 수위에 꼽히는 것으로도 증명되고 있으며 국내 시장에서도 웹 방화벽이 하나의 주요 시장으로 자리잡은 것으로 평가 받고 있다.

한편 국내 웹 방화벽 시장은 급격한 성장기를 거치면서 주요 제조사를 중심으로 재편되고 있다. 올해 누적 판매 1,000대를 돌파한 펜타시큐리티시스템을 비롯한 4개 제조사가 전체 시장의 90% 이상을 장악하고 있으며 네트워크 방화벽이나 IPS 시장에서 그러했던 것처럼 3개사 안팎의 제조사만이 시장에서 살아남을 것으로 보인다.

웹 방화벽은 불가결한 존재

웹 방화벽은 시장의 필요에 의해 탄생했고 환경 변화에 발맞춰 진화하고 있는 현재 진행형인 보안 시스템이다. 단순히 개인정보 유출 차단이나 웹 서버를 보호하는 시스템에 그치지 않고 독자적인 평판 기반 시스템 구현이나 클라우드 컴퓨팅 지원과 같이 외연을 계속 넓혀 나가고 있다. 이와 같은 새로운 웹 방화벽은 3세대 웹 방화벽이나 WAF+(Web Application Firewall Plus)라 불리우며 새로운 보안 위협에 적극적으로 대응, 발전하고 있다. 웹 2.0을 넘어 웹 3.0이 논의되는 현재, 안전한 서비스 제공과 사용자 보호를 위해서라면 웹 방화벽은 불가결한 요소로서 항상 존재하게 될 것이다.

<글 : 이충우 펜타시큐리티시스템 사업기획부 부장(bazle@pentasecurity.com)>

[월간 정보보호21c 통권 제123호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>