차단이 주요 기능이었던 ‘툴’에서 다기능 ‘플랫폼’으로

네트워크 분리 및 엔드포인트 지원 기능까지도 갖출 듯

[보안뉴스 문가용] 이제 예전 방화벽은 잊어라. 아니, 방화벽이라는 이름 자체도 사실 바뀌어야 할지 모르겠다. 새로운 뭔가가 등장했다. 걷잡을 수 없는 보안 사고에, 방화벽 시장이 다시 떠오르고 있는 것이다. 요즘 나오는 최신 방화벽 혹은 차세대 방화벽은 응용계층(application layer) 방화벽 혹은 DPI(deep packet inspection) 방화벽으로 지난 몇 년간 엄청난 변화를 겪으며 발전해왔다.

그리고 16일, 지난 몇 년 명가의 자존심을 제대로 세우지 못한 시스코 시스템(Cisco Systems)은 소스파이어(Sourcefire)의 IPS와 고급화된 위협 감지 기능을 ASA 5500 방화벽에 추가함으로써 새롭게 떠오르는 방화벽 시장에 대한 자신들의 입지를 다시 한 번 견고히 하려는 모습을 보였다.

그뿐이 아니다. 클라우드 애플리케이션 제공업체인 스카이하이 네트웍스(Skyhigh Networks) 역시 팔로알토 네트웍스(Palo Alto Networks)와 손을 잡아 합작품을 만들 거라는 계획을 발표했다. 팔로알토의 플랫폼에 스카이하이의 클라우드 기반 애플리케이션을 녹여내겠다는 계획이었다. 이는 SaaS형 애플리케이션 관리 정책과 거버넌스에 클라우드 기반 애플리케이션 방화벽이 더해지는, 미래형 방화벽의 모델을 제시한 것이다.

“요즘 나오는 방화벽의 추세를 한 마디로 정리하면 ‘클라우드와의 융합’입니다. 그리고 사실 이런 융합된 결과물을 ‘방화벽’이라고 부르는 것 자체가 무색해진 실정입니다. 왜냐하면 방화벽이란 건 네트워크로 침입하려는 나쁜 것들을 차단하는 건데 이렇게 여러 가지 기능이 융합됨으로써 그 나쁜 것이 뭐였는지 분석까지 하니까요. 게다가 내부 위협이나 네트워크 내에 감염된 시스템을 찾아내기도 하고 민감한 정보는 아예 회사 밖으로 가지고 나가지도 못하게 합니다.” 스카이하이 네트웍스의 CEO인 라지브 굽타(Rajiv Gupta)의 설명이다.

팔로알토의 부회장인 스캇 게이니(Scott Gainey)에 의하면 이런 식의 발전된 방화벽을 갖추고 있으면 드롭박스와 같은 SaaS 애플리케이션의 사용 현황도 보다 효과적으로 모니터링 및 관리할 수 있게 된다고 한다. 그래서 사실 팔로알토가 생각하는 차세대 방화벽이란 모든 트래픽을 한 눈에 감시하고 관리하게 해주는 툴로서 개념을 확장하고 있다. “차단이 기존 방화벽의 주요 기능이었다면 이제는 ‘관리’가 되어야 합니다.”

“방화벽 시장은 그 동안 꾸준하게 변해왔습니다. 스테이트풀(stateful) 방화벽에서 UTM과 NGFW로, 그리고 요즘에는 위협 감지 기능까지 탑재한 것들이 나오죠.” IDC의 프로그램 매니저인 존 그레이디(John Grady)의 설명이다. “이는 전부 현 상황을 반영한 변화입니다. 요즘의 해킹 공격은 정말 다채롭게 벌어집니다. 그것도 아주 빈번하게 말이죠. 자연히 기업들은 더 높은 수준의 방화벽을 요구하게 되었고 이에 발맞추기 위해 시장이 그쪽으로 움직이게 된 것이죠. 방화벽은 계속해서 새로운 기능을 덧입을 것입니다.”

차세대 위협에 걸맞은 차세대 방화벽의 또 다른 중요한 기능은 바로 네트워크의 ‘분리’다. 요즘 해커들은 서드파티를 통한 우회공격도 감행하기 때문이다. “전부 하나로 연결된 네트워크는 운영하기는 편합니다만, 해커들에게도 참 편안한 환경이 됩니다”라고 포레스터(Forrester)의 부회장인 존 킨더백(John Kindervag)이 첨언한 것처럼 말이다. 아무리 ‘나의 네트워크 보안’이 철저하더라도 취약한 네트워크에 조금이라도 닿아있으면 무용지물이다. 그래서 킨더백은 차세대 방화벽을 “분리 게이트웨이(segmentation gateway)”라고 부른다.

팔로알토의 게이니 역시 방화벽이란 이름이 더 이상 어울리지 않는 시대라고 한다. 이제 방화벽은 여러 가지 기능을 통합해서 수행하는 하나의 플랫폼으로 봐도 무방하다는 의견이다. “방화벽이란 단어 자체가 이제 구시대의 유산물처럼 되어가고 있습니다. 아직 적당한 용어가 나오지 않았을 뿐입니다.”

그렇다면 그 다음 방화벽은 어떤 모양일까? 엔드포인트에도 보안 관련 기능을 갖추는 것이 가장 유력해 보인다. “엔드포인트에서 발생하는 트래픽을 관찰해도 어마어마한 정보들이 도출됩니다. 엔드포인트에는 엔드포인트에서만 발생하는 특이한 점들이 있어요. 특히 네트워크와 분리된 엔드포인트라면 더욱 그렇죠.” 시스코는 자신들이 개발한 방화벽(혹은 플랫폼)에 이미 이런 엔드포인트 보안 기능이 있다고 한다.

하지만 451 리서치(451 Research)의 수석분석가인 에이드리안 사나브리아(Adrian Sanabria)는 ‘차세대’라고 하는 기능들 중 진정한 의미의 ‘차세대’는 없다고 딱 잘라 말한다. “요즘의 기술력에 비해 월등히 앞서는 기능들은 사실 아니죠. 그냥 ‘차세대’라느니 ‘고급’ 이런 표현을 쓰지 않으면 마케팅 측면에서 경쟁력을 더 갖기 힘드니까 붙인 이름인 듯 합니다. 소위 ‘차세대’ 방화벽을 가지고도 아직 막지 못하는 현세대 공격들이 여전히 존재합니다. 그것만 봐도 이 이름이 과장된 것이라고 볼 수 있죠.”

차라리 스카이하이가 진출하려고 하는 클라우드 앱 시장이 블루오션에 더 가깝다는 것이 그의 의견이다. “클라우드 앱 제어라는 시장은 완전히 새롭게 태어난 시장입니다. 물론 이미 존재하고 있는 기술력에 기반하고 있다고 해도요.” 올해 초 사나브리아는 이 분야에서의 경쟁이 불타오를 것이라고 예견한 바 있다. 게다가 팔로알토와 시스코를 직접 언급하기도 했었다. 그의 이런 다소 냉소적인 반응이 설득력을 가지는 이유다.

그렇다면 이제 우리는 기존의 방화벽에 작별을 고해야 할까? “아직 기존의 방화벽을 완전히 넘어서는 단계는 아닙니다. 전 세계의 그 수많은 시스템마다 사용처와 방법이 다르기 때문에 분명 어디에선가는 기존 방화벽이 더 선호되기도 할 것입니다. 특히 데이터센터와 같은 곳에서는 현재의 방화벽이 더 유용할 것이라고 봅니다. 그런 환경에서는 방화벽의 다기능보다 안정성, 확장성, 가상화 지원이 더 중요하기 때문이죠.”

킨더백은 “이전의 네트워크가 현대의 네트워크로 변했듯 이전의 방화벽도 그렇게 자연스럽게 변하는 것이지 아주 없어지는 건 아닙니다. 필요에 의해 벌어지는 점진적인 과정일 뿐이죠. 결국 언젠가는 완전히 새롭게 교체될 것입니다. 시간의 문제라고 봅니다”라고 정리한다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>