IPS, 2003년 경 창궐한 웜 바이러스 대응 위해 등장
기술적 발전과 시장의 니즈로 차세대 IPS ‘NGIPS’ 선보여
국내CC인증 때문에 국산과 외산 기업의 기형적 경쟁 심화

[보안뉴스 원병철 기자] 외부 공격으로부터 최전방에서 방어를 하는 솔루션 중 하나가 바로 IPS다. 침입방지시스템(Intrusion Prevention Systems)의 줄임말인 IPS는 네트워크 보안의 최전선인 방화벽 다음으로 구축되어 네트워크 보안을 책임지고 있다.


처음 IPS가 등장한 것은 2003년 경, 갑작스레 증가한 웜 바이러스 때문이다. 기존 방화벽(FireWall)이 웜 바이러스를 막지 못하면서 이를 차단할 수 있는 효과적인 솔루션이 필요해졌고, 이때 등장한 것이 바로 IPS다. 초기 IPS 시장은 이러한 웜 바이러스 이슈를 기반으로 성장했고, FW-IPS 라인을 이루며 네트워크 보안시장을 주도하기 시작했다.

한동안 보안의 필수요소로 굳건하게 자리를 지켰던 IPS였지만, 나날이 지능화되고 강력해지는 공격기법을 방어하기 위해 어플리케이션 컨트롤 기능과 웹필터, APT 등 다른 방어기능들을 추가하게 된다. 이른바 차세대 침입방지시스템(NGIPS: Next Generation Intrusion Prevention Systems)으로 성장하게 된 것이다.

문제는 역시나 기능을 추가하고 강화한 차세대 방화벽(NGFW: Next Generation FireWall)이나, 방화벽+IDS+IPS+VPN 등 기존 네트워크 보안 솔루션을 통합한 UTM(Unified Threat Management) 등 또 다른 보안 솔루션과 경쟁하게 되면서 시장은 점차 혼란 속에 빠져든다. 비슷한 기능들이 겹치게 되면서 각각의 영역을 지켜왔던 솔루션들이 이제 경쟁자가 됐기 때문이다.

상황이 이렇게 되자 일부 IPS 기업들은 아예 전문성을 강화하는 방향으로 전환했다. 맥아피 와 같은 기업은 IPS의 기능을 크게 강화하면서 고도화된 공격으로부터의 방어를 최우선하고 있다. 그러나 포티넷은 다르다. 아예 통합장비로서 기능을 강화한 포티넷은 다양화된 공격으로부터의 방어에 집중하고 있다. 다만 이는 선택과 집중의 차이일 뿐 성능의 차이는 아니다. 실제로 두 기업은 가트너 매직 쿼드런트 보고서에서 각각의 영역에서 리더 그룹에 속해 있을 정도로 이미 기술력을 인정받았다.

국내 CC인증 때문에 공공시장과 민간시장 구분 확연
현재 국내 IPS 시장은 공공과 민간, 국산과 외산으로 극명하게 나뉘어 있다. 바로 국내 CC인증 때문. 우리가 흔히 CC인증으로 알고 있는 공통평가기준(Common Criteria)은 국제표준(ISO/IEC 15408) 중 하나로 IT 제품의 보안평가 인증을 말한다. 그런데 우리나라는 세계 유일의 분단국가라는 특수성 때문에 별도의 CC인증을 발급하고 사용하고 있으니, 바로 국내CC인증이다.

국정원 IT보안인증사무국이 2009년 6월 1일부로 국가 및 공공기관이 네트워크 기반 제품과 컴퓨팅 기반 제품을 도입할 때는 CC인증을 획득한 제품을 도입해야 한다고 정한 것이다. 문제는 국내 CC인증을 획득하기 위해서는 소스코드 공개는 물론 적잖은 시간과 비용이 들어간간다는 점이다. 이 때문에 이미 국제 CC인증을 획득한데다, 그리 큰 시장도 아닌 한국시장에서의 영업을 위해 소스코드를 공개하고 시간과 비용을 투자할 필요가 없는 글로벌 브랜드 기업들은 공공분야 영업을 포기하고 민간분야에만 집중하게 된다.

이 때문에 공공분야 IPS 시장은 국내 기업들끼리 경쟁하고 있으며, 대기업을 포함한 민간분야는 글로벌 기업과 국내 기업들이 각축을 벌이고 있다. 상황이 이렇다보니 IPS 시장은 혼탁한 편이다. 특히, 글로벌 기업들은 가트너 매직쿼드런트 보고서 등을 인용하며 기술력을 강조하고 있으며, 국내 기업들은 한국의 특수성을 내세우고 있다.

실제로 가트너 매직 쿼드런트 2017년 1월 ‘IDS&IPS’ 보고서를 보면 글로벌 기업인 시스코와 맥아피, 트랜드마이크로만이 리더 그룹에 속해 있으며, 국내 기업인 안랩 등은 니치 플레이어 그룹에 속해 있다. 물론 가트너의 보고서가 절대적인 기준은 아니지만 시장을 분석하는 데는 참고할 가치가 충분하다.

교체시장과 ISMS 획득 위한 신규 구입 등 성장 가능성 있어
IPS의 역사가 워낙 오래된 탓에 이미 신규시장은 거의 없는 것으로 알려졌다. 다만 노후화 등의 이유로 장비를 교체하는 ‘교체 시장’만이 남아있다는 얘기다. 업계에 따르면 IPS 장비는 5년을 기준으로 적게는 3년에서 많게는 8년까지 사용된다. 그 이후에는 장비를 교체해야 한다.

게다가 최근 ISMS 인증을 취득하기 위해서는 IPS 장비가 필수이기 때문에 IPS를 아직 구입하지 않은 일부 기업에서는 신규 구입도 진행되고 있으며, 클라우드가 활성화됨에 따라 클라우드에서 적용할 수 있는 가상 IPS도 시장에 등장하고 있다. 이미 맥아피와 안랩 등은 가상 IPS 솔루션과 서비스를 시장에 선보인 상태다. 즉, 아직까지 시장의 성장성은 충분하다는 점이다.

이에 따라 IPS 전문기업들은 IPS 기능의 고도화와 APT 등 기능의 다양화 등을 통해 차세대 방화벽(NGFW)이나 UTM 등과 경쟁을 하는 한편, 차세대 IPS(NGIPS)와 클라우드 시장을 겨냥한 가상 IPS 등 미래를 위한 준비도 함께 해나가고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>