[ICT특별기획 2013]철통보안, 통합보안솔루션이 그리는 미래

분산서비스거부(DDoS), 지능형지속가능위협(APT), 스미싱, 악성코드, 좀비PC 등 보안전문가들만 알고 있었던 용어들이 이제는 일반 사람들의 대화 속에서도 단골주제로 등장한다. 우리나라 주요 전산망, 정부기관, 금융기관 등을 노린 해킹이 피부에 와닿는 현실이 됐기 때문이다.

지난 3.20, 6.25 사이버 테러 이후 보안위협은 설마 하는 사용자들에게 직접 피해를 입힐 수 있을 정도의 위험수위에 이르렀다. 지디넷코리아 특별기획에서는 우리 사회/산업의 핵심 보안 이슈를 점검하고, 개인/공공/기업의 정보 자산을 보호해 줄 수 있는 솔루션을 갖추고 있는 경쟁력 있는 보안 기업에 대해 살펴본다.[편집자주]

기업, 공공 등의 보안담당자가 여러 보안 솔루션을 접하면서 많이 하는 질문 중의 하나는 이 솔루션만 있으면 대부분의 공격들을 막을 수 있냐?는 것이다. 그러나 보안업계 전문가들에 따르면 우리 솔루션만 있으면 100% 막을 수 있다는 설명은 거짓말이나 다름없다. 백신만 설치한다고, 방화벽만 갖췄다고 안심하기에는 공격 패턴이 하루가 다르게 바뀌고 있기 때문이다. 3.20 사이버 테러에서처럼 패치업데이트 기능을 활용해 악성코드가 유포되는가 하면 백신, 방화벽 등을 우회하는 공격기법 또한 지속적으로 발견되고 있다.

보안문제는 하나의 솔루션이나 장비만으로는 해결하기 어렵다. 때문에 자연스럽게 여러 기능을 하나로 통합한 솔루션에 대한 요구가 늘어나고 있다.

■통합보안솔루션의 대세...'UTM'

국내외 보안업체들은 백신, 방화벽, 침입방지시스템(IPS), 가상사설망(VPN), 분산서비스거부(DDoS) 공격 방지 솔루션 등에 더해 네트워크접근제어(NAC), 개인정보보호, 보안USB관리 솔루션에 이르기까지 여러 보안기능을 동시에 구현하면서 통합관리기능을 제공하는 형태로 제품을 진화시키고 있다.

안랩은 '트러스가드'라는 통합보안솔루션을 고안했다. 이 솔루션은 네트워크 보안에 특화된 것으로 기존 안랩이 V3를 통해 확보하고 있는 악성코드 데이터베이스(DB)를 기반으로 기반으로 방화벽, VPN, DDoS 방어기술 등을 하나로 합쳤다. 이 회사는 악성코드 유포 웹사이트 관련 DB를 바탕으로 PC가 해커가 구축한 C&C서버에 접속하는 것을 탐지/차단한다고 설명했다. 이러한 형태의 제품은 UTM 혹은 차세대 방화벽으로 불린다.

이밖에도 빅데이터 기술, 클라우드 컴퓨팅 기술을 결합한 '중앙 집중형 보안 위협 모니터링/분석시스템(ACCESS)'을 도입해 실시간 보안 위협에 대응하고 있다. 성능면에서는 '어드밴스트 A-팀'이라는 독자개발 소프트웨어(SW) 가속기술이 적용돼 높은 수준의 방화벽 성능을 제공한다고 회사측은 덧붙였다.

외산업체 중에는 포티넷이 주목받고 있다. 이 회사는 '포티게이트'라는 UTM을 공급 중이다. 이 제품은 방화벽, 백신, 애플리케이션 컨트롤, 웹URL필터링, IPS, IP평판분석, 클라이언트 평판 분석 등의 기능을 제공한다. 특이한 점은 자체 OS와 주문형 반도체(ASIC)을 도입하고 있다는 것이다. 포티OS는 자사에서 제공하는 여러 UTM을 구동하기 위한 OS다. 또한 ASIC은 통합으로 인해 발생할 수 있는 성능문제를 보완했다. 포티넷에 따르면 이 제품은 2003년부터 국내에 도입되기 시작해 현재 약 1만5천대 이상의 제품이 판매된 것으로 집계되고 있다.

■또 다른 통합보안솔루션은...

통합보안솔루션이 반드시 UTM만을 의미하는 것은 아니다. 닉스테크는 엔드포인트솔루션을 하나로 통합한 '원에이전트'를 출시했다. 이 솔루션은 자사가 확보하고 있는 개인정보보보호, 보안USB 관리, 데이터유출방지(DLP), NAC 솔루션 등을 하나라 통합한 것이다.

기존에 사용자 PC에는 여러 개의 솔루션이 설치되면서 성능저하나 충돌이 일어나는 일이 잦았다. 이러한 문제에 효과적으로 대응하기 위해 고안한 것이 원에이전트라는 것이다. 이 회사는 내달 중 마이크로소프트(MS)와 라이선스 문제를 해결하고, 가격경쟁력을 확보하기 위해 리눅스 기반 제품을 출시할 예정이다.

백두현 닉스테크 본부장은 PC보안솔루션을 단일 에이전트로 통합하는 것은 세계적인 추세라며 이미 많은 글로벌 기업들이 제품군을 통합해 안정적인 엔드포인트 보안환경 구축에 힘쓰고 있다고 말했다.

이글루시큐리티는 'IS-ESM'이라는 솔루션을 제공하고 있다. 이 제품은 각종 보안장비에서 발생하는 대용량 로그를 수집해 자체 개발한 엔진으로 분석한 뒤 직관적인 화면에 관련 내용을 알기 쉽게 표시해준다는 점을 강점으로 꼽았다. 이 회사는 오랫동안 보안관제서비스를 제공해 온 만큼 여러 로그를 통합 분석할 있는 솔루션을 제공하고 있다. UTM처럼 장비를 통합하는 것이 아니라 여러 장비들에서 나온 로그를 통합 관리한다는 것이다.

■통합보안솔루션, 아직 해결해야할 과제 많아

보안에서도 '통합'이 필요하다는 논의는 수년째 지속돼 왔다. 그러나 최근 들어 이러한 솔루션들이 주목받고 있는 이유는 그만큼 해결해야 할 과제들이 산적해 있었다는 것이다. 먼저 여러 기능들을 하나로 통합하면서 발생하는 시스템 성능저하, 레이턴시(지연) 등의 문제를 해결해야 한다는 점이다. 자체 개발한 ASIC을 도입하거나 UTM 내에 멀티코어 CPU를 사용하는 것 등이 이러한 문제를 해결하기 위한 노력이다.

또한 UTM의 경우 네트워크 인프라의 발전 속도에 따라 처리할 수 있는 트래픽 용량 자체를 높여야 한다는 어려움을 안고 있다. 윈스테크넷은 지난 3월 40기가(G)급 트래픽을 처리하는 차세대 방화벽 '스나이퍼AF'를 출시한 바 있다. 이밖에도 외산 솔루션을 중심으로 100G급 방화벽 등을 출시하면서 처리 성능이 개선되고 있다.

UTM은 인터넷을 타고 흘러들어오는 트래픽의 이상 유무를 검증하는데 초점이 맞춰져 있다. 그러나 최근 공격 유형이 기존 L3/L4와 같은 IP주소, 포트 등으로 공격지를 파악할 수 있는데서 벗어나 스카이프, 유튜브, 이메일 첨부파일, 웹사이트 등에 직접 악성코드를 심거나 다운로드를 유도하는 방식으로 구현되면서 L7 영역에서 추가적인 보안기능이 필요하게 됐다.