애플리케이션 증가로 인한 사용자 요구 급증

최근 기존 방화벽 및 UTM(United Threat Management) 업체들이 차세대 방화벽 솔루션을 선보이며 본격적인 관련 시장이 형성되고 있다.
이는 하드웨어 및 소프트웨어 발전에 따라 성능이 크게 향상되고, 국내 개인정보보호 이슈와 SNS 등 다양한 애플리케이션의 제어기능에 대한 사용자의 요구사항이 늘어나며 최신 보안 이슈를 통합적으로 해결할 수 있는 차세대방화벽의 수요가 높아지고 있기 때문이다.
이처럼 새롭게 등장하는 애플리케이션을 통해 유입되는 새로운 유형의 보안 위협에 대해 기존 운영 시스템으로의 대처 이유로 적극적인 시장 형성을 띠고 있는 국내 차세대 방화벽 관련 업체들을 찾아 시장 동향과 기술이슈에 대해 살펴봤다.

이지혜 팀장 jh_lee@ciociso.com

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징
(시스코 코리아, 시큐아이닷컴, 유퀘스트(팔로알토 국내 총판), 포티넷 코리아)

1. 시장동향              

인터넷 환경 변화에 따른 50억 원대 시장 형성

국내 차세대 방화벽 시장은 외산 업체인 팔로알토, 시스코, 포티넷, 체크포인트 등과 국내 업체인 시큐아이닷컴, 안랩 등을 중심으로 형성돼 있다.
국내에 처음 차세대 방화벽이 도입될 당시 사용자들의 솔루션 개념 이해 부족으로 진입이 쉽지 않았으나 최근에는 국내 업체에서도 개발에 적극적인 움직임을 보이는 등 차세대 방화벽의 필요성이 인지되고 있다.
또한 기존 방화벽에 적용된 기술들이 1995년 경 개발된 초창기 기술을 그대로 사용하고 있어 최근 급변하는 인터넷 환경에 따른 보안위협에 대처할 수 없는 점도 도입 배경이다.
수많은 애플리케이션들이 등장하며 포트 기반으로 제어하는 기존 방화벽으로는 이러한 복잡화되고 증가하고 있는 애플리케이션들을 인지하지 못하고, 이를 통해 유입되는 보안위협에 대해 속수무책일 수밖에 없기 때문이다.
이처럼 방화벽, 침입차단시스템(IPS) 등 여러 기능들을 한 번에 제공하는 기존 UTM의 성능저하 문제를 해결할 수 있는 차세대 방화벽 기술이 등장하며, 고객과 시장의 요구를 만족할 수 있는 솔루션으로 자리잡아가고 있으며 도입 시 다양한 애플리케이션 자체를 인식·분석·제어하며 보안 위협에 대처할 수 있게 됐다.
추가적으로 IPS, URL, Filtering과 같은 기능들을 최대한 성능저하 없이 통합 제공함으로써 가시성을 기반으로 한 통합관리 운영의 효율성을 높일 수 있는 것도 사용자들의 도입 배경이다.
하지만 기존 방화벽 및 UTM 업체들이 차세대 방화벽을 시장에 선보이며 본격적인 관련 시장이 구체화 되고 있지만 아직 기능과 성능 면에서 면밀한 검토가 필요한 상태라는 의견이다.
관련 전문가들은  사용자들이 기존 방화벽에 투자를 한 상태이기 때문에 교체 시 대체 솔루션을 검토하는 등 급격한 시장 확대 보다 점진적 확장이 예상되며, 이에 따라 올해는 40-50 억 원의 시장이 형성될 것으로 내다보고 있다.
이는 점차 많은 고객들이 차세대 방화벽 솔루션의 필요성을 인식해가는 동시에 기존 방화벽의 교체주기가 시작되고 있어 향후 투자 시, 사전도입 검토가 예상되기 때문이다.
현 시점에서 판매되는 방화벽 제품은 방화벽 단독 기능만을 지원하는 제품보다 대부분 UTM이라는 이름으로 판매되거나 차세대 방화벽이라는 명칭으로 판매되고 있기 때문에 방화벽 시장의 100%가 차세대 방화벽 시장이라고 볼 수 있다.
또한 최근 일부 대기업을 중심으로 차세대 방화벽을 지목해 제안요청서(RFP)를 배포하는 건이 증가하며, 사용자의 세밀한 제어가 장점인 차세대 방화벽을 각 기업의 보안 담당자들이 도입하려는 움직임이 늘고 있으며 보안강화의 사회적 분위기로 인해 중소규모의 기업에까지 차세대 방화벽 확산이 예상되고 있다.

2. 기술동향     

VPN·IPS·안티바이러스 기능 등과 연계

업계 전문가들은 차세대 방화벽 구축 시 기본 방화벽에 적용돼 있던 정책을 포함해 애플리케이션에 대한 보안 정책을 신규로 적용해야 하며, 필요시 관련 솔루션 통합을 위해 구축 전 충분한 검토를 바탕으로 체계화된 구축계획과 관리시스템을 도입하기를 권장하고 있다.
이러한 활동으로 기존 여러 가지 보안 솔루션들을 별도로 숙지, 운영하고 있는 상태에서 한 장비 또는 한 화면에서 관리할 수 있기 때문에 운영자의 부담이 현저히 낮아질 수 있다.
또한 사용자들은 차세대 방화벽 도입을 통해 기존 전통적인 방화벽이 단순히 프로토콜 및 해당 포트만을 검사함으로써 인가된 포트를 통해 시도되는 공격 시고에 대한 위협 요소를 해결할 수 있으며, 웹2.0으로 이전함으로써 많은 애플리케이션들이 80(HTTP) 또는 443(HTTPS)로 터널링 되는 방식을 사용에 대해 적정한 방어시스템을 접할 수 있다. 
한 업계 관계자는 “이를 위해 유저 및 그룹별로 아이 인증 방식을 적용해 기업의 기본적인 인증 디렉토리 시스템과 동기화 필요성이 증대되고 있다”며 “기존 정통적인 방화벽을 설치해 사용했던 사용자들이 교체수요를 일으킴으로써 많은 방화벽 솔루션 벤더 기업들이 이에 대한 공략을 시작하고 있다”며 시장 수요의 증가를 언급했다.
한편 차세대 방화벽 기술은 기존 보안기능인 방화벽/ VPN/ IPS 등이 기본 적용과 함께 추가적인 안티바이러스 기능도  요구되고 있다.
도입 산업군은 고객 개인정보를 많이 다루는 서비스/ 통신/ 금융/ 의료기관의 경우 네트워트를 통해 개인정보 유출을 방지할 수 있는 애플리케이션 제어기능이 가장 부각되며, 최근 빈번하게 발생하고 있는 DDoS 공격으로 네트워크 마비 시 피해가 발생할 수 있는 통신과 금융의 경우 DDoS 방어 기능이 중요한 요소로 자리 잡아야 한다는 것이 업계 내 설명이다.
이처럼 차세대 방화벽은 올해부터 내년에 걸쳐 매우 중요한 기로에 서있다는 것이 업계 관계자들의 전망으로, 새로운 방화벽을 도입하려 준비 중인 많은 기존 방화벽 사용자들이 성공적인 차세대 방화벽을 구현하며 그에 대한 긍정적인 시그널 결과를 도출해 내는 것이 관건이라는 입장을 표하고 있다.
즉 차세대 방화벽의 성공 여부는 순수 사용 고객의 평가로부터 시장에서의 성공여부가 판가름 난다는 의견이다.

3. 각 사별 솔루션 특징

시스코 코리아 - “상황인식 기반 특징으로 국내 안착화”

시스코 코리아는 ‘ASA CX’로 차세대 방화벽 시장을 공략하고 있다. 타 기업과 시스코 솔루션에는 ‘상황인식 기반’이라는 차이점이 존재한다.
김용호 시스코 코리아 부장은 “ASA CX는 변화된 IT 업무 환경에 따른 보안 요구사항을 충족시킬 수 있도록 설계한 시스코 보안 프레임워크인 ‘시큐어X’를 근간으로 개발한 상황인식 기반 보안 모듈이다”라며 “시스코 방화벽인 ‘ASA’가 제공하는 보안 기능을 대폭 확장은 물론 단순한 애플리케이션 인식·제어 기능이 아닌 다양한 접속 속성이 반영된 상황인식 기반의 방화벽 기능을 지원해 기존 차세대 방화벽 시스템을 뛰어 넘는 수준 높은 보안을 제공한다”고 말했다. 이에 따라 BYOD(Bring Your Own Device)와 같은 최근 IT 메가트렌드에 따른 다양한 모바일 단말 및 애플리케이션의 무분별한 사용으로 발생되는 보안 사고를 예방할 수 있다는 설명이다.
특히 기업의 Active Directory 또는 LDAP(Lightweight Directory Access Protocol) 등 사용자 DB를 기반으로 인증 및 소속된 역할 기반의 접근통제로 사용자 인증뿐 아니라, 접속한 위치/ 시간/ 단말기/ OS 종류 및 보안 상태까지 상황인식 기반 신원 식별 및 결과에 따른 차별화된 접근제어 정책을 자동 적용한다. 김 부장은 “또한 카테고리 기반의 비업무 URL에 대한 접근 차단 및 통계 리포팅, 감사 로깅 등 업무 생산성을 고려한 웹 접속 통제뿐 아니라 시스코 시큐리티 인텔리전스 활동에 의해 수집된 글로벌 정보 및 평판 점수를 로컬 봔 정책에 반영해 알려지지 않은 위협에 대한 방어 및 오류 최소화를 꾀하고 있다”고 강조했다.

관련 솔루션 - ‘ASA CX’
상황인식 기반의 신원식별 및 접근제어, 애플리케이션 가시화 및 제어, 업무 생산성을 고려한 웹 접속 통제, 실시간 글로벌 위협증보를 반영한다.
관련 애플리케이션을 손쉽게 접근 허가 또는 차단 명령을 실행할 수 있어 IT 관리자들은 보안정책 수행 시 상당부분의 유연성을 보장받을 수 있다.

시큐아이닷컴 - “국내 틈새 노린 후, 해외 시장 공략 ”

국내 벤더 기업으로 차세대 방화벽 시장에 뛰어든 시큐아이닷컴은 ‘SECUI MF2’를 통해 기존 UTM 기능 외에 DDoS 공격 방어, 애플리케이션 제어, 웹 보안 등 최신 보안기능을 통합한 보안솔루션을 지원한다.
‘SECUI MF2’는 외산이 주도하던 차세대 방화벽 시장에 40Gbps급 고성능 플랫폼을 기반으로 정보유출방지(DLP), 네트워크 접근제어(NAC) 연동 솔루션을 제공하는 뛰어난 성능으로 안착시켰다는 평가를 받고 있다.
김형동 시큐아이닷컴 차장은 “모바일 인터넷 환경에서의 인터넷 애플리케이션제어, 로밍 사용자 및 다중 회선 사용이 가능한 가상사설망, ‘가상 보호 도메인’을 통한 유해 트래픽 차단이 가능하다”며 “빠른 검색 속도의 Stream-based 방식과 높은 정밀도의 File-based방식의 글로벌 안티 스팸 솔루션, 스마트 방화벽 및 프록시 서버를 통한 우회 접속을 차단하는 웹 필터 기능을 제공한다”고 밝혔다.
또한 시큐아이닷컴은 애플리케이션 제어기능을 강화함과 동시에 엔드포인트 보안제품과의 연동을 통해 국내 공공, 금융, 일반 기업 등 전 분야에 걸친 영업활동과 일본 중·대형 급 보안시장 및 동남아 10개국 시장개척에 적극적으로 나선다는 방침이다.
김 차장은 “일본 판매용으로 개발된 통합위협관리(UTM) 제품을 통해 중소기업(SMB) 시장에 주력해왔으며 국내에 출시한 제품과 라인업 그대로 해외 시장에 적용해 중소형시장부터 대형시장까지를 타깃으로 하게 된다”며 “이를 위해 시큐아이닷컴은 일본 보안관제서비스 기업인 브로드밴드 시큐리티와 일본 보안서비스 시장 진출을 위한 MOU를 체결해 자사 통합위협관리 솔루션의 일본 현지영업활동을 전담한 트라이포드웍스와 ‘SECUI MF2’ 시리즈의 현지 판매계약을 체결한 바 있다”고 덧붙였다.

관련 솔루션 - ‘SECUI MF2’
각각의 네트워크 계층에 대한 딥 패킷 인스펙션(Deep Packet Inspection)을 통해 외부 공격 차단, 악성코드 유입방지, 좀비 탐지뿐 아니라 수많은 애플리케이션들에 대한 식별 및 제어기능을 제공한다. 또한 네트워크 속도 저하 없이 멀티코어들을 효율적으로 사용하는 부하분산 처리기술을 적용한 ‘SC FDE’(SECUI Clustering-based Flow Distribution Engine)를 적용한 것이 특징이다.

유퀘스트 - “멀웨어 방지 기능 추가로 업계 선두 지속”

팔로알토네트웍스의 국내 총판을 맡고 있는 유퀘스트는 최근 팔로알토네트웍스가 발표한 ‘와일드파이어’ 기술로 시장의 이목을 받고 있다.
와일드파이어는 팔로알토의 차세대 방화벽에 실시간 지능형 위험공격(APT) 등을 탑재할 수 있는 악성코드 탐지 및 제어 자동화 기술을 지원한다. 이 기술은 기존 시그너쳐 기반의 보안솔루션 단점을 해소할 수 있는 기술로 실시간으로 유입되는 각종 알려지지 않은 신규 악성코드를 단시간 내에 새롭게 탐지, 분석할 수 있다.와일드파이어는 다양한 애플리케이션을 통해 전송되는 APT공격과 악성코드를 가상화 환경에서 판별해 제로 데이 공격을 사전에 실시간 탐지, 분석, 차단한다.
강종철 유퀘스트 대표는 “외부로부터 들어오는 EXE 및 DLL(Dynamic Linking Library)파일만 체크해 와일드파이어 클라우드 센터로 전송한 후, 새로운 시그너쳐를 방화벽으로 전송시켜 알려지지 않은 악성코드에 대한 보안 정책을 수립하게 된다”며 “내부망 보호를 위해 가상화 환경의 샌드박스로 보내어지는 파일에 대한 보안 정책 설정이 가능하다”고 전했다.
이후 와일드파이어 포탈에 접속해 분석한 악성코드에 대한 결과 확인과 악성코드 세부동작에 대한 정보 확인, 바이러스 토털 링크를 통한 추자 정보를 확인할 수 있다.
강 대표는 “기존 시그너쳐 기반의 보안 솔루션으로는 최근 화두로 떠오르는 APT 공격 등을 완벽히 차단할 수 없다”며 “APT 공격 등의 신규 멀웨어 방지 기술인 와일드파이어는 기존 차세대 방화벽의 성능에 전혀 영향을 주지 않으면서 구현할 수 있는 것이 가장 큰 장점”이라고 말했다.

관련 솔루션 - ‘와일드파이어’
실시간으로 유입되는 각종 알려지지 않은 신규 악성코드를 1시간 내에 새롭게 탐지/분석해 자동적으로 팔로알토 방화벽의 시그너쳐를 업데이트할 수 있으며, 지능화/조직화되면서 다양해진 APT공격 등의 신규 악성코드를 자동 차단할 수 있다

포티넷코리아 - “사용자 환경에 맞는 유연성 중요”

포티넷 코리아의 차세대 방화벽 솔루션은 ‘포티게이트(FG)-3240C’로 지난 2009년부터 포티OS 4.0의 첫 출시와 함께 차세대 방화벽이 기본적으로 지원해야 하는 애플리케이션 제어와 사용자 아이디 기반의 보안 정책 설정 기능을 지원에 이어, 포티ASIC의 버전업에 맞춰 출시됐다.
이상준 포티넷 코리아 부사장은 “FG-3240C는 클라우드 서비스를 제공하는 대기업, 서비스 제공업체 및 통신사를 주요 타깃으로 하며 40Gbps의 어플라이언스 방화벽 성능과 12개의 하드웨어 가속형 10GbE 포트 및 16개의 하드웨어 가속형 1GbE 포트를 지원함으로써, 동급 최대의 10G 이더넷 포트 밀도를 구현한다”며 “개별적인 포인트 보안 제품을 통합해 네트워크 성능에 영향을 미치는 지연 원인을 제거함으로써 보안에 따른 성능 저하를 최소화시킨다”고 말했다.
또한 ‘FG-3240C’는 침입 방지, 사용자 기반 정책, 엔드포인트 정책 집행 등 보안 기능을 통합해 광대역 네트워크 보호와 함께 안전한 원격 접속과 정책 컴플라이언스를 위한 인증 옵션을 갖추고 있다. 
이 부사장은 “과거 애플리케이션마다 사용하는 포트를 통제하는 형태에서 벗어나 웹이 사용하는 포트를 통해 수많은 애플리케이션이 이용되고 있기 때문에 악의 유무를 구별한 코드를 구분할 필요가 있다”며 “차세대 방화벽은 전통적인 패킷 필터링 기능과 상태 기반 프로토콜 인스펙션, VPN 기능 등을 반드시 포함해야 한다”고 강조했다.
 
관련 솔루션 - ‘포티게이트(FG)-3240C’
12개의 10Gbps 포트와 16개의 1Gbps 포트를 제공해 확장성 크게 높였다는 점이 장점이다. 애플리케이션 제어 기술과 IPS 기술을 통합한 차세대 방화벽으로 1900개가 넘는 개별 애플리케이션에 대한 세밀한 제어를 수행할 수 있으며, 2U 크기의 보안 어플라이언스로 40Gbps의 방화벽 성능을 제공한다.