[288호] 승인 2013.06.01
BYOD 이슈로 기업 비즈니스에 필요한 애플리케이션 설치가 늘어나면서 웹 보안 취약성 역시 대두되고 있다. 최근 들어 웹 보안이 더욱 부각되는 이유는 외부에서 웹을 통한 홈페이지 위·변조 및 개인정보 유출에 대한 보안대책으로의 필요성이 증가하고 있기 때문이다. 특히 기업 DB서버에 저장된 민감한 정보에 접근하는 웹 기반 애플리케이션을 노리는 공격들이 진화하면서, 웹 서버 해킹 등 다양한 기술을 통해 기업 데이터 유출과 네트워크 마비와 같은 보안 위협을 가하고 있다. 이에 따라 각 주요 산업군에서는 웹 방화벽 설치에 대한 필요성을 느끼며 도입 추세 또한 꾸준히 증가하고 있다. 웹 방화벽 시장 흐름과 관련 업체에 대해 살펴봤다.
이지혜 팀장 jh_lee@ciociso.com
| 기술개요1. 시장동향 2. 연계동향 3. 각 사별 솔루션 특징(블루코트 코리아/ 포티넷 코리아/ 펜타시큐리티) |
1. 시장동향
웹 방화벽, APT솔루션과 협업 가능
웹 방화벽 시장은 초기에 공공시장에서 도입된 이후 금융, 게임, 포탈 등 전 산업분야로 확대되고 있다. 또한 최근 클라우드 환경 내 보안 취약점 보완을 위한 방안으로 웹 방화벽을 도입하는 추세로, 소호기업이나 호스팅 관련 업체 등에서도 웹 방화벽 솔루션을 관심 있게 지켜 보고 있다.
지난해 웹 방화벽 시장은 약 529억 원 규모였으며 이는 전년대비 6.7% 증가한 수치다. 올해 역시 8~9%대의 성장률을 보이고 있으며 시장 매출액은 약 575억 원에 달할 것으로 업계 전문가들은 내다보고 있다. 웹 방화벽 중요성에 대한 사용자 인식은 재작년 개인정보보호법이 발효된 이후 내부정보 유출 방지에 초점을 두며 확대되기 시작했으며 지난 3.20사태 역시 웹 방화벽 수요 상승을 돕고 있다.
지난해 웹 방화벽 시장은 약 529억 원 규모였으며 이는 전년대비 6.7% 증가한 수치다. 올해 역시 8~9%대의 성장률을 보이고 있으며 시장 매출액은 약 575억 원에 달할 것으로 업계 전문가들은 내다보고 있다. 웹 방화벽 중요성에 대한 사용자 인식은 재작년 개인정보보호법이 발효된 이후 내부정보 유출 방지에 초점을 두며 확대되기 시작했으며 지난 3.20사태 역시 웹 방화벽 수요 상승을 돕고 있다.
  | ||
3.20사태에서 대표적으로 확인되는 것은 SQL(Structured Query Language)인젝션을 통한 공격으로, 과거 웹 보안에 상대적으로 관심이 적었던 금융권 및 언론사의 웹 방화벽 구축 필요성 역시 증가할 것으로 예상된다. 업계는 3.20사태로 사용자들이 단순히 APT 전용장비 구축에만 집중하고 있지만 근본적으로 APT 공격을 막기 위해서는 게이트웨이 단에서 암·복호화 및 분석이 가능한 협업 형태의 장비가 필요하다고 강조한다. 바로 이것이 웹 방화벽이다. 각 산업군별 웹 방화벽 접근법을 살펴보면 금융/민수(제조)는 주요 제품 선정 기준을 성능 및 보안성을, 공공/교육은 상대적으로 기능 및 인증을 고려요소로 꼽는다.
하지만 이들의 공통된 사항은 신규해킹 유형에 대한 빠른 대응력이다. 최근 사용자들의 웹 방화벽 도입의 구체적인 이유는 홈페이지 위·변조, 고객 서버를 도용한 해킹공격의 경유지 설정, 개인정보 탈취시도 등을 비롯해 서비스 업체의 예약시스템을 다운시키거나 속도를 저하시키는 행위들이 포함된다. 웹 방화벽 전문기업들은 사용자가 웹 방화벽을 구축 또는 운영할 때에 운영/유지보수를 꼼꼼히 살펴봐야 한다고 강조한다.
웹 공격이 급속도로 발전하면서 웹 방화벽 역시 이에 따른 지속적인 패치와 관리가 필요하기 때문이다. 향후 웹 방화벽 기술의 변화로는 지속적인 고성능이 예상된다. 공공과 기업 IT인프라 자체가 확대돼 10G를 지원하는 장비에 대한 요구가 늘어남에 따라 고성능 장비가 필수가 되고 있다. 유지보수 매출 역시 계속해서 증가하고 있어 관제업체와의 제휴 등을 통한 웹 방화벽 임대서비스 사업의 성장도 예상되고 있다.
웹 방화벽은 웹서비스를 지원하는 고객들이 구축해야 할 솔루션이지만, 보안장비 특성상 네트워크 장비보다 고가로 형성돼 저예산 사용자들에게는 임대 서비스가 각광을 받고 있다. 업계는 이 사업 역시 연간 30% 이상 성장할 것으로 예측하고 있다. 특히 보안에 취약한 클라우드는 가상화 웹 방화벽을 탑재해야 하면서 관련 업체들 역시 적극적으로 고객 유치에 뛰어들고 있다.
하지만 이들의 공통된 사항은 신규해킹 유형에 대한 빠른 대응력이다. 최근 사용자들의 웹 방화벽 도입의 구체적인 이유는 홈페이지 위·변조, 고객 서버를 도용한 해킹공격의 경유지 설정, 개인정보 탈취시도 등을 비롯해 서비스 업체의 예약시스템을 다운시키거나 속도를 저하시키는 행위들이 포함된다. 웹 방화벽 전문기업들은 사용자가 웹 방화벽을 구축 또는 운영할 때에 운영/유지보수를 꼼꼼히 살펴봐야 한다고 강조한다.
웹 공격이 급속도로 발전하면서 웹 방화벽 역시 이에 따른 지속적인 패치와 관리가 필요하기 때문이다. 향후 웹 방화벽 기술의 변화로는 지속적인 고성능이 예상된다. 공공과 기업 IT인프라 자체가 확대돼 10G를 지원하는 장비에 대한 요구가 늘어남에 따라 고성능 장비가 필수가 되고 있다. 유지보수 매출 역시 계속해서 증가하고 있어 관제업체와의 제휴 등을 통한 웹 방화벽 임대서비스 사업의 성장도 예상되고 있다.
웹 방화벽은 웹서비스를 지원하는 고객들이 구축해야 할 솔루션이지만, 보안장비 특성상 네트워크 장비보다 고가로 형성돼 저예산 사용자들에게는 임대 서비스가 각광을 받고 있다. 업계는 이 사업 역시 연간 30% 이상 성장할 것으로 예측하고 있다. 특히 보안에 취약한 클라우드는 가상화 웹 방화벽을 탑재해야 하면서 관련 업체들 역시 적극적으로 고객 유치에 뛰어들고 있다.
2. 연계동향
기업 내부 정책에 맞게 구축해야
많은 방패가(웹 방화벽)가 필요해지는 이유는 그만큼 많은 창(공격)이 공격해오기 때문이다. 최근 창의 공격력이 더욱 발달함에 따라 고성능 방패의 필요성 또한 절실히 필요하다. 기존 기업에 도입된 방화벽, ISP제품들은 OSI(Open Systems Interconnection) 7Layer 중에서 3, 4단계에 대한 보안 장비로, 7단계인 애플리케이션 계층을 통한 해킹 공격의 탐지는 어렵다.
하지만 현재 이뤄지고 있는 해킹 중에서 웹 해킹 점유율이 약 85%에 달하며, 이 애플리케이션 계층에서 이뤄지는 해킹을 막을 수 있는 방안이 웹 방화벽으로 지목되고 있다. 또한 APT 공격탐지가 훨씬 어렵고 빠르게 진화하는 가운데 향후 APT 공격 역시 SSL 기반으로 트래픽을 암호화해 공격을 수행하는 방향으로 진화할 가능성이 높다. 현재 대부분의 APT 및 포렌식 제품들이 암호화 트래픽의 자체 복호화가 불가능하기 때문에, 연동된 시스템으로 복호화한 후 APT 공격 차단과 분석을 할 수 있다.
APT 공격 방어를 위해서는 무엇보다 내부 사용자가 악성코드에 감염되지 않아야하기 때문에 악성코드 사이트 접속을 차단하는 것이 기본이다. 또한 클라우드 및 BYOD 환경이 증가함에 따라 스마트 폰 또는 노트북을 통해 외부에서 감염된 후 내부에 다시 전하되는 문제를 방지하기 위해 클라우드 웹 방화벽 서비스가 요구되고 있다. 감염된 웹 사이트 또는 메일 등을 통해 악성코드가 내부에 유입되더라도 이를 탐지 차단하는 기술이 부재하거나, 악성코드로 이미 감염돼 있지만 안티바이러스 또는 APT 제품에서 탐지 하지 못할 경우 내부 봇PC가 외부C&C서버와 통신하는 것을 차단하는 기술이 필요하다. 이밖에 악성코드에 감염된 PC와 C&C서버가 통신하는 네트워크 기반의 포렌식 분석이 필요하며, 포렌식 시스템 역시 암호화 트래픽에 대한 분석은 불가능하므로 연동된 시스템을 구축해야 한다.
이처럼 웹 방화벽은 기업 요구에 부합해 암호화 된 사이트와 사용자 인증, SSL 트래픽 검사, 콘텐츠 제어 및 정책에 있어서 유연성을 확보해 가는 데 주력하고 있다. 궁극적으로는 기업 내부 정책에 맞는 맞춤형 솔루션을 제공하면서 암호화 된 트래픽과 알려지지 않은 사이트 접속 제어를 통해 내부 정보 및 자료유출을 방지하기 위함이다.
3. 각 사별 솔루션 특징
하지만 현재 이뤄지고 있는 해킹 중에서 웹 해킹 점유율이 약 85%에 달하며, 이 애플리케이션 계층에서 이뤄지는 해킹을 막을 수 있는 방안이 웹 방화벽으로 지목되고 있다. 또한 APT 공격탐지가 훨씬 어렵고 빠르게 진화하는 가운데 향후 APT 공격 역시 SSL 기반으로 트래픽을 암호화해 공격을 수행하는 방향으로 진화할 가능성이 높다. 현재 대부분의 APT 및 포렌식 제품들이 암호화 트래픽의 자체 복호화가 불가능하기 때문에, 연동된 시스템으로 복호화한 후 APT 공격 차단과 분석을 할 수 있다.
APT 공격 방어를 위해서는 무엇보다 내부 사용자가 악성코드에 감염되지 않아야하기 때문에 악성코드 사이트 접속을 차단하는 것이 기본이다. 또한 클라우드 및 BYOD 환경이 증가함에 따라 스마트 폰 또는 노트북을 통해 외부에서 감염된 후 내부에 다시 전하되는 문제를 방지하기 위해 클라우드 웹 방화벽 서비스가 요구되고 있다. 감염된 웹 사이트 또는 메일 등을 통해 악성코드가 내부에 유입되더라도 이를 탐지 차단하는 기술이 부재하거나, 악성코드로 이미 감염돼 있지만 안티바이러스 또는 APT 제품에서 탐지 하지 못할 경우 내부 봇PC가 외부C&C서버와 통신하는 것을 차단하는 기술이 필요하다. 이밖에 악성코드에 감염된 PC와 C&C서버가 통신하는 네트워크 기반의 포렌식 분석이 필요하며, 포렌식 시스템 역시 암호화 트래픽에 대한 분석은 불가능하므로 연동된 시스템을 구축해야 한다.
이처럼 웹 방화벽은 기업 요구에 부합해 암호화 된 사이트와 사용자 인증, SSL 트래픽 검사, 콘텐츠 제어 및 정책에 있어서 유연성을 확보해 가는 데 주력하고 있다. 궁극적으로는 기업 내부 정책에 맞는 맞춤형 솔루션을 제공하면서 암호화 된 트래픽과 알려지지 않은 사이트 접속 제어를 통해 내부 정보 및 자료유출을 방지하기 위함이다.
3. 각 사별 솔루션 특징
| 블루코트 코리아 “PC 트래픽 감시로 APT 공격 차단” | ||||
김기태 블루코트 코리아 지사장은 “악성코드 전파의 빈번한 경로인 검색엔진, 웹 메일, SNS 사용량 급증으로 기업들은 보안 위험에 직면하고 있다”며 “이러한 악성코드 감염을 사전에 차단하기 위해 암호화된 웹 메일과 사이트 제어 등의 위험 경로 차단에 대한 요구가 함께 증가하고 있다”고 말했다. 실제 블루코트 SWG는 공격 발생 이전에 악성코드를 분석 및 식별해주는 ‘네거티브데이 방어’로 사용자를 보호하며 SSL 암호화 트래픽을 함께 제어해준다. 또한 카테고리 분류로 의심되는 사이트 차단을 통해 2차 감염 경로를 막아 공격이 발생하더라도 지속적인 차단이 되도록 지원하고 있다. 김 지사장은 “이뿐 아니라‘ 프록시(Proxy)SG 어플라이언스’는 급증하는 암호화된 웹(HTTPS)을 통한 악성코드 유입을 사전에 방지해준다”고 전했다. 즉 암호화된 SSL 트래픽을 복호화한 후, APT 방어제품과의 협업을 통해 보안검사기능을강화하는방법이다. ‘블루코트프록시(Proxy)AV어플라이언스’는 별다른 네트워크 성능 저하 없이 웹 게이트웨이에서 인라인 악성코드 위협을 탐지 및 차단해준다. 블루코트 코리아 측은 이를 통해 별도의 연동 없이 사용자가 보유한 기존 장비 및 APT장비들에서 분석하지 못하는 암호화된 웹 트래픽을 SSL탭 기능으로 위협 요인을 분석할 수 있다고 전한다. 한편 블루코트는 클라우스 서비스를 통해 전세계 모든 사용자가 어디에서나 관리 및 설치가 가능하도록 경계 없는 웹 서비스를 제공해 동일한 보안 정책을 적용받을 수 있도록 돕고 있다. | ||||
| 포티넷 코리아 “애플리케이션 레이어 기반 보안 향상” | ||||
‘포티웹 5.0’은 웹 애플리케이션에서 다양한 악성코드 공격이 늘어남에 따라 악성코드 탐지 기능과 애플리케이션 레이어(OSI L7) 위협에 대응할 수 있는솔루션이다. '포티웹’은 포티가드 랩이 제공하는 실시간 업데이트 보안 정보를 기반으로 한 악성코드 탐지와 사용자 행동 분석을 제공하는 한편, IBM 및 HP가 지닌 소스코드 분석기능이 탑재돼 안전한 웹 서버 운영이 가능하다. 최 지사장은 “포티웹 5.0은 웹 어플리케이션 방화벽, 웹 트래픽 가속기, 웹 어플리케이션 로드 밸런싱 기능을 사용자 라이선스 비용추가 없이 단일 하드웨어에 통합 시킨다”며 “이로써 비용절감은 물론 애플리케이션 인지가 가능한 로드밸런싱 기능과 데이터 압축, 최적화된 엔진을 동시에 지원한다”고 강조했다‘. 또한 ‘포티웹 5.0’은 SQL인젝션과 크로스 사이트 스크립팅과 같은 복잡한 공격에 효과적으로 대응하고 있으며, 기업 내부 정책 집행과 간단한 모니터링이 장점으로 부각되고 있다. 포티웹이 제공하는 ‘자동학습 프로파일링 시스템’ 역시 애플리케이션 자체나 네트워크 구조에 수정을 요구하지 않으면서 해당 애플리케이션으로 향하는 임의의 트래픽을 조사하며 생성된다. 포티넷 측은 이를 통해 기업의 ‘백-엔드’에 위치한 웹 서버를 대상으로 하는 임의 취약점 및 제로데이 공격 방어가 가능하다고 밝혔다. | ||||
| 펜타시큐리티 “가상화 웹 방화벽으로 클라우드 시장 공략” | ||||
이강원 펜타시큐리티 본부장은 “기업들이 고객 개인정보/ 사업과 관련된 핵심정보를 다량 보유하고 있을 경우 보안에 대한 우려는 더욱 커지며, 사이트 자체에 대한 위·변조 시도를 막기 위해 웹 방화벽 구축은 필수”라고 전했다. 펜타시큐리티 측은 ‘WAPPLES’는 지능적인 탐지가 가능하기 때문에 공격이 아닌 것을 공격으로 탐지해 서비스 장애를 초래하는 경우가 현저히 낮으며, 기존에 알려지지 않은 비정형화된 형태의 공격 탐지도 할 수 있다고 설명했다. 이 본부장은 또 “인라인 방식 등을 비롯해 시스템이 부하를 주지 않는 다양한 방식의 설치를 할 수 있어서 장비문제가 발생할 경우, 서비스 제공에 지장을 주지 않기 위해 BYPASS 기능을 제공한다”고 말했다. 펜타시큐리티가 최근 출시한 ‘WAPPLES V-Series’는 어플라이언스로 제공되는 것이 아닌 가상 이미지 형태(Virtual Image)로 제공되는 웹 방화벽이다. 펜타시큐리티 측은 제공 형태만 다를 뿐 모든 탐지ㆍ차단 및 기타 작동은 기존 ‘WAPPLES’방식과 동일하다고 전했다. 가상화 환경에서 동작하는 ‘WAPPLES V-Series’는 VMware, 시트릭스 XEN, 마이크로소프트 하이퍼-V, 레드햇 KVM 등의 가상화 솔루션을 지원한다는 장점이 있다. | ||||
댓글
댓글 쓰기