차세대 방화벽 VS IPS

보안영역이라고 모두 똑같은 것은 아니다. 방화벽이 담당하고 있는 보안의 영역이 있고, IPS가 담당하고 있는 보안의 영역이 분명 다르다. 지금까지는 그러했다. 하지만 현재의 추세로 볼 때 그 경계는 별 의미가 없어져 가고 있으며 차세대라는 명목으로 통합되어 가고 있다. 어느 솔루션을 택할 것이냐가 아니라 어느 벤더를 고를 것이냐가 된 듯한 분위기다. 

NGFW 와 IPS 경쟁은 끝났다

차세대 방화벽(NGFW)이 IPS 시장을 잠식하면서 무서운 속도로 확장하자 IPS 솔루션들도 NGFW 를 출시하면서 맞대웅에 나섰다. 그러나 NGFW의 무서운 확장력을 제어하지 못했다. IPS 벤더들은 IPS의 고유 기능을 강화하면서 NGFW와의 공생을 계획하고 있다. NGFW 에서 제어하지 못하는 세밀한 악성코드, 악성트랙픽 제어 능력을 강화하면서 차세대 네트워크 보안 기능을 제공하고있다.

차세대 방화벽(NGFW)은 방화벽, IPS, VPN, QoS, 안티바이러스, SSL, URL, 필터링 등 네트워크 보안에 필요한 모든 기능이 통합돼 있으며, APT 방어 솔루션을 연동하면서 차세대 네트워크 보안 플랫폼으로 확장하고 있다. NGFW는 UTM 시장을 완전히 장악했으며, IPS 시장까지 자신의 역역으로 흡수하고 있다. IPS솔루션들도 차세대 기능을 추가하면서 차세대 네트워크 보안 플랫폼으로 입지를 다지고자 했으나, 차세대 IP는 NGFW 만큼 폭발력을 갖지 못했다. 일부 IPS 솔루션 기업들은 NGFW를 출시하고, IPS와 연동해 NGFW보다 진화한 차단, 탐지 기술을 제공한다고 주장한다. 그러나 NGFW의 막강한 시장 장악력을 극복하지 못했다. 그러나 2015년 IPS 시장에 새로운 변화가 시작됐다. 그동안 NGFW를 뒤쫓는 방식의 차세대 가 아니라 IPS고유기능을 더욱 강화해 IPS 중심의 네트워크 보안 전략을 전개하는 전략으로 지능형 위협방어(APT)를 제공하고 있다.

시스코는 2013년 인수한 소스파이어를 중심으로 네트워크 보안 플랫폼을 통합하였고, 트렌드마이크로가 HP의 티핑포인트를 인수하며 시장에 뛰어든 것이다. 인텔시큐리티는 2014년 인수한 스톤소프트의 NGFW을 2015년 포스포인트에 다시 매각한 IP중심의 보안 전략을 펼치고 있다.

IPS 의 복잡한 업무환경 보호 능력

NGFW에 밀리던 IPS시장이 다시 부활의 움직임을 보이고 있다. 통합보안솔루션만으로 고도화되는 위협을 막을 수 없으며, 세밀한 보안 정책 적용이 가능한 강력한 IP가 필요하기 때문이다. 진화하년 DoS/DDoS, TCP/IP 및 네트워크 프로토콜 취약점을 악용하는 다양한 공격을 NGFW에서만 차단할 수 없다. 다양한 모바일 단말과 무선 네트워크, 클라우드, BYOD 등 복잡해지는 업무환경을 보호하기 위한 대책도 반드시 필요하다. 네트워크를 통해 유입되는 진화된 악성코드에 대한 대책도 필요하다. PDF, 오피스 문서등 정상적인 문서편집 프로그램의 취약점을 이용해 악성코드가 유포되고 있는데, 샌드박스를 우회하는 공격이 확산되고 있어 차단이 더욱 어려워지고 있다.

PC에서 애플리케이션 가시성을 확보해 문서의 위험도를 지능적으로 판단할 수 있는 기술도 요구된다. IPS가 엔드포인트와 연계돼 입체적 보안정책을 펼칠 수 있다는 전략도 나온다. IPS업계에서 가장 눈여겨 보는 점은 시스코의 행보다. 시스코는 글로벌 방화벽 시장 점유율 1위 업체로 2013년 소스파이어를 인수하면서 IPS 시장 장악력을 높였다. 시스코는 소스파이어의 차세대 IPS 플랫폼 파이어파워와 ASA 방화벽을 통합시키면서 차세대 네트워크 보안 플랫폼을 완성해가고 있다. 나아가 정교한 데이터센터 인프라를 구현할 수 있도록 애플리케애션 중심인프라(ACI) 아키텍처에 파이어파워 차세대 IP를 통합시켰다. 이를 통해 데이터센터 내 보안위협을 실시간 탐지, 차단할 수 있게 했다.

한편 시스코는 2015년 오픈 DNS, 랜코프 등 네트워크 보안 기업을 계속 인수하면서 네트워크 보안 역량을 강화하고 있다. 오픈 DNS는 DNS기술을 바탕으로 클라우드 보안 서비스를 제공해 온 기업이며, 랜코프는 엔드포인트에 설치되는 백도어를 네트워크단에서 막는 기술을 가진 기업이다. 시스코는 오픈DNS와 랜코프 기술을 보안 포트폴리오에 합류시켜 만물인터넷(IoE) 환경을 더욱 안전하게 만든다는 계획이다.

ㅁㅁㅁㅁㅁㅁㅁㅁ IPS를 진화시키다

인텔시큐리티는 스톤소프트 인수로 NGFW 시장에 뛰어들었지만 별다른 성과를 얻지 못하고 매각한 후 다시 IPS에 집중하겠다고 밝힌다. NGFW 시장에서는 후발주자로, 경쟁력을 입증할 기회를 얻지 못했지만, IPS시장에서는 오랫동안 지켜 온 점유율을 앞세워 차세대IPS 시장에서의 경쟁우위를 지키겠다는 계산이다. 인텔시큐리티의 맥아피 NSP는 네트워크를 통한 보안 위협을 클라이언트와 연동해 보안위협을 차단하며, IPS에 고성능 SSL 복호화를 장착해 알수 없는 위협에 대한 가시성을 해결한다. 또한 APT 방어 솔루션인 MATD와 연동해 고급 심층 분석이 가능하고 알려지지 않은 멀웨어를 차단한다. 더불어 고객사의 상황에 맞춰 SDN/NFV 가상환경 지원 기술도 탑재하고 있다.

NSP는 코드 에뮬레이션 분석방식을 채택해 시그니처없이 빠르고 정확하게 공격을 탐지, 차단한다. NSP에서 코드행위분석을 통해 코드의 악의성을 분석하고 실시간 차단이 가능하다. 더불어 엔드포인트, 샌드박스와 연계해 은밀하게 침투하는 공격을 효과적으로 차단한다. 티핑포인트를 인수한 트렌드마이크로는 기존의 주력 비지니스였던 엔드포인트, 모바일 보안, 클라우드 보안에이어 네트워크 보안 제품을 확보할 수 있게 됐다고 강조한다. 이를 통해 클라우드, IoT, BYOD 환경에 맞는 보안 포트폴리오를 완성하게 됐으며, 새로운 성장 기회를 갖게 됐다고 자신한다. 이번에 매각된 티핑포인트 제품군에는 취약점 분석 연구소인 DV랩스와 버그바운티 프로그램ZDI가 포함돼 있어 트렌드마이크로의 안티파이러스 기능과 결합해 더욱 지능화된 악성코드 탐지 기술을 선보일 수 있게 될 것으로 기대된다. 한편 트렌드마이크로와 HP 티핑포인트는 기존에 체결한 APT 방어 협력관계는 지속될 것이라고 발표했으며, 매니지드 서비스, 보안 인텔리전스, 애플리케이션, 데이터 보안 협력도 변함없이 제공된다고 밝혔다.

국내 IPS 의 차세대

국내에서 IPS 시장은 방화벽과 마찬가지로 토종 솔루션이 막강한 점유율을 지켜왔으며, 시큐아이와 윈스는 일본 시장에서도 상당히 높은 매출을 기록하고 있다. 시큐아이가 삼성 SDS에 인수됐지만, 지속적으로 솔루션 사업을 강화할 계획을 밝히고 있어 IPS 시장에서 기존의 경쟁력은 유지할 것으로 보인다. 향후 차세대 IPS시장에서 글로벌 기업들의 공격적인 드라이브에 맞서는 차세대 전략을 전개할 수 있을지 주목된다. 시큐아이의 차세대 IPS MFI는 고성능 멀티코어 플랫폼에 최적화된 아키텍처로 인라인 속도를 보장하며, 풀스택 인스펙션으로 익스플로잇 공격, 웹 취약점 공격, 애플리케이션 제어 기능을 제공한다. DDoS방어 전용 엔진을 탑재했으며, 취약점 진단 툴 시큐아이 스캔 과 시큐아이 보안정보센터의 보안포털서비스를 제공한다. 시큐아이 스캔은 네트워크, 보안장비로부터 취약점을 점검하는 제품으로 다중 사용자 점검과 고성능 URL 수집, HTML5, AJAX(XML 1.1)취약점 점검을 제공한다. 웹서버의 알려진 취약점 점검과 DoS 취약점 점검 정책도 분리해 운영한다.

안랩은 트러스트가드 IPX를 앞세워 차세대 IKPS시장을 공략한다. IPX는 안랩의 분석 기술과 자체 제작한 룰을 기반으로 당야한 유형의 최신 네트워크 기반 공격과 악성코드 침입을 차단한다. 6,000여개의 시그니처, C&C서버 블랙리스트 DB를 통해 공격을 차단하고, 국내에서 주로 사용하는 애플리케이션에 대한 정밀한 컨트롤이 가능하다. 더불어 클라우드 기반의 종합 위협 분석 시스템을 통해 급변하는 보안 위협에 대한 실시간 모니터링 및 대응을 제공한다. 윈스는 국내 공공시장의 축소와 일본 시장의 매출 하락으로 많은 어려움을 겪었지만, 2016년에는 초기 일본에 공급한 장비의 교체주기가 도래하기 때문에 매출을 회복할 수 있을 것으로 기대하고 있다.

한편 위스는 IPS와 DDoS방어에 사용되는 핵심 기술인 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법데 관한 기술로 미국특허권을 취득, 미국시장 진출을 위한 준비를 진행하고 있다. 윈스는 가트너 매직 쿼드런트 보고서 침입방지 부문에 등재돼 있다. 윈스의 스나이퍼IPS는 독자적으로 개발한 핵심기술이 적용돼 유해 트래픽을 능동적으로 탐지, 차단하며, 자체 침해사고 대응 센터인 WSEC과 연계해 신속한 대응이 가능하다. 대용량 트래픽 처리에서도 우수한 성능을 기록해 하이엔드 시장에서 인정받고 있다. 침입탐지시스템 스나이퍼IDS는 네트워크 통계분석이 용이해 알려지지 않은 공격과 유해 트래픽의 사전감지에 효과적이다. 40G 탐지 능력을 보장하고 동시에 정상트래픽의 가용성을 확보해 우수한 공격 탐지와 가용성을 모두 갖췄다. 스타이퍼IDS는 국내 시장 점유율 1위의 솔루션으로 다양한 네트워크 환경에서 안정적인 보안 기술을 제공한다.

공격 취약성을 줄이는 솔루션

네트워크 환경이 복잡해지고 보안위협이 높아지면서 보안 시스템의 복잡성도 높아지고 있다. 통합보안의 이념을 가진 NGFW도 네트워클 공격하는 모든 위협을 막지 못하며, IPS, VPN, URL 필터링, 웹방화벽, SSL VPN 등 포인트 솔루션을 추가해야 하는 상황이다. 현재 기업의 네트워크에는 다수의 인라인 장치가 설치되면서 장애발생간격이 짧아지고, 시스템 가용성은 지속적으로 낮아지고 있다. 병목현상이 발생하며, 비용이 늘어나고 장애가 발생하는 등 관리의 어려움도 함께 진행된다. 네트워크 테스트 기업인 익시아는 복잡한 네트워크 환경을 개선할 수 있는 인라인 가시성 포트폴리오를 추가하고 있으며, 그 중 네트워크 보안 솔루션으로 쓰렛아모르를 소개한다. 쓰렛아모르는 네트워크 공격 취약성을 줄여 효과적으로 보안 위협에 대응할 수 있게 한다. 쓰렛아모르는 익시아의 ATI 리서치엣ㄴ터에서 수집한 보안위협을 기반으로 멀웨어를 자동 차단하고 악성URL을 차단하며, 내부 네트워크에서 외부 봇넷이나 C&C 서버로 접근시도를 차단한다. 이를 통해 불필요한 트래픽을 줄이고 공격당할 접점을 줄여 기업 전반의 보안위협을 낮춘다.