국내 웹방화벽 동향

웹 처리성능, 클라우드 기반 서비스, 탐지 정확도 향상

 

웹사이트의 취약점을 이용한 해킹은 점차 다양해지고 이를 통한 개인정보 유출사고는 기업과 기관, 그리고 개인에게까지 피해를 주고 있다. 최근에는 웹을 통해 악성코드를 유포해 사용자들을 PC에 악성코드에 감염시키는 사례도 늘고 있다.

이러한 웹의 보안을 담당하고 있는 것이 웹방화벽이다. 웹방화벽은 웹서버 앞에 위치해 정상적인 웹트래픽은 통과시키고 비정상적인 트래픽이나 공격은 차단한다. 웹방화벽은 공공기관, 그리고 온라인 비즈니스를 벌이는 기업들은 대부분 도입하고 있다.

따라서 국내 웹방화벽 시장은 매년 5%대씩 늘고 있다. KISA에 따르면 올해 웹방화벽 시장을 약 500억 원으로 발표한 바 있다. 특히 웹방화벽은 공공부문 수요가 30%이상으로 가장 높은 것으로 나타났다.

기업의 보안담당자들은 웹방화벽에 대해 ‘자동적으로 막아주는 비율이 20-30%정도로 적다고 말했다. 즉 룰 셋팅이 관건’이라는 말이다. 그도 그럴 수 밖에 없는 것이 사이트마다 고객에게 제공하는 웹서비스 형태가 다르고 또 웹서비스가 지속적으로 바뀌기 때문에 거기에 맞는 룰셋팅은 필연적이다. 물론 벤더에서 제공하는 분야별 유형을 참고할 수 있겠다.

최근 웹 방화벽의 이슈는 크게 세 가지로 나눌 수 있다. 첫째, 성능이다. 즉 해커 잠입시도를 웹사이트에서 차단하는 능력이다. 둘째, SSL(Secure Sockets Layer) 속도 능력이다. 셋째, 클라우드 기술이다. 국내 시장에서 활발하게 활동하는 상위권 벤더들을 만나 각 이슈별 대응법과 시장반응에 대해 이야기 나눠보았다.

 

1. 차단 성능, 차단 능력과 속도의 균형 문제

임퍼바, 고성능으로 입맛에 맞는 실시간성 확보

임퍼바 신용훈 지사장은 웹방화벽의 보안의 비대칭성 개선해야 한다고 강조했다. “기존 보안은 감시와 차단 기능에 중점을 두고 있다. 하지만, 침해는 피할 수 없다”며 “선 조치 개념으로 빠르게 대응하고, 기타 요소에 대해서는 확인하고 후 대응 개념으로 전환해야 한다”고 말했다. 즉 선 조치를 위해서는 뛰어난 실시간성이 확보되어야 한다는 설명이다.

금융이나 대기업은 개인정보처리시스템 접속 IP제한에 대한 컴플라이스를 준수해야 한다. 접속한 IP주소 등을 재분석 하여 불법적인 개인정보 유출 시도를 월 1회 이상 정기적으로 탐지해야하며, 또한 6개월 이상 접속 기록을 보존 및 관리해야 한다.

신용훈 지사장은 컴플라이언스를 준수하기 위해서 개인정보 유출 탐지 및 차단을 위해서 실시간으로 차단하는 것이 중요하다고 거듭 강조했다.

▲ 신용훈 임퍼바 지사장

임퍼바의 웹방화벽은 글로벌 벤더로서 1Gbps이상의 많은 트래픽에서 고객이 웹보안을 위해서 필요한 정책을 원하는 만큼 적용할 수 있다. 실시간 탐지, 차단, 예외 처리 및 리포트 기능까지 수행한다.

“장비의 성능 때문에 정책을 조정해야 하는 일이 있어서는 안된다. 임퍼바는 장비가 보장하는 장비의 성능 500Mbps, 1Gbps, 2Gbps, 5Gbps, 10Gbps 범위 안에서 고객이 필요한 정책만큼 언제든지 적용 할 수 있다”고 했다.

 

펜타시큐리티, 지능형 엔진으로 정교하게 대응

국내 웹방화벽 시장을 30% 이상 점유하고 있는 펜타시큐리티(대표 이석우)의 ‘와플(WAPPLES)’은 지능형 탐지 엔진을 장착했다.

패턴 매칭 방식이 아닌 논리 분석 기반으로 공격을 탐지하는 지능형 탐지 엔진인 COCEP을 탑재하여 탐지정확도를 높였다.

네트워크가 저하률도 최소화 됐다. 시그니처 기반의 탐지방식은 시그니처 수가 증가하면 증가할수록 성능이 저하 될 수밖에 없기 때문이다.

관계자는 “앞으로 웹방화벽은 머신러닝 및 인공 지능과 결합된 형태로 진화할 것으로 예측하고 있다. 펜타시큐리티의 와플은 지능형 엔진 COCEP을 보다 고도화하기 위해 머신러닝 기술 전문 기업 엑스브레인과 2년 간 공동 개발하고 있다. 웹사이트 마다 가지고 있는 속성과 데이터 특징을 파악해 보다 정교하게 공격에 대응하며 정확한 탐지율을 높힐 계획이다”라고 전했다. 펜타시큐리티는 작년대비 상반기 약 10% 성장했다. 공공시장에 집중되어 있었으나 트래픽이 큰 대기업과 중소기업에서도 수요가 늘고 있다.

 

모니터랩, 뛰어난 프록시 기술로 해커의 숨은 IP까지 분석

모니터랩(대표 이광후)은 프록시 기술이 뛰어나다. 프록시 기술이란 하나의 통신 기술로, 네트워크 연결을 안정적으로 지원한다. 대용량 트래픽 환경에서도 안정적이고 높은 성능을 유지하는 것이 프록시 기술력의 차이라고 할 수 있다. 기술력이 부족하면 프록시를 거쳐갈 때 IP 주소가 변경되거나 부하가 생기는 등의 문제가 발생하기 때문이다.

윤승원 상무는 “모니터랩의 프록시 기술은 일명 ‘투명 프록시’로 IP를 따로 할당받지 않기 때문에 기존의 네트워크에 변화 없이 구축이 가능하다는 뛰어난 장점을 지녔다. 따라서 빠르고 안정적인 네트워크 환경을 보장한다”며 “세계 최고 성능을 자랑하는 프록시 기술로 해커들이 자신의 IP를 숨기기 위해 혹은 네트워크 환경에 따라 프록시 서버를 경유하여 웹서버에 접속하는 경우에도 악의적인 클라이언트 IP에 대한 관리가 가능하다”고 설명했다.

▲ 윤승원 모니터랩 상무

또한, 모니터랩은 부정로그인탐지 방어 기능을 추가해, 단순 ‘로그인 URL’로의 다량 접속 시도를 차단하는 것이 아닌, 실제 로그인 성공 및 실패를 판독해 실질적인 부정 로그인 시도를 차단할 수 있다. 모니터랩은 올해 상반기 실적은 지난해보다 약 20%이상 성장했다고 밝혔다.

 

파이오링크, 웹보안 전용 플랫폼 검사 엔진 장착

파이오링크(대표 조영철)는 웹트래픽을 처리하는 리소스 사용을 극대화 할 수 있도록 지원한다. 윤동규 차장은 “국내 타사 웹방화벽은 범용 어플라이언스에 보안 소프트웨어를 올린 방식이라 구조적으로 시스템 성능의 한계가 있을 수밖에 없다. 파이오링크의 웹방화벽은 자체적으로 개발한 웹 보안 전용 플랫폼의 검사 엔진으로, 그 외 다른 트래픽은 고성능 스위칭을 통해 웹 서버로 바로 전달하게끔 해서 부하를 대폭 줄였다”고 했다.

파이오링크의 웹방화벽은 오직 웹 트래픽만 선별하고 나머지 패킷은 빠르게 서버로 전달한다. 선별된 웹 트래픽은 웹보안 전용 엔진을 통해 보안검사가 이루어지게 해 보안검사에만 집중할 수 있도록 했다.

윤 차장은 “웹보안 전용 엔진은 코어 부하 분산처리 기술이 적용되어 웹 트래픽이 특정 코어에 집중되지 않아 CPU를 효율적으로 사용할 수 있도록 지원하고 있다”고 했다. 파이오링크는 올해 상반기 작년대비 40%가 성장했다고 밝혔다.

참고로 파이오링크는 보안관제 서비스 1주년을 맞아 올 연말까지 웹방화벽 구매 고객에게 보안관제 무료 서비스를 제공하고 있다.

 

2. https, 암호화 및 복호화로 해커 잠입 차단해야

모니터랩 윤승원 상무는 http는 데이터를 암호화하지 않은 것이며, https는 데이터를 암호화 한 것이라고 설명하며. 중요 데이터를 입력하고 조회하며 관리해야하는 구간에는 암호화가 필요하다고 말했다. 해당 구간을 https로 하면 데이터가 암호화되어 취약점에 대한 대응이 가능해지기 때문이다.

종전에는 웹사이트가 대부분 http를 사용했다. 그러나 최근에는 보안을 위해 트래픽이 암호화된 https를 사용하는 비율이 늘고 있다. 따라서 https를 파고 들어오는 해커들의 침입을 잘 찾아내고 차단할 수 있는 웹방화벽의 https 암호화 및 복호화 능력이 관건인 것이다.

임퍼바 신용훈 지사장은 “https를 꼭 탐지할 수 있어야 하는 이유 중 하나는, 암호화 되어 있는 트래픽을 복호화해서 정책에 위배되는지 확인해야 하기 때문이다. 그만큼 성능적인 부하도 많이 올라가게 된다”고 했다.

또한 현재 많은 웹사이트는 http와 https를 혼용해서 쓰는 경우가 많다. 고객정보나 금융결재 페이지만 https를 사용하는 것이다. 이 경우 사실 보안의 빈틈이 생기기 마련이다. 이에 대해 파이오링크의 윤동규 차장은 “혼용시에는 http는 해킹이 쉽다. 따라서 데이터 전체 구간에 대한 암호화가 필요하고 기업들 중 대부분 https로 서비스하고 있다”고 했다.

 

파이오링크, SSL만을 위한 하드웨어 가속기 마련

윤동규 차장은 “구글이나 페이스북 등이 전체 데이터를 SSL로 바꾸었듯이 우리나라도 전체 사이트를 SSL로 사용하는 비율이 늘고 있다. 따라서 SSL 트래픽을 많이 올라오게 된다”며 “https을 잘 분석하는 웹방화벽이 있어야 하지만, 국내사는 소프트웨어로 처리하다보니 정작 보안기능을 잘 수행하지 못하는 한계가 발생한다”고 말했다.

파이오링크는 SSL을 잡아서 잘 처리할 수 있는 하드웨어 가속기를 장착했다. 가속기를 통해서 SSL 트래픽을 빠르게 분석하고, 보안성능을 유지하게끔 지원하고 있다.

▲ 윤동규 파이오링크 차장

윤동규 차장은 “SSL을 처리하는 방법은 하드웨어와 가속카드와 소프트웨어 2가지이다. 국대 대다수의 웹방화벽은 소프트웨어로만 처리하고 있으나 파이오링크는 소프트웨어 뿐 아니라 하드웨어로도 처리할 수 있다. 좀더 속도와 안정성을 높이기 위해서다”고 설명했다.

이에 파이오링크는 웹방화벽의 소프트웨어 SSL에서는 감당할 수 없는 높은 키 사이즈(key size)까지 안정적으로 처리한다. 추후 더 높은 키 사이즈가 요구되더라도 파이오링크는 자체적인 하드웨어 설계로 서버의 안정성을 보장하고 있다

 

펜타시큐리티, 암호화 근간 기술 보장

펜타시큐리티는 암호화 기술을 기반으로 성장한 회사다. 관계자는 “SSL로 암호화 된 데이터를 복호화 하여 공격여부를 판단하고 다시 암호화하여 정상으로 내보내는 과정은 SSL 암호 알고리즘에 대한 능숙한 처리가 기본”이라며 “와플(WAPPLES)은 SSL 트래픽을 복호화하고 복호화된 데이터를 분석하는 과정이 최적화되어 분산 처리되기 때문에 네트워크 성능저하를 최소화할 수 있다”고 설명했다. SSL 트래픽 처리에 대한 근본적인 기술력은 암호화 키 길이가 증가하더라도 성능 저하를 최소화하는데 중요한 역할을 한다고 자부했다.

 

3. 향후 클라우드 기술력 관건

임퍼바, 내년 클라우드 웹방화벽 상륙 예정

임퍼바의 신용훈 지사장은 “클라우드 특징을 잘 알아야 한다. 보호해야 하는 대상이 클라우드에서는 물리적으로 다이나믹하게 변경되기도 한다. 어제는 클라우드 서버A에 웹서비스가 실행되다가도, 내일은 서버B에서 실행 될 수도 있다”고 했다. 따라서 시스템이 클라우드 시스템과도 잘 연동되어 있어야 서버가 변경될 때 웹 방화벽도 대상 서버를 잘 인식 할 수 있다.

또는 클라우드 대 클라우드로 방어하는 전략으로 운용될 수 있다. 사용자 트래픽이 클라우드 보안 서비스 센터를 경유해서 AWS와 같은 클라우드 서비스로 가게 되는 경우이다. 일종의 대리인 역할 클라우드 서비스다.

임퍼바의 클라우드 웹방화벽 인켑슐라(INCAPSULA)는 내년 한국에 상륙할 예정이다. 한국에 서비스 IDC가 설립된다. 한국에서 발생하는 트래픽은 한국에서 차단하고, 정상 트래픽은 원 목적지로 전달하겠다는 취지이다.

모니터랩, 중소형 기업을 겨냥

모니터랩은 중소형 기업을 겨냥한 클라우드 서비스를 마련했다. 웹어플리케이션과 웹사이트를 보호해주며, 실시간으로 업데이트되는 대시보드를 통해 웹트래픽, 방문자 수, 공격자 수, 실제 공격자 등 상세한 사이트 현황 파악이 가능하며 월간 보안 현황 보고를 받을 수 있게끔 지원한다. 사용자는 자신의 웹 취약점을 발견하고, 모니터랩이 제공하는 14가지의 보안 정책을 자유롭게 조합해 안정적이고 디테일한 웹보안을 실현할 수 있다.

윤승원 상무는 “클라우드는 사실 자체 IT 보안 기술자를 고용하고 있는 규모 있는 업체에서만 활용할 수 있었다. 안정적인 웹환경 구축은 굉장히 복잡하고 비용도 만만치 않게 소비되기 때문이다. 중소규모 사업장은 물론, 호스팅 사업을 포함하여 보안 위협을 느끼는 모든 사업자와 개인에게 옵션을 제공하고 있다”며 “트래픽 수준에 따라 금액이 측정되어 실제 자신이 사용한 양에서만 결제할 수 있도록 했다”고 설명했다.

특히 모니터랩은 특히, 아마존 웹 서비스를 통해 글로벌 고객에게 웹방화벽 클라우드 서비스를 제공한 성과도 거뒀다.

펜타시큐리티, 산업군별로 특화

펜타시큐리티는 클라우드 웹방화벽 클라우드브릭(Cloudbric)을 런칭했다. 일반 기업들의 요구에 맞게 산업군 별로 특화된 웹 방화벽을 제공한다는 방침이다.

 

 

▶용어 설명

SSL(Secure Sockets Layer) : 인터넷 프로토콜(Internet protocol)이 보안 면에서 기밀성을 유지하지 못한다는 문제를 극복하기 위해 개발되었다. 현재 전 세계에서 사용되는 인터넷 상거래시 요구되는 개인 정보와 크레디트카드 정보의 보안 유지에 가장 많이 사용되고 있는 프로토콜이다.