네트워크보안

악의적인 공격자가 원격에서 내 컴퓨터의 금융정보 또는 사적인 비밀 기록들을 빼낼 수도 있다는 사실을 알면 내 PC에 설치된 V3가 제대로 업데이트는 되고 있는지 걱정부터 들 것이다. 내가 만약 네트워크 관리자라면 문제는 더 심각하다.

네트워크 보안 실태

2005년 8월, 플러그 앤 플레이 기능이 탑재된 윈도 2000과 윈도 XP, 윈도 서버 2003 운용체계 의 컴퓨터를 감염시키는 조톱 웜(Zotob worm)의 공격으로, CNN, ABC, 뉴욕타임스 등 미 언론사의 서버들이 하나 둘씩 다운되었다. 온갖 사건 사고가 많은 이 세상에 이 정도 뉴스는 별반 놀랄 일도 아닐지도 모른다. 나와는 상관없는 다른 회사 얘기인 것이다.

하지만 조톱 웜(Zotob Worm)에 감염되면 tcp/8888, tcp/8080, tcp/33333 포트(Port) 등이 백도어(Backdoor)로 열리고 해당 포트를 통해 공격자가 원하는 프로그램을 구동시킬 수 있기 때문에, 악의적인 공격자가 원격에서 내 컴퓨터의 금융정보 또는 사적인 비밀 기록들을 빼낼 수도 있다는 사실을 알면 내 PC에 설치된 V3가 제대로 업데이트는 되고 있는지 걱정부터 들 것이다. 내가 만약 네트워크 관리자라면 문제는 더 심각하다. 회사 경영진 노트북의 개인 정보, 회사 기밀을 노린다면?

웜 차단 전용 어플라이언스의 필요성

웜은 바이러스와 해킹의 위협을 포괄하는 형태로 진화하고 있다. 웜을 치료하는 데는 역시 V3가 최고다. 하지만, 하루가 멀다 하고 새로 등장하는 웜에 대해 새로운 보안 업데이트 파일을 만들어 내기까지 걸리는 몇 시간 사이 무방비로 노출된 엔드유저(End user)와 네트워크를 지켜줄 제품의 보강이 필요하다.

특히 가장 큰 골칫거리인 웜은 대형 트래픽을 유발시켜 네트워크를 마비시키기 때문에, 최신 업데이트를 방해하여 클라이언트 단(Client level)에서의 대응을 무력화시키고 있다. 이에 따라 외부 인터넷과 내부 네트워크 접속 지점에서 강력한 웜 차단 기능을 제공하는 어플라이언스(Appliance) 형태의 제품 필요성이 증가하고 있는 것이다.

IDC에서는 ‘전 세계적으로 2007년경이 되면 보안 제품의 약 80%가 보안 어플라이언스 형태로 공급될 것으로 보고 있다’고 할 정도이며, 한국IDC가 최근 발간한 '한국 보안 어플라이언스 시장 분석 및 전망 보고서'에 따르면, 2004년 국내 보안 어플라이언스 시장은 1천154억 원 규모로 추산되며 2003년부터 향후 5년간 연평균성장률 17.9%를 기록, 오는 2008년에는 2천177억 원으로 증가될 전망이라고 밝히고 있다.

어플라이언스 제품에 대한 요구

보안 어플라이언스에 대한 시장의 요구에 벤더들의 대응은 크게 3가지 형태로 요약된다.

첫째, 모든 형태의 위협에 대한 대응 기능을 제공하는 제품들이다.
대표적인 장비가 UTM(Unified Threat Management / 통합위협관리 - 파이어월, IPS, 안티 바이러스와 같은 여러 보안기능을 하나의 플랫폼에서 제공해 운영과 관리의 편의 및 총소유비용을 줄일 수 있다는 컨셉으로 선보이고 있는 통합 어플라이언스), IPS(Intrusion Prevention System / 침입방지시스템) 등이다. 이 제품들은 외면상 폭넓은 대응 범위를 자랑한다. 막지 못하는 위협이 없다는 식이다. 하지만, 현재의 기술로는 그 모든 것을 다 수행하면서 네트워크가 요구하는 성능과 정확성을 보장할 수는 없다. 네트워크를 엄청난 속도로 흐르는 패킷을 실시간으로 조합하여 불량 컨텐츠를 구별해 낸다거나, 2개월 정도의 통계 데이터를 기반으로 통계치를 벗어나는 패킷을 구별해 낸다는 것은 모든 벤더(Vendor)들이 주장하는 것처럼 그렇게 쉬운 일이 아니다. 실제 내로라하는 외산 벤더의 장비들이 현실의 벽에 부딪쳐 고객사에서 철수되는 사례가 심심치 않게 발생한다. 최근 IPS 무용론이 회자되기도 했다.

둘째, 네트워크 전용 장비에 보안기능을 탑재하는 경우이다.
시스코시스템즈, 주니퍼네트웍스 등회사들의 라우터(Router) 등에 보안 모듈을 탑재하는 형태인데, 고객사의 입장에서는 기존에 투자한 장비에 약간의 추가비용으로 보안 혜택을 받을 수 있으니 나쁘지 않은 솔루션이다. 하지만, 중요한 위치에 설치된 네트워크 장비가 고유한 네트워킹 기능과 함께 보안기능을 수행함으로써 두 가지 기능 모두를 제대로 해내지 못하는 우려가 있다. 따라서, 네트워크 전용 장비의 블랙리스트에 게재된 호스트의 접속을 1차로 차단하는 등 네트워크 전용 장비 바로 뒤에 연동된 보안 어플라이언스의 부하를 줄여주는 역할로서 활용되고 있다.

셋째, 웹과 같은 특정 서비스에 집중된 위협 또는 웜, 스파이웨어, 스팸메일 등 특정 컨텐츠 기반의 위협만을 전문적으로 차단하는 제품이다.
웹 방화벽 그리고, 웜 차단, 스파이웨어 차단, Anti-Spam, URL 필터링, 컨텐츠 필터링 등에 전문화된 장비들이 그것이다. 현재는 이들 기능의 몇 가지가 통합된 제품이 많다. 이 제품들은, 방화벽, IPS 등을 통과하는 강력한 위협들에 대응하기 위한 것이다. 2005년 7월에 출시된 안철수연구소의 트러스가드(AhnLab TrusGuard)가 바로 여기에 속하는 제품이라 할 수 있다.

네트워크 관리자의 숙원은 '정확한' 웜 차단

네트워크 관리자의 절반 이상이 웜 공격을 가장 걱정하고 있다. 웜 공격을 차단하기 위해 제품이 갖춰야 할 필수요소는 ‘정확성’이다. 웜을 잡겠다고 의심되는 모든 패킷을 무작정 다 차단할 수는 없는 일이다. “웜을 가장 정확히 탐지한다”는 요구는, 안철수연구소가 가장 잘 대응할 수 있는 분야이다. 지난 18년간 갈고 닦은 실력으로 말이다. 안철수연구소가 곧바로 IPS, UTM 시장으로 진입하지 않고 웜 차단에 특화된 어플라이언스로 먼저 어플라이언스 시장을 공략하는 이유이다.

실제로 올해 TrusGuard는 웜 차단에 있어 훌륭한 능력을 보여줬다. 고객사에서 테스트 차원에서 TrusGuard를 설치했다가 계속 차단되는 수 천 건의 웜들을 목격하고는 장비를 철수하지 못하고 구매로 이어지는 경우가 늘고 있다. IPS를 이미 설치한 고객사도 예외는 아니었다. 내년에도 웜은 더욱 진화될 것이다. 해킹, 바이러스, 피싱 등 모든 유형의 위협을 전파하는 매개체로 활용될 것이고, 예전처럼 잦은 공격으로 광범위하게 시스템을 중지시키는 것이 아니라 소규모 공격을 통해 재정적인 이득과 정보 획득을 위해 특정 시스템을 공격할 것이다. TrusGuard에게는 시장에 안착할 수 있는 기회이다.

위협 가중하는 끊임없는 웜의 변신

웜의 변신은, 스팸 메일(Spam Mail)로도 나타난다. 조사에 따라 조금씩 차이는 있지만 웜의 가장 큰 전파 경로는 스팸 메일임이 분명하다. 이에 따라, 안철수연구소는 2006년 1분기경 Anti-Spam 어플라이언스를 출시 예정이다. 이를 시작으로 웹 방화벽 등 계속되는 전문 장비의 출시를 통해 관련 기술과 영업 노하우를 축적해 나갈 것이다. 이 축적된 기술과 영업 노하우는 통합 어플라이언스 시장에 진입하기 위한 경쟁력을 갖추는 노력에 계속 영양분을 제공할 것이고, 글의 시작 부분에서 언급한 ‘전 세계적으로 2007년경이 되면 보안 제품의 약 80%가 보안 어플라이언스 형태로 공급될 것으로 보고 있다’는 추세와 맞물려 해외시장에서의 매출 비중 확대에 크게 기여할 것으로 생각된다.

보안 어플라이언스 시장에서 '통합'에 대한 유혹이 만만치 않다. 2006년에도 역시 '통합'의 외침이 적지 않을 것이다. 하지만, 전용 시스템을 선호하던 고객이 어느덧 '하나로 합쳐놓은' 올인원(All-in-one) 시스템에 유혹을 느끼고 도입을 한다. 그러다 다시 올인원 시스템의 허상을 목격하고는 고객은 다시 돌아간다. IT 시장은 늘 이런 반복이다. 보안 어플라이언스도 마찬가지이다. 지난 몇 년간 '통합'은 고객과의 약속을 잘 지키지 못했다. 고객의 눈길이 다른 곳을 찾기 시작했고, 그곳이 2006년 안철수연구소 전문 어플라이언스들이 파고들 곳이다. 시행착오도 나쁘지 않다. 다시 오는 '통합' 시기를 위해 중요한 영양분이 될 테니까.