태동부터 현재까지 짚어보자!

3~4년 전만해도 보안이라고 하면 방화벽을 먼저 떠올렸다. 말 그대로 진입장벽을 만들어 필요로 하지 않는 내용에 대해 막자는 의미가 컸던 보안서비스다. 하지만 최근 들어 이러한 개념이 일반적인 인식 변화를 가져오면서 이제 ‘보안 = UTM’이라는 등식이 성립되는 과정에 까지 이르렀다. 그렇다면 UTM의 시작은 언제부터일까.
 



방화벽의 진화에서 UTM까지

김형률 어울림정보기술 기술연구소 소장은 보안시장의 태동기부터 거슬러 올라가 설명했다.

1990년대 말부터 여러 보안회사들은 네트워크 보안을 위해 방화벽, 가상사설망(VPN), 침입탐지 시스템(IDS), 침입방지 시스템(IPS), 안티바이러스, 안티스팸, 메일보안 및 웹보안 등 다양한 보안솔루션을 선보였다.

보안시스템들은 시간이 지나면서 다양한 솔루션으로 늘어나게 되었으며 네트워크의 변화와 증가로 인해 운용해야 하는 보안시스템들의 양적 증가로 이어졌다. 이 때문에 운용·관리하는 업무가 증가되고 보안관리 인력이 늘어나며 더 많은 비용이 소요됐다. 이에 많은 기업과 기관이 이 문제를 해결하고 더 효율적으로 운용할 수 있는 통합보안솔루션을 요구하게 되었다.

기술적인 측면에서도 초기 보안시장은 세부적인 단위의 보안제품으로 분화하는 과정을 거치면서 다양한 보안솔루션이 나타났다. 최근 몇 년간 출시된 보안솔루션은 통합운영되었을 때 다양한 위협으로부터 종합적인 보호가 가능하다는 개념이 나오면서 통합위협관리(UTM) 솔루션이 등장했다.

새 보안위협에 맞선 네트워크 보안장비?

나형택 시큐아이닷컴 기술기획팀 팀장은 UTM의 출발을 기존 네트워크 보안장비의 한계에서부터 지적했다.

기존 네트워크 보안장비는 그 동작범위가 협의적이었기 때문에 이슈의 변화에 제대로 대처할 수 없었다. 1999년 네트워크 보안이 처음으로 주목받기 시작하면서부터 이슈의 전환이 있었던 지점들을 기준으로 분류하면 크게 삼분화가 가능하다.

첫째 시기는 야후와 이베이 등 인터넷 사업의 효시였던 네트워크들에 대한 무차별적인 DDoS공격으로 특징 지워진다. 이 시기에는 무엇보다, 성능이 좋은 기가바이트형 방화벽 장비가 얼마나 빠르게 유해 트래픽을 차단할 수 있는가가 이슈였다. 이 시기의 유해 트래픽은 그 정체가 표지에 다 드러나 있었기 때문에 표지 정보의 빠른 검사와 판단이 필수적이었다. 판별의 근거는 오로지 ‘Default Deny’. 즉, 허용한 트래픽 이외의 모든 트래픽은 기본적으로 차단한다.

둘째 시기에는 웜 트래픽의 엄청난 확산이 제일 큰 문제였으며 공격대상이 특정에서 불특정 무차별로 옮겨가게 된다. 2003년 1월 전 세계를 강타하였던 SLAMMER 공격이 가장 전형적인 형태였고 이 사고를 계기로 IPS란 네트워크 보안장비에 대한 수요가 급증하게 된다. 페이로드를 검사해야만 했던 것이다. 이 시기의 방화벽들은 페이로드에 대해서는 장님이나 다름없었다. 유해성 여부의 주된 판단기준은 페이로드에 의심가는 패턴이 있느냐 없느냐였다.

셋째 시기는 현재이며 이슈의 다변화가 가속화된 시기다. 특정 유해 트랙픽에 대한 차단 여부뿐만 아니라 악의가 없는 내부자에 의한 공격, 웹 서비스 상에 존재하는 다양한 형태의 취약점들, 내부기밀의 다양한 유출경로, P2P 등의 창궐, 인터넷에 따른 생산성 방해, 각종 고소 고발건에 대한 네트워크 트래픽 내역 증빙, 개인정보보호, VoIP의 확산과 VoIP 영역의 취약점 등이 주요 이슈들이다. 이제는 단순한 유해 트래픽 판단여부가 중요하지 않고 각 네트워크 단위가 지켜야 할 주요 보안정책들을 네트워크 보안장비가 얼마나 충실하게 관철시켜 주는가가 관건이 되었다.

이런 시대에 필요한 네트워크 보안장비가 UTM이고, 이 UTM은 기존 보안 요구사항에서 영역이 확장된 형태의 보안요구들을 만족할 수 있는 보안정책을 수행해야 한다. UTM이 집행해야 할 확장된 보안정책이란 기존의 보안정책을 당연히 포함해야 한다.

김홍선 안철수연구소 기술고문은 네트워크 보안장비의 역사를 3단계로 설명했다.
 



1세대 제품은 초기 방화벽, IDS 등으로 소프트웨어 제품으로서 범용 서버나 워크스테이션에서 운용되었다. 2세대 제품은 고장이 날 원인을 줄이기 위해서, 즉 POS(Points Of Failure)를 줄이고 가격대비 성능을 높이기 위해서 어플라이언스와 하드웨어 전용장비로 방화벽, VPN, IPS가 변화했다. UTM은 2세대 개념의 기술들을 통합하고 보안콘텐츠와 단단히 결합된 서비스 기반의 네트워크 어플라이언스 제품이라고 규정할 수가 있다. 콘텐츠 관리와 서비스가 네트워크 보안제품의 중요한 축으로 참여한다는 점에서 네트워크 보안의 3세대 제품이라 할 수 있다.

차세대 UTM 보안솔루션

앞서 UTM 솔루션의 역사를 잠시 살펴보았듯이 UTM의 출발은 네트워크 보안을 위한 방화벽 설치에서부터 시작한다. 그렇다면 이런 UTM이 향후에는 어떻게 진화될 수 있을까.

리처드 스티에논(Richard Stiennon) 포티넷 CMO는 차세대 UTM 솔루션이 전적으로 스위치 기반의 네트워크 구조를 기본으로 한다고 밝혔다. 일반적으로 이 솔루션은 스위치에 대한 접속뿐만 아니라 코어 스위치들까지 포함하며 가상 LAN은 필요한 장비에 대한 개별적인 차단을 제공하기 위해 사용된다. 또한 스위치는 L2 및 L3 정보에 기반해 정책강화와 정상으로 허가된 데이터 스트림은 부가적인 IPS 기능에 의해 필터링된다.
[월간 정보보호21c 통권 제83호(info@boannews.com)]
             
             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>