NGIPS 솔루션은 네트워크 보안위협 탐지·대응, 가시성 확대, 처리성능으로 ‘차별화’
NGIPS 대표 솔루션 4종 집중분석 : 시큐아이, 안랩, 지란지교에스앤씨, 윈스
[보안뉴스 기획취재팀] 최근 공격 트렌드를 살펴보면 공격자는 복잡한 네트워크 환경을 악용해 보안의 사각지대를 노린다. 네트워크·OS·웹·애플리케이션의 취약점 공격, 알려지지 않은 지능화된 공격으로 보안 성벽을 무너뜨린다. 이러한 보안위협에 최근 기업의 보안담당자는 보안 성벽을 쌓는 것에 더해 참해 사고 발생 시 얼마나 빠르게 조치하고 대응할지에 대해 초점을 맞추고 있다.
[이미지=utoimage]
차세대 침입방지 시스템(Next Generation Intrusion Prevention Systems, 이하 NGIPS)의 관심이 커진 배경이다. NGIPS 솔루션이 많은 양의 트래픽 처리, 정확한 탐지, 차단 등 보안위협 대응의 핵심 역할을 하기 때문이다. 게다가 비대면 업무 환경이 확대되고, 데이터 3법 개정에 따른 개인정보보호의 관심이 커지면서 솔루션 도입의 필요성과 관심은 더욱 증대되고 있다.
기존의 침입방지 시스템(Intrusion Prevention Systems, 이하 IPS)은 방화벽, 디도스(DDoS) 방어와 함께 네트워크 최전방을 책임지는 네트워크 보안 솔루션이다. 처음 IPS가 등장한 것은 기존의 방화벽이 웜 바이러스를 차단하지 못해서였다. 이후 보안 솔루션 시장에서 기반을 닦은 제품으로 성장하며 네트워크 보안 시장을 주도하기 시작했다. 그러나 지능화되고 강력해지는 공격기법 방어엔 역부족으로 더 많은 기능이 요구되고 조금 더 강력한 방어무기가 필요했다.
이에 보안업계는 기존 IPS를 대폭 개선해 조금 더 강력한 차단 기능과 성능을 앞세운 NGIPS를 출시하기 시작했다. 기능적으로는 정확한 탐지율과 처리속도를 높이고, 보안담당자가 한눈에 파악하기 쉽게 가시성을 살린 상품을 시장에 내놓았다. 비대면 업무와 클라우드 전환 등 IT 환경 변화에 발맞춘 신제품도 선보이며, 업그레이드된 보안 성능을 뽐냈다.
특히, 제로데이 취약점을 이용한 지능화된 공격에 NGIPS는 차세대 주자답게 정밀성, 기밀성, 신속성, 사후대응 등의 역량을 대폭 끌어올려 사용자의 관심을 끌고 있다. <보안뉴스>와 <시큐리티월드>에서는 NGIPS 솔루션의 대표주자인 시큐아이, 안랩, 윈스, 지란지교에스앤씨(지란지교SNC) 보안기업 4곳과의 인터뷰를 통해 NGIPS 솔루션의 특징과 핵심기능, 기존 IPS와 차별점 등에 대해 살펴보고자 한다(업체명 가나다 순).
NGIPS 매출액 청신호, 앞으로가 더욱 기대되는 시장
NGIPS의 관심이 높아진 만큼 관련 솔루션 매출액과 매출 비중은 갈수록 증가하는 추세다. 삼성SDS 자회사인 시큐아이는 주로 국내와 해외 삼성 법인 및 계열사, 민간기업을 대상으로 정보보호 솔루션 공급과 보안 컨설팅, 보안관제 등 보안대행 사업을 펼치고 있다. 지난 2020년에는 글로벌 시장 조사기관 프로스트 앤 설리번(Frost & Sullivan)으로부터 국내 네트워크 보안 1위 업체 인증서를 받은 바 있다.
시큐아이의 22기 사업보고서(2021년 1월 1일부터~2021년 12월 31일까지)를 살펴보면 매출액 1,250억원(1,250억 200만원), 영업이익 102억원(101억 8,200만원), 당기순이익 82억원(82억200만원)이다. 이 가운데 정보보안 사업 제품(F/W, IPS) 매출액은 국내 549억원(548억 6,800만원), 해외 11억원(10억 8,000만원), 총 559억원(559억 4,800만원)이며, 매출 비중은 45%를 차지했다. 이와 관련 시큐아이는 “IPS 제품 매출액은 2020년과 동일한 수준이지만 보안위협의 확대와 신제품 블루맥스 IPS의 적극적인 영업활동으로 올해 IPS 제품 매출은 두 자리수 성장을 전망하고 있다”며 앞으로를 기대했다.
2021년 보안업체 매출 1위를 달성한 안랩은 연결재무제표 기준 매출액 2,073억원, 영업이익 229억원, 당기순이익 419억원(별도기준 매출 1,994억원, 영업이익 234억원, 당기순이익 414억원)을 기록했다. 이는 전년대비 매출액 16%(291억원), 영업이익 15%(30억원), 당기순이익이 127%(234억원) 증가한 수치이며, 별도기준은 전년대비 매출액 16%(267억원), 영업이익 18%(36억원), 당기순이익은 128%(232억원) 증가했다.
특히, 보안 소프트웨어와 네트워크 보안 솔루션, 정보보호 서비스 등 다양한 사업 분야에서 고르게 성장했다고 밝힌 만큼 IPS 영역 매출액도 늘었다. 올해 1분기에는 매출액 490억원, 영업이익 33억원(별도 재무제표 기준 매출 478억원, 영업이익 41억원)의 실적을 올렸다.
네트워크 보안 강자인 윈스는 10년 이상의 하드웨어, 소프트웨어 기술을 결합한 노하우로 차세대 침입방지시스템과 DDoS 차단 시스템에 주력하고 있다. 2021년 연결기준 매출액은 964억원(96,432,485,454원), 정보보안 사업 제품 매출액(IPS, FW 등) 494억원(49,419,720,833원)으로 51.25%의 비중을 차지했다. 별도 기준으로는 매출액 904억원(90,400,942,446원), 정보보안 사업 제품 매출액(IPS, FW 등) 468억원(46,855,089,330원) 가량으로 51.83%의 비중을 차지했다.
이와 관련해 윈스는 “2021년 조달청 나라장터 기준에 따르면 윈스가 공공기관 IPS 납품 점유율 1위이며, 매출은 통신사가 큰 편이다. IPS 솔루션의 주 수요층은 공공기관, 국내 통신사, 민간기업, 금융권 순”이라고 밝혔다.
국내 기업과 기관은 어떤 기능을 원할까?
그렇다면 보안담당자는 어떤 기능과 어떤 기업의 NGIPS를 선호할까? <보안뉴스>와 <시큐리티월드>는 기업과 기관의 보안담당자를 대상으로 4월 28일부터 5월 11일까지 설문조사한 결과 28%가 ‘지능형 지속공격(APT) 방어’를 가장 중요한 기능으로 꼽았다. 이어 ‘고성능 탐지(22.4%)’, ‘자산 취약점과 정책 간 연계 편의성(17.2%)’, ‘보안소켓계층(SSL) 탐지(15.7%)’, ‘벤더사의 위협정보(TI) 수준(15.2%)’ 순으로 나타났다.
▲NGIPS(차세대 침입방지시스템) 도입 필요성 인식 및 기업 선호도 조사[자료=보안뉴스]
NGIPS 선호도가 가장 높은 곳은 20.1%로 시큐아이였으며, 다음으로는 안랩 15.5%, 팔로알토네트웍스 11.9%, 포티넷 11.6%, 윈스 8%, 트렌드마이크로 5.2% 순으로 조사됐다. 관심이 가는 이유에 대해서는 33.8%의 응답자가 제품 성능(정확한 탐지·대응 및 용량)을 꼽았으며, 브랜드 인지도 및 외부 구축사례(24.4%), 가격 및 유지관리비(17.7%), 편리한 AS 서비스(12.8%) 순으로 집계됐다.
제품 사용에 있어 가장 불편한 점으로는 31.7%가 ‘보안정책 수립의 복잡함’을 꼽았고, ‘이기종간 연동 부족(18.5%)’, ‘탐지정확도 저하(18.2%)’, ‘불편한 기술지원 서비스(14.9%)’, ‘클라우드 버전 미지원(8%)’이 뒤를 이었다. NGIPS 적정비용은 3,000~5,000만원이 25.8%로 가장 많았으며, 2,000~3,000만원 24.4%, 1,000~2,000만원 21.8%, 5,000만원 이상 14.9% 순으로 응답했다.
기존 IPS와 NGIPS 솔루션의 차별점과 특징
이에 따라 보안업계에서도 발 빠른 대처로 신제품을 쏙쏙 출시하거나 성능 업그레이드로 차별화해 시장에 내놓기 시작했다. 먼저 시큐아이는 기존 IPS와 차세대 IPS의 가장 큰 차별점으로 탐지 능력을 꼽았다.
시큐아이는 “기존 IPS 제품은 유해 트래픽 대응이 대부분이다. 그러나 최근 네트워크를 통해 전파되는 보안위협의 범위는 비정상 트래픽에 대한 위협과 파일 기반의 악성코드를 통한 위협 등 다양하다”고 분석했다. 이는 허용된 트래픽 내에서도 숨겨진 보안위협이 존재한다는 의미로 NGIPS는 위협 트래픽을 정밀하게 탐지하고, 전송되는 파일을 식별해 랜섬웨어 등 파일 내부의 숨겨진 악성코드 역시 탐지해야 한다는 얘기다.
시큐아이의 NGIPS 솔루션 ‘블루맥스(BLUEMAX)’는 차별화된 분석 엔진을 기반으로 세션 관리를 통해 첨부파일을 추출한다. 이렇게 추출된 파일은 평판 DB 기반의 정적 분석과 시큐아이 위협대응센터에서 보유하고 있는 악성 DB를 기반으로 연동한 동적 분석 솔루션과 연계해 파일 내 숨겨진 악성코드를 탐지하고 차단한다.
특히, ‘블루맥스’는 시큐아이 취약점 분석 솔루션과 연계해 기업 자산의 취약점을 기반해 시그니처 정책을 제공한다. 이를 통해 효율적인 보안환경 운영이 가능하다. 또한, 국내외 위협정보 시스템과의 협업 체계와 시큐아이 보안정보센터의 연계로 매일 새로 발견되는 해킹서버, 글로벌 신종 악성코드 정보의 탐지패턴 등 신종위협의 즉각적인 방어 기능을 제공한다.
시스템 구축 후에는 1개월 내 시그니처 최적화, 월 2회 신종위협 대응 가이드, 분기 1회 운영점검서비스 제공 등 시큐아이 보안 전문 인력의 고객지원 서비스를 제공한다. 뿐만 아니라 고성능 위협 차단 플랫폼 탑재로 보안위협에 대한 선제적인 대응체계를 제공한다.
안랩은 차세대 네트워크 침입방지 솔루션 ‘안랩 AIPS’에 △트래픽, 멀웨어 기반 보안위협 탐지 및 대응 △악성 URL 필터링, 행위 규칙 방어, SSL 트래픽 검사, 변조 IP 보안위협 방어 △빅데이터 처리 고성능 분석 엔진 △사용자 맞춤형 관리자 인터페이스(트래픽·탐지 현황판, 보안 로그·통계 지원, 사용자 정의 대시보드 및 위젯) 등 향상된 네트워크 보안위협 탐지·대응 기능을 더해 기존 IPS와 차별화했다.
안랩은 “보유하고 있는 네트워크 보안 영역의 노하우와 엔드포인트 보안 영역의 노하우까지 모두 녹아 있는 점이 가장 큰 장점이자 차별점”이라며 “‘안랩 AIPS’에는 네트워크와 엔드포인트 보안 영역의 위협 데이터가 결합된 시그니처 등 보안위협 대응 DB가 적용돼 있다. 기업 보안담당자는 ‘안랩 AIPS’로 안랩의 위협 인텔리전스를 기반으로 의심 네트워크 패킷을 파악해 분석하거나 안랩의 침해대응 전문 인력의 도움을 받아 보안위협에 대응이 가능하다”고 설명했다.
윈스는 가시성으로 차별화 전략을 펼쳤다. 윈스는 “차세대 IPS는 기존 시그니처 기반 위협탐지 외에도 사용자, 멀웨어, 애플리케이션 기반의 비정상 행위탐지 및 IP, URL, 국가 등 평판 위협정보를 기반으로 알려지지 않은 위협에 대해 탐지하고, 이를 기반으로 다양한 가시성을 제공해 사이버위협 탐지·대응의 효율성을 높여야 한다”고 강조했다.
윈스의 NGIPS 솔루션 ‘스나이퍼 원아이(SNIPER ONE-i)’는 기존 IPS에서 제공하던 시그니처(Snort, 정규표현식) 기반의 위협 탐지뿐만 아니라 사용자, 멀웨어, 애플리케이션 기반의 상황인지 엔진으로 비정상 행위를 탐지해 가시성을 높여준다. 특히, 위협 인텔리전스(Threat Intelligence) 정보와 연계한 평판탐지 엔진을 활용해 실시간으로 사이버위협을 탐지·분석·차단한다. ‘SNIPER ONE-i’에 탑재된 다중 보안 엔진과 상황인지 엔진은 실시간으로 유입되는 트래픽을 탐지 및 심층 분석해 비정상 패킷과 세션을 판단하고 차단함으로써 네트워크 자원에 대한 신뢰성과 안정성을 확보한다.
지란지교에스앤씨는 기존 IPS 솔루션과 차별점으로 퍼포먼스와 탐지율을 우선으로 내세웠다. IPS 전용 장비인 트렌드마이크로의 ‘티핑포인트(TippingPoint)’는 ASIC 기반의 전용 하드웨어가 탑재돼 단일장비 기준 최대 40Gbps로 처리성능은 높고, 처리 지연시간은 최소화했다. 또한, 전용 칩셋을 통해 SSL 트래픽 처리가 가능하고 암호화 통신의 가시성 확보, 위협 인텔리전스(TI)의 평판 정보, 멀웨어 탐지 기능을 추가해 탐지율을 극대화했다.
지란지교에스앤씨는 “수집된 데이터에서 어떤 것이 위협인지를 정확하게 분석할 수 있어야 한다. 취약점을 파고들 수 있는 도구로 칭해지는 Exploit보다는 좀더 근본적 해결책인 취약점(Vulnerability) 자체를 찾아내고 엔진화하는데 조금 더 초점을 맞춰 엔진을 생산, 배포하고 있다. 이를 전문으로 연구하는 조직인 ZDI(Zero Day Initiative)는 80개국 1만여명의 연구원들로 구성돼 있다. IT 환경은 물론 ICS(산업제어시스템) 환경에서 사용되는 각종 애플리케이션의 취약점을 찾아내 이를 리포팅하고 티핑포인트를 비롯한 트렌드마이크로의 솔루션에 엔진 형태로 배포해주고 있다”고 설명했다.
NGIPS에서 가장 중요한 핵심기능과 요구되는 기능
이어 NGIPS 솔루션의 가장 핵심적인 기능과 요구되는 기능에 대해 보안기업들은 △선제 대응 가능한 위협 대응 시스템 △시그니처 기반의 위협 패턴 매칭 보안위협 탐지·차단 △공격위협에 대한 가시성 확대 △처리성능·장애대응 & 취약점 기반의 침입탐지 등을 핵심 기능으로 뽑았다.
시큐아이, 선제 대응 가능한 위협 대응 시스템
시큐아이는 차세대 IPS에서 가장 중요한 핵심 기능으로 선제 대응 가능한 위협 대응 시스템을 내세우며, △고성능 패턴 탐지 △알려지지 않은 위협 방어 △다양한 자산을 분석하고 방어하는 것이 핵심 기능이라고 제시했다.
시큐아이는 “최근 보안위협이 과거의 방식에서 더욱 진화해 기업의 서비스를 마비시키고, 기업의 주요 자산을 타깃으로 한 공격이 증가하고 있다”며 “또한, 기업들이 변화하는 비즈니스 환경만큼 다양한 IT 자산에 대해서 투자가 늘어나면서 보유한 모든 자산을 방어해야 하는 어려움이 커졌다. 이러한 변화에 맞춰 새로운 위협 대응 체계 확립이 필수”라고 강조했다.
안랩, 시그니처 기반의 위협 패턴 매칭 보안위협 탐지·차단
안랩은 NGIPS의 기본 역량에 충실한 ‘시그니처 기반의 위협 패턴 매칭 보안위협 탐지·차단’ 기능을 우선으로 꼽았다. 이어 최근에는 보안 현황 대시보드 및 위젯 등 NGIPS를 사용하는 보안담당자가 업무에 다양하게 활용할 수 있는 NGIPS의 부가기능을 선호한다고 덧붙였다. 이외에도 1대의 장비에서 논리적으로 다수의 별도 네트워크망을 구축해 보안관리를 할 수 있는 ‘시큐리티 존’ 기능을 내세우며, 보안관리자가 조직 특성에 따른 개별 네트워크 보안정책 적용, 팀 및 구성원별 모니터링, 보안통계 확인 등 효율적 보안관리 기능을 핵심으로 제시했다.
윈스, 공격 위협에 대한 가시성 확대
윈스는 공격 위협에 대한 가시성 확대를 중요하게 생각했다. 이와 관련 윈스는 “첫째, 암호화 패킷의 위협·자산·사용자인지 기반의 비정상 행위탐지, 외부 TI(Threat Intelligence)·평판 연계 기반의 최신 위험탐지 기능으로 사이버위협의 탐지정확도를 높이고, 실시간 탐지로 사이버위협의 가시성을 높일 수 있다. 두 번째, IPS는 인라인 방식으로 구성되기 때문에 기존 서비스 품질 저하 최소화를 위해 Wired-Speed 수준의 처리성능을 제공해야 한다. 장애 시 서비스 연속성을 보장할 수 있는 기능이 매우 중요하다”고 설명했다. 즉, Wired-Speed 수준의 높은 성능, 서비스의 안정성 및 높은 정탐율 기반의 실시간 가시성 확보가 가장 중요하다는 얘기다.
지란지교에스앤씨, 처리성능과 취약점 기반의 침입 탐지 능력
지란지교에스앤씨는 NGIPS의 핵심 기능으로 첫째, 처리성능과 장애대응 방안 둘째, 취약점 기반의 침입 탐지 능력을 강조했다. 이는 IPS가 외부 통신의 최상단에 인라인 형태로 위치하는 경우가 많기 때문이다.
처리성능과 장애대응 방안과 관련해 지란지교에스앤씨는 “인라인으로 장비를 구성하려면 가장 중요한 부분은 서비스 연속성으로 첫번째 핵심 기능은 NGIPS 솔루션이 처리할 수 있는 트래픽의 양과 처리 지연시간을 최소화시키는 신속성”이라며 “처리성능은 높이고 지연시간은 줄여야 한다. 두 가지 요소 중 하나라도 만족하지 못한다면 인라인 형태로의 구성이 어려울 수 있다. 또한, 발생할 수 있는 장애 상황에 대해 얼마나 유연하게 대응할 수 있는지도 중요한 요소”라고 말했다.
이어 취약점 기반의 침입 탐지 능력과 관련해서는 “악의적인 위협을 얼마나 잘 탐지하고 차단할 수 있느냐가 중요하다”며 “보유하고 있는 룰(Rule, 또는 시그니처)의 개수보다는 취약점 자체를 탐지할 수 있는 기술이 있다면 좀더 정확하고 효과적인 솔루션 운영이 가능해 룰의 기밀성과 벤더의 R&D 기술을 함께 살펴봐야 한다. 처리성능과 장애 대응방안, 그리고 취약점 기반의 탐지율은 제품의 선정 과정, 운영 효율성, 모니터링 면에서 가장 중요한 핵심기능”이라고 강조했다.
주요 NGIPS 솔루션의 호환성과 퍼포먼스
하지만 아무리 좋은 기능과 우수한 제품이라도 사용의 편리성을 고려한 호환성과 성능이 좋지 않으면 무용지물이다. 솔루션의 우수한 기능을 지원하기 위해서는 무엇보다 많은 양의 위협 정보를 실시간으로 분석 처리해야 한다.
[이미지=utoimage]
시큐아이의 블루맥스 IPS는 고속 패턴매칭 기능을 수행하는 스마트 네트워크 카드(Smart NIC)를 탑재했다. 스마트 네트워크 카드에 트래픽이 유입되면 카드에서 위협 트래픽 여부를 미리 검사한다. 정상 트래픽이면, 본체 CPU 처리 없이 카드 내 검사로 트래픽을 흘려보내고 위협 트래픽으로 감지되면 본체 CPU에서 상세 패턴 검사를 수행한다. CPU 부하를 절감하고 정교한 탐지가 가능하며 지연 속도(Latency)를 최소화해 빠른 트래픽 처리가 가능하다. 또한, 소프트웨어 아키텍처에 신규 탐지 알고리즘을 적용해 공격 유형에 따라 탐지 엔진을 병렬 분산 처리함으로써 신종 악성코드 탐지를 향상시켰다. 스마트 네트워크 카드를 탑재한 고속 패턴 매칭 기능과 병렬 분산 처리를 위한 멀티패스 엔진을 적용함으로써 블루맥스 IPS 10000 장비에서 64바이트 패킷 기준으로 40Gbps까지 처리 성능이 향상됐다.
퍼포먼스와 관련해 시큐아이는 “우수한 성능(40Gbps)에 대한 객관화된 검증 지표로 공인성능시험기관에서 검증된 시험 성적서를 보유하고 있으며, 네트워크상에 발생하는 다양한 트래픽 조건에 따라 우수한 성능을 검증했고, 고객사들에게 객관화된 성능 증빙자료로 제공하고 있다”고 밝혔다.
안랩은 “솔루션을 도입한 기업의 네트워크 상황에 따라 많이 영향을 받는다”며 “동일한 솔루션을 도입하더라도 천차만별의 성능이 나타나므로 성능 수치를 단정 짓기는 매우 어렵다. 다만, 일반적으로 AhnLab AIPS(Advanced IPS, 이하 안랩 AIPS)의 하이엔드 모델(안랩 AIPS 10000)의 경우 1대당 20Gbps 이상을 지원하고 있다”고 밝혔다.
호환성 측면에서는 일반적으로 기업, 기관의 웹 트래픽 환경 등 다양한 네트워크 환경에서 원활하게 안랩 AIPS 사용이 가능하다는 게 안랩의 설명이다. 하지만 OT 환경 등 특수한 프로토콜을 사용하는 네트워크 환경에서는 안랩의 네트워크 기술지원 인력이 면밀히 호환성을 검토하고 고객사의 네트워크 환경을 분석해 고객사가 조직의 네트워크 환경에 최적화된 솔루션을 도입할 수 있도록 돕고 있다는 것이다. 이외에도 안랩 AIPS는 고사양 멀티코어 CPU와 고속 패킷 처리 아키텍처 및 전용 NIC(Network Interface Card)을 적용해 중소규모 네트워크 환경부터 대규모 사업장의 네트워크 환경까지 안정적으로 지원한다고 덧붙였다.
윈스는 호환성과 성능에 대해 “기존 환경 구성에 변화 없이 호환성을 보장하는 인라인 방식과 기존 서비스 성능 유지를 위해 IPS 탐지·차단 시 성능 지연을 최소화해야 한다”며 “이를 위해선 100Mbps~100Gbps의 다양한 회선에 인라인(IN-Line) 방식으로 Wired-Speed 수준의 성능이 요구된다”고 예를 들었다.
현재 윈스의 IPS 솔루션은 100G 인터페이스 2세그먼트를 지원해 200Gbps를 제공하는 고성능 제품과 1G ~ 40G 인터페이스까지 다양한 인터페이스로 1G~160Gbps를 제공하는 제품을 보유하고 있다. 또한, 시스템에 탑재되는 NIC는 표준 프로토콜을 지원해 다양한 환경에서도 호환이 가능하다. 특히, 장애시 안정성 보장을 위해 Bypass 모드 외에도 SPAN(미러+ Bypass)를 제공해 운영의 효율성을 높이고 있다.
지란지교에스앤씨는 “점점 고도화되는 위협에 보안 솔루션의 종류도 증가하고 있다”며 “이제는 단일 솔루션으로의 위협 대응은 불가능하다. 최근의 보안 솔루션의 트렌드를 살펴보면 다양한 방법으로 연동하고, 위협정보를 공유, 탐지 이벤트를 통합하는 방향으로 접근하는 추세”라고 밝혔다.
지란지교에스앤씨의 NGIPS 솔루션 티핑포인트는 APT 솔루션인 DD장비 및 XDR 솔루션인 ‘비전 원(Vision One)’과 연동해 각 구간의 보안 솔루션에서 제공되는 의심스러운 객체(Suspicious Object)를 공유한다. IPS 제품이 탐지한 이벤트를 APT 솔루션이 동적 분석하고 도출된 정보는 XDR 솔루션이 연관 관계를 분석해 의미 있는 정보를 다시 IPS 제품에 배포해주는 선순환 구조다. 이를 통해 트렌드마이크로의 보안 솔루션은 정보를 공유하고 연관 분석을 통해 탐지율을 극대화하는 구조를 형성하고 있다. 이 결과로 탐지된 이벤트는 시스로그(Syslog), 스플렁크(Splunk), 큐레이더(Qradar) 등과 같은 로그통합 시스템과의 연동을 통해 통합 운영, 통합 모니터링의 대응 프로세스를 수립하도록 지원한다.
특히, 기업에서 제공하는 서비스의 범위가 증가하고 재택 환경의 보편화, 마이크로 서비스의 확대에 따라 인라인 제품의 처리성능은 높아질 수밖에 없다. 이러한 기업의 트래픽 양 증가에 발맞춰 티핑포인트는 단일장비 기준 40Gbps, 스태킹(3대의 제품을 stacking 케이블로 연결) 적용 시 최대 120Gbps의 처리성능을 제공한다. 이는 NGIPS 전용 라인업에 전용 하드웨어를 탑재해 성능을 끌어올렸기 때문이다. 특히, 티핑포인트는 장비 교체가 아닌 라이선스를 교체해 처리 성능을 증가시킬 수 있는 라이센싱(Licensing) 모델을 지원한다. 트래픽 증가 시 유연한 대응이 가능해 운영관리가 편리하다.
[NGIPS 대표 솔루션 집중분석-1]
시큐아이, 차세대 솔루션 ‘블루맥스(BLUEMAX) IPS’ 출시
디지털 대전환 시대, 변화무쌍한 보안 위협에 선제 대응으로 안전한 보안 환경 제시
▲블루맥스(BLUEMAX) IPS[이미지=시큐아이]
클라우드, 비대면 원격 근무 등 다양한 비즈니스 환경의 확대로 기업·정부부처·기관 상관없이 주요 자산을 겨냥한 공격이 증가하고 있다. 이에 따라 내부의 중요 자산을 지키기 위한 새로운 위협 대응 체계 확립이 필수적이다. 국내 네트워크 보안 1위 기업 시큐아이는 이러한 IT 환경의 변화와 증가하는 보안 위협에 대응하기 위해 고성능 신제품 ‘블루맥스(BLUEMAX) IPS’를 출시하며 더욱 안전한 보안 환경 구축 방안을 고객에게 제시하고 있다.
선제적 보안 위협 대응 시스템 ‘블루맥스 IPS’
블루맥스 IPS는 고성능 위협 차단 플랫폼 탑재로 보안 위협에 대해 선제 대응 체계를 제공해 즉각적인 대응이 가능하다. ‘블루맥스 IPS’는 시큐아이의 취약점 분석 솔루션과 연계해 고객의 IT 환경에 최적화된 보안정책을 제공한다. 위험 등급, 취약점ID, 호스트 등 고객의 자산정보를 기반으로 자산 취약점을 진단하고 분석해 취약점 ID와 맞는 탐지 시그니처를 활성화한다. 고객은 능동적인 고객맞춤형 정책 적용으로 불필요한 관리 업무를 절감할 수 있다.
실제로 보안 관리자의 가장 큰 어려움 중 하나는 증가하는 신종 위협을 인식하고, 이를 정책으로 설정하는 업무이다. 매일 발생하는 수십 가지 새로운 신종 보안 위협을 인식 및 분석 후 탐지패턴을 만들어 보안 솔루션에 적용하려면 최대 일주일의 시간이 소요된다. 시큐아이는 새로운 공격기법과 보안 취약점에 대응하기 위해 국내외 위협정보시스템과의 협업체계를 통해 신종 보안 위협에 대한 탐지 패턴을 제공하고 있으며, 자체적으로 보유한 위협인텔리전스(TI) 정보를 기반으로 알려지지 않은 신종 위협에 대한 즉각적인 방어 체계를 고객들에게 지원한다.
클라우드 버전 등 지속적인 신제품 출시로 보안 수요에 선제 대응
시큐아이는 변화하는 클라우드 환경을 지원하기 위해서 연내 블루맥스 IPS의 클라우드 버전을 출시할 계획이다. 현재 안정적인 매출 확대를 기록하고 있는 클라우드 보안 차세대 방화벽 ‘블루맥스 NGF VE’에서 축적된 보안 노하우를 기반으로 클라우드 보안 시장 요구사항에 부합한 여러 기능을 탑재하여 수요에 선제적으로 대응하고자 한다.
[NGIPS 대표 솔루션 집중분석-2]
안랩(AhnLab) AIPS 더욱 강력해진 차세대 네트워크 침입방지 솔루션
▲AhnLab AIPS[이미지=안랩]
네트워크 보안 위협의 진화로 인해 침입방지시스템(IPS)에도 변화가 생겨나고 있다. 알려지지 않은 공격, 수많은 멀웨어의 탐지는 물론, 공격에 활용되는 다양한 요소에 대해서도 방어가 가능해야 한다. 또한, 다양한 보안 솔루션과의 연동을 통해 네트워크 보안 위협에 대해 복합적, 유기적으로 대응할 수 있는 차세대 IPS의 필요성이 대두되고 있다.
AhnLab AIPS(Advanced IPS)는 사이버 보안의 변화와 함께 고도화되는 네트워크 공격에 대응할 수 있는 차세대 네트워크 침입방지 솔루션이다. 네트워크, 운영체제(OS), 웹 및 애플리케이션 취약점 기반의 공격은 물론 다양한 유형의 네트워크 기반 공격 및 악성코드를 통한 공격을 탐지하고 차단한다. 궁극적으로, AhnLab AIPS는 진화하는 네트워크 위협에 대응해 기업의 비즈니스 환경을 안전하게 보호한다.
AhnLab AIPS는 안랩이 보유한 아시아 최고, 최대 규모의 보안 위협 분석 조직 및 인프라를 기반으로, 국내 네트워크 환경에 최적화된 6,000여개의 네트워크 공격 대응 시그니처를 제공한다. 고속 패턴 매칭을 기반으로 L2-L7에 대한 탐지부터 애플리케이션에 대한 제어, 암호화된 트래픽에 대한 가시성까지 지원한다. 또한, 멀웨어 기반 탐지로 트래픽 내 악성파일 탐지 및 차단과 함께 추가 분석을 위해 탐지된 악성파일을 추출할 수 있다.
AhnLab IPS의 또 다른 장점은 강력한 탐지, 차단 및 분석 성능에 있다. 멀티코어 CPU와 안랩만의 최적화 프로그래밍, 고속 패킷 처리를 위한 DPDK 아키텍처 및 가속 기술을 통해 서비스 장애 및 패킷 누수 없이 대용량 트래픽에 대해 탐지와 차단이 가능하다. 그리고, 안랩에서 독자 개발한 빅데이터 처리 중심의 고성능 엔진이 적용돼, 빠른 로그/이벤트 검색과 함께 이벤트에 대한 다양하고 유연한 분석을 지원한다.
AhnLab AIPS는 사용자가 쉽고 빠르게 네트워크 상황을 인지하고, 위협에 대해 분석할 수 있도록 뛰어난 정보 가시성을 지원한다. 사용자 정의 대시보드, 위젯을 통해 관리자가 원하는 정보만으로 대시보드를 구성할 수 있다. 트래픽 통합 로그 및 종류별 로그 기능을 통해 이벤트에 대해 쉽게 트래킹 가능하며, 해당 이벤트의 다양한 정보를 한눈에 확인할 수 있다. 아울러, 위협 이벤트를 검색하고 지속적인 통계와 분석이 필요한 경우, 사용자 정의 통계 및 분석 규칙을 생성할 수 있다.
이 밖에 AhnLab AIPS는 다수의 보안 장비에 대한 간편한 정책 설정 및 통합 모니터링 환경을 제공하는 차세대 네트워크 통합 보안 플랫폼 AhnLab TMS와 연동한다. 이를 통해 효율적이고 직관적인 모니터링과 진일보한 관리 편의성을 제공한다. 또한, AhnLab TMS와 연동된 안랩의 네트워크 보안 솔루션들과 연계해 머신러닝을 기반으로 종합적인 위협 분석을 수행한다. 공공 사이버 안전센터 연동을 통해 기관에서 배포하는 PCRE/YARA 정책의 배포도 가능하다.
[NGIPS 대표 솔루션 집중분석-3]
트렌드마이크로 플래티넘 파트너 지란지교에스앤씨(지란지교SNC)
글로벌 1위 NGIPS 기술력으로 전방위적 네트워크 보안의 중심에 서다
다양한 환경에서 필요로 하는 전방위적 네트워크 보안트렌드마이크로의 NGIPS는 뛰어난 처리성능과 신속한 장애 대응방안 그리고 취약점 기반의 탐지율을 기반으로 다양한 환경의 전방위적인 네트워크 보안을 제공한다.
지란지교에스앤씨는 △물리 환경의 네트워크 구간을 방어하는 네트워크 IPS(TippingPoint) △하이브리드 환경(물리, 가상화, 클라우드)의 호스트 기반 IPS(Deep Security) △클라우드 환경의 네트워크 IPS(CloudOne Network Security) △ICS/OT보안을 위한 IPS(txone)를 통해 위협이 발생할 수 있는 모든 구간에 대한 전방위적 보안을 제공할 수 있는 구축 및 기술 노하우를 보유하고 있다.
플래티넘파트너(트렌드마이크로의 파트너 최고 등급)인 지란지교에스앤씨는 10년 전부터 전국 규모의 트렌드마이크로 사업(행안부 좀비PC 탐지대응 체계 구축)을 성공적으로 수행해 지금까지 국내 공공, 금융, 기업 분야의 100여개 고객사에게 트렌드마이크로 솔루션을 공급하고 있다. 특히, NGIPS 서비스를 위한 전담 인력을 보유하고 있으며, 도입 관련 문의가 늘어나고 있다.
클라우드 VPC 환경 보호를 위한 차세대 IPS 제공
최근 전환이 가속화되고 있는 클라우드 환경으로의 발걸음에 지란지교에스앤씨는 다양한 솔루션 구축 기술 노하우를 접목시켜 하이브리드, 멀티 클라우드 환경을 위한 가장 쉽고 강력한 올인원 클라우드 보안 플랫폼(SaaS)인 CloudOne 솔루션 공급에 집중하고 있다.
CloudOne은 고객의 안전한 클라우드 마이그레이션을 위해서 꼭 필요한 클라우드 네이티브 보안 기능을 제공하며, 클라우드 인프라 환경부터 데브옵스 파이프라인, 컨테이너 보안, 서버리스 보안, 그리고 기업의 클라우드 환경 전체에 대한 통합 보안 관리를 하나의 보안 플랫폼으로 해결할 수 있도록 한다.
그 중 클라우드 VPC 환경 보호를 위한 클라우드 차세대 침입방지시스템인 ‘CloudOne Network Security’는 클라우드 VPC 네트워크 보안을 강력하면서 쉽게 구성할 수 있도록 지원하며 송수신 트래픽 검사를 기반으로 VPC(가상 사설 클라우드)와 클라우드 네트워크에 대해 자동화된 보안기능으로 클라우드 네트워크를 보호할 수 있다. 퍼블릭 클라우드 환경의 다양한 네트워크 구성 솔루션의 효율성과 확장성을 이용해 신속하고 간단한 배포를 지원함으로써 복잡하고 다양한 VPC 네트워크 환경을 효율적으로 보호한다.
▲NGIPS TippingPoint[이미지=지란지교에스앤씨(지란지교SNC)]
지란지교에스앤씨는 클라우드 환경의 보안 솔루션 구축 경험이 많은 전문인력을 보유하고 있으며, 관련 기술에 대한 최신화에 능동적으로 대응하고 있다. APT 솔루션, 백신은 물론 클라우드 보안 솔루션까지 국내에서 제공되는 트렌드마이크로의 모든 솔루션 및 서비스에 대한 구축 및 기술지원을 하고 있다.
이 외에도 다수 글로벌 벤더(F5 Networks, Fortinet, RSA, Akamai)들과의 파트너쉽을 통해 보다 다양하고 앞선 보안 솔루션을 발굴하고 연동, 개발하고 있다. 또한, 자체 보안기술연구소를 통한 지속적인 개발 및 투자를 통해 VADA(시스템 취약점 자동진단 솔루션), 더방탄PC(재택 원격근무용 통합PC보안 솔루션), Netspear(DDoS 공격 시뮬레이터) 등 자체 솔루션을 보유하고 있다.
[NGIPS 대표 솔루션 집중분석-4]
윈스, 지능형 차세대 침입방지 시스템(SNIPER ONE-i)
5G 모바일 코어망/MEC 보안 기술 확보 & 400G 처리용량의 고성능 IPS
▲SNIPER ONE-i[이미지=윈스]
SNIPER ONE-i는 SNIPER IPS의 차세대 침입방지 시스템으로, 네트워크 상에서 다양한 통신 트렌드와 새로운 위협으로부터 효과적으로 대응할 수 있는 새로운 보안 솔루션이다. SNIPERONE-i은 국내외 주요 네트워크 구간에서 위협 트래픽을 심층 분석하고, 자사 TMS-Plus, BD1-AI+, APTX, CTI (Cyber Thread Intelligence) 솔루션과 연계해 SOAR(Security Orchestration, Automation, and Response) 관점의 유기적인 탐지/분석/정책 배포 연계 기능을 갖추고 있으며, STIX/TAXII 표준연동을 통한 TI(Threat Intelligence) 연계 기능을 갖춘 제품이다.
더불어 최근 인프라 환경의 급격한 변화[①5G통신 확산 ②공공/기업환경의 Cloud 전환 ③다양한 보안체계와 협업 방어 ④HTTPS 등 암호화 트래픽 확대]에 유연하게 대응하기 위한 다양한 기술을 접목한 제품이다.
초지연, 초고속 환경 대응
5G 환경의 초지연, 초고속 환경을 지원하기 위해 100G 네트워크 환경의 고성능 보안기술을 적용해 400Gbps 처리용량의 고성능 IPS로 국내/해외의 모바일 보안 환경 보호를 지원하고 있다.
Cloud 환경의 운영기술 접목
Cloud 가상화 환경의 Container / VM 환경의 IDS/IPS 환경의 보안 운영을 지원하고 있으며, MEC (Mobile Edge Computing) 환경 내의 Slicing Network 보안을 담당하고 있다.
다양한 보안기술 유기적 연계
자사 TMS-Plus, BD1-AI+, CTI (Cyber Threat Intelligence)시스템과 연계한 AI 기반 로그 분석과 연계 분석을 통한 다양하고 정밀한 탐지/방어 체계 구축이 가능하다. 대규모 네트워크 망 구성의 많은 센서 운영을 쉽게 확장할 수 있도록 구성을 제공하고 있다. 다양한 탐지/차단 이벤트는 자사 솔루션뿐만 아니라 SIEM, 3rd Part Big Data 솔루션 연계 분석 및 AI 로그 분석 기능과 악성 유사도 분류 및 분석 기능 제공으로도 가능하다. SNIPER ONE-i에서는 최신 악성 행위 분석 정보와 패턴 정보 제공해, 빠른 분석 대응이 가능하다.
▲SNIPER ONE-i[이미지=윈스]
암호화 트래픽 비복호화 위협탐지
암호화 트래픽(Transport Layer Security)을 비복호화 방식으로 위협 인지를 탐지/차단할 수 있는 기술을 상용화했다. 해당 기술은 2022년 100G 시스템으로 운영하고 있으며, 지속적인 기술 고도화를 진행하고 있다.
SNIPER ONE-i 는 IPS의 핵심기능인 위협탐지력을 보다 강화하기 위해 공공기관 보안정책 정책 Snort, YARA 운영 관리 기능과 자산인지, 어플리케이션 인지, 서비스 인지, Malware 인지, IP 평판 기능을 제공해, 네트워크 이상 행위를 조기에 감지할 수 있다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>