효과적인 네트워크 보안을 위한 최적의 솔루션 선택이 필요
네트워크 보안 솔루션에 대한 사용자 선호도 조사
네트워크 보안 솔루션 집중분석: 엔피코어, 쿼드마이너, 샌즈랩
[보안뉴스 원병철 기자] 네트워크(Network)는 그물(Net)을 짜는(Work) 일이라는 의미로, 컴퓨터를 포함한 여러 장치를 연결해 데이터와 자원을 공유하는 연결망을 말한다. 컴퓨터 네트워크, 통신망 네트워크, 무선 네트워크, 라디오 네트워크, 방송망 네트워크 등 다양한 네트워크가 있으며, 업무 혹은 사람과의 관계를 지칭하기도 한다.
[자료: gettyimagesbank]
최초의 네트워크와 최초의 네트워크 침해사고, 그리고 최초의 법적 처벌
세계 최초의 네트워크는 컴퓨터 간의 데이터 전송 목적으로 개발됐다. 1969년에 미국 국방부 산하의 고등연구계획국(ARPA)에 의해 구축된 컴퓨터 네트워크 ‘ARPANET(Advanced Research Projects Agency Network)’이 이 세계 최초의 네트워크이며, 인터넷의 기초가 된 시스템이다. ARPANET은 군사 목적으로 개발됐지만 이후 여러 대학과 연구소가 연결되면서 네트워크가 확장됐고, 이후 TCP/IP 프로토콜을 도입하는 등 현대 인터넷의 기반을 마련한 것으로 평가받는다.
최초의 네트워크 침해사고로 알려진 사건도 이 ARPANET을 대상으로 한 공격이었다. 1988년 11월 2일에 발생한 모리스 웜(Morris Worm)은 당시 약 6,000대의 컴퓨터가 연결된 ARPANET(인터넷의 전신)을 대상으로 발생했으며, 공격받은 컴퓨터들은 멈추거나 속도가 느려졌다.
이 사건은 미국의 ‘컴퓨터 사기 및 남용법(Computer Fraud and Abuse Act, CFAA)’에 따라 최초로 기소된 사례로 기록됐으며, 이후 네트워크 보안 연구와 법적 규제의 발전에 큰 영향을 미쳤다. 컴퓨터 사기 및 남용법은 1986년에 미국에서 제정된 법률로, 컴퓨터 시스템의 무단 접근 및 악용을 방지하기 위한 규정이다. 이 법은 특히 네트워크와 시스템 보안이 점점 중요해지는 시대에 맞춰 개발됐으며, 사이버 범죄를 처벌하기 위한 법적 기준을 제공해 미국 컴퓨터 보안과 관련된 가장 중요한 법 중 하나로 꼽힌다.
모리스 웜 이후 네트워크 공격은 점점 더 정교해지고 다양해졌으며, 꾸준하게 발생했다. 2001년 ‘Code Red’ 웜이나 2003년 ‘SQL Slammer’ 웜, 2010년 ‘Stuxnet’이나 2017년 ‘WannaCry’ 랜섬웨어 등 전 세계를 대상으로 하거나 특정 산업을 노린 최초의 공격들이 발생했다.
2018년 3월 9일 평창동계올림픽을 노린 공격은 대표적인 네트워크 공격이었다. 당시 도핑 이슈로 러시아의 올림픽 참가가 어렵자, 러시아 군 정보기관이 평창동계올림픽 네트워크를 공격한 사건으로, 300여대의 서버 중 50여대가 파괴돼 대부분의 시스템이 중단됐었다. 다행히 여러 과정을 통해 개막식 이후 12시간이라는 짧은 시간 안에 대부분의 피해를 복구하고 무사히 올림픽을 치를 수 있었다. 올림픽은 실시간으로 70여개 서비스와 인프라를 만드는 과정이었고, 최소 12~13개 업체가 인하우스 방식과 원격 접속, 해외 등 다양한 장소에서 네트워크를 통해 작업했기 때문에 높은 수준의 보안을 요구하는 작업이었다.
최근 몇 년 동안 유행하던 ‘리빙 오프더 랜드(Living off the Land, LOTL)’ 공격이 전 세계를 대상으로 기승을 부리자, 네덜란드·뉴질랜드·대한민국·미국·싱가포르·영국·일본·캐나다·호주 등의 국가 정보기관들이 한데 모여 LOTL 공격에 대비하기 위한 가이드라인을 만들어 공동으로 발표했다. LOTL 공격은 컴퓨터나 네트워크에 이미 설치된 여러 자원들을 공격에 활용하는 수법으로, 정상적으로 발생하는 트래픽과 공격자들이 일으킨 트래픽을 구분하기 힘들어 공격 지속성이 높다는 장점을 갖고 있다.
미국 사이버 보안 인프라 보안 기관(CISA)에 따르면, 2024년 2월에 공개되지 않은 주정부 기관이 소유한 네트워크가 CISA 네트워크에서 관리자로 근무한 전직 직원의 자격 증명을 사용해 침해됐다. IBM의 2024 데이터 침해 비용 보고서에 따르면, 네트워크 데이터 침해로 인한 전 세계 평균 비용이 2023년 대비 10% 증가한 역대 최대인 488만 달러에 달했으며, 분산형 클라우드 리소스 확장 및 보안 인력 부족 등의 요인으로 인해 팬데믹 이후 가장 큰 폭으로 상승했다.
웜으로 시작한 네트워크 공격, 점점 정교해지고 다양해지다
이처럼 네트워크 공격은 일개 기업과 기관을 넘어 국가적 차원에서 대응해야 할 위협으로 자리 잡았다. 그렇다면 이러한 네트워크 공격은 어떻게 이뤄질까? 네트워크 공격은 다양한 형태로 진행된다. 대표적인 것이 바로 △멀웨어(Malware)다. 멀웨어는 악성 소프트웨어로 시스템을 손상시키거나 데이터를 훔치는 데 사용된다. 우리가 잘 알고 있는 웜(Worm), 바이러스(Virus), 트로이 목마(Troian Horse), 랜섬웨어(Ransomware) 등이 멀웨어에 포함된다. △피싱(Phishing)은 신뢰할 수 있는 기관이나 기업, 혹은 사람을 가장해 사용자로부터 민감한 정보를 탈취하는 공격이다. 주로 이메일이나 가짜 웹사이트를 통해 이뤄진다.
△서비스 거부 공격(DoS/DDoS)은 네트워크를 과부하 상태로 만들어 정상적인 서비스가 이뤄지지 않도록 방해하는 공격이며, △중간자 공격(MITM)은 두 당사자 간의 통신을 가로채 데이터를 탈취·변조하는 공격이다. △SQL 인젝션(SQL Injection)은 웹 애플리케이션의 데이터베이스에 악성 SQL 코드를 삽입해 데이터를 탈취하거나 수정하는 공격이며, △크로스 사이트 스크립팅(XSS) 공격은 웹 페이지에 악성 스크립트를 삽입해 사용자 데이터를 탈취하거나 시스템을 손상시키는 공격이다.
이제 전 국민도 알고 있는 △랜섬웨어(Ransomware)는 데이터를 암호화한 후, 복구를 빌미로 몸값을 요구하는 공격이며, △DNS 스푸핑(DNS Spoofing)은 DNS 요청(도메인 이름을 IP 주소로 변환하는 것)을 변조해 사용자를 악성 웹사이트로 유도하는 공격이다. △사회공학적 공격(Social Engineering)은 사람의 심리적 취약점을 이용해 정보를 탈취하거나 시스템에 접근하는 방법이며, △제로데이 공격(Zero-Day Attack)은 소프트웨어의 알려지지 않은 취약점을 찾아 몰래 공격하는 방법이다.
이 외에도 다양한 공격 방법이 존재하며, 네트워크 보안을 강화하기 위해 이러한 공격에 대한 이해와 대비가 중요하다.
▲국내외 대표 네트워크 보안 솔루션[정리: 보안뉴스]
네트워크 보안을 위한 다양한 솔루션과 기술들
이처럼 네트워크 공격이 발전하면서 이에 대응할 수 있는 네트워크 보안도 힘을 얻게 된다. 네트워크 보안은 컴퓨터 네트워크와 그 안의 데이터, 시스템을 외부의 위협이나 내부의 오용으로부터 보호하기 위한 기술, 프로세스, 정책을 말한다. 네트워크 보안은 네트워크를 통해 전송되는 데이터의 기밀성, 무결성, 가용성을 유지하고, 악의적인 공격이나 비인가된 접근으로부터 시스템을 방어한다.
엔피코어는 네트워크 트래픽의 어떤 부분에 초점이 맞춰졌냐에 따라 네트워크 보안 솔루션의 정의가 달라질 수 있다고 설명했다. 첫 번째는 네트워크 트래픽의 헤더에 초점을 맞춘 솔루션은 헤더 정보를 분석해 잠재적 위협을 탐지한다. 헤더는 데이터 패킷의 출발지, 목적지, 프로토콜 정보 등을 포함하며, 이를 통해 비정상적인 활동이나 패턴을 탐지한다. 여기에는 대표적으로 방화벽이 해당된다. 반면, 네트워크 트래픽에서 패킷에 초점을 맞춘 솔루션은 네트워크 트래픽의 전체 패킷(헤더 및 페이로드)을 심층적으로 분석해 악성코드 및 이상 트래픽을 탐지한다. 이는 데이터 내용까지 검사해 더 정밀한 보안 기능을 제공합니다. 여기에는 IPS, IDS 등이 속하며, 최근에는 NDR이 포함된다.
또한, 안랩은 단일 기능에 그치지 않고 네트워크 전반을 아우르는 통합보안 플랫폼으로 진화하고 있다고 설명했다. 예를 들어, 제로트러스트 기반의 ZTNA, 클라우드 환경을 위한 SWG(Secure Web Gateway), 사용자 단말과 연동된 NAC(Network Access Control), 본사와 지사 간 트래픽 최적화를 위한 SD-WAN 등 다양한 형태로 확장되고 있다는 설명이다. 아울러 이제 네트워크 보안은 단순한 ‘차단’이 아니라, 위험 요소를 식별하고, 통제하고, 지속적으로 점검하는 체계적인 접근이 핵심이 되고 있다고 덧붙였다.
그렇다면 네트워크 보안 솔루션은 어떤 것들이 있을까? 대표적인 솔루션을 살펴보면 △가상사설망(VPN) △네트워크 접근제어(NAC) △네트워크 탐지 및 대응(NDR) △도메인 주소 조회 서비스(DNS) 보안 △디도스 대응 △망분리/망연계 △방화벽(FireWall) △보안 서비스 엣지(SSE) △보안 스위치 △보안 원격 접속 △보안 웹 게이트웨이(SWG) △보안 정보 및 이벤트 관리(SIEM) △원격 브라우저 격리(RBI) △웹 방화벽(WAF) △위협관리시스템(TMS) △지능형 지속 위협(APT) 대응 △제로트러스트 네트워크 액세스(ZTNA) △지능형 지속 위협(APT) 대응 △침입탐지 및 방지시스템(IDS/IPS) △통합보안관리(ESM) △통합보안장비(UTM) 등이 있다. 각각의 솔루션은 다양한 공격으로부터 네트워크와 시스템을 보호하기 위해 다양한 보안 기술을 활용한다.
샌즈랩은 “외부 침입, 내부 위협, 그리고 고도화된 사이버 공격에 대응하기 위해 네트워크 보안 솔루션은 다양한 기술을 활용한다”라면서, “활용되는 기술은 전통적인 탐지 방식부터 최신 인공지능 기반의 분석 기술까지 매우 폭넓으며, 주요 기술은 다음과 같은 범주로 구분할 수 있다”며 다섯 가지 구분법을 제시했다.
①접근제어 및 경계 보호 기술 방화벽(Firewall), 네트워크 접근제어(NAC) 등을 통해 비인가된 접근을 차단하고, 네트워크의 기본적인 보안 경계를 형성한다. ②침입탐지 및 위협 식별 기술 IDS/IPS처럼 서명 기반(Signature-based) 기술을 통해 알려진 공격을 탐지하거나, 네트워크 트래픽을 분석해 의심스러운 행위를 식별한다. ③행위 기반 탐지 기술 정상적인 트래픽 패턴과 비교해 이상 징후를 식별하며, 내부자 위협이나 우회 공격과 같은 비정형 공격에 대응하는 데 효과적이다. ④암호화 트래픽 및 애플리케이션 계층 분석 기술 SSL/TLS로 암호화된 트래픽이나 애플리케이션 계층의 통신 내용을 분석해, 암호화된 환경 속에서도 위협을 감지할 수 있다. ⑤AI 기반 이상징후 분석기술 네트워크 내 사용자 행위, 트래픽 흐름 등을 자동으로 분석해 평소와 다른 이상 징후를 실시간으로 감지한다. 알려지지 않은 위협이나 새로운 공격 방식에도 효과적으로 대응할 수 있다.
네트워크 보안 솔루션 시장, 매출 지표 꾸준하게 상승
네트워크 보안 솔루션 시장은 사이버 위협이 증가하고 디지털 전환이 가속되면서 수요가 증가하고 있는 산업 중 하나다.
글로벌 시장조사기관 ‘포춘 비즈니스 인사이트(Fortune Business Insights)’는 네트워크 보안 시장 보고서를 통해 2024년 글로벌 네트워크 보안 시장 규모를 245억5000만달러(한화 약 36조2849억원)로 평가했다. 아울러 2025년은 285억8000만달러(한화 약 42조2469억원)를 달성하고, 연평균 성장률 14.3%를 보이며 2032년에는 729억7000만달러(한화 약 107조8642억원)을 기록할 것으로 예측했다.
포춘 비즈니스 인사이트는 다양한 산업 분야에서 클라우드가 도입되고 원격접근이 가능해지면서 데이터 프라이버시와 보안 문제가 심각하게 발생했고, 이러한 이유로 네트워크 인프라를 보호하기 위한 보안 솔루션 도입에 대한 수요가 증가하고 있다고 분석했다.
또한 마켓앤마켓츠(marketsandmarkets)의 네트워크 보안 시장 보고서에 따르면, 글로벌 네트워크 보안 시장 규모는 2024년에 782억달러(한화 약 115조5952억원)로 평가됐으며, 2024년부터 2029년까지 7.2%의 연평균 성장률로 성장해 1,110억달러(한화 약 162조6130억원)에 이를 것으로 예상됐다.
마켓앤마켓츠는 분산 서비스 거부(DDoS) 공격, 중간자 공격(MitM) 공격, DNS 스푸핑과 같은 네트워크 공격의 빈도와 정교함이 증가함에 따라 네트워크 보안 솔루션 도입이 증가하고 있다면서, 기업이 디지털화하고 클라우드 서비스를 도입함에 따라 공격 표면이 확장돼 취약성이 더 커졌다고 판단했다. 아울러 이러한 추세는 원격 근무자와 IoT 기기의 성장으로 더욱 심화돼 조직이 데이터 보호나 비즈니스 연속성을 보장하고 다양한 규제 요구 사항을 준수하기 위한 지원을 제공하는 견고한 네트워크 보안 조치에 투자하도록 밀어붙이고 있다고 설명했다.
그렇다면 국내 시장 규모는 어떨까? 보안뉴스와 시큐리티월드가 발간한 ‘2025 보안 시장 백서’에 따르면, 2024년 네트워크 보안 시장은 6927억원이며, 2025년은 7601억원으로 예측됐다. 이 자료는 2차 조사를 통해 제조사와 유통사, SI 등의 중복 매출을 최대한 제거했다. 또한 과기정통부와 KISIA가 발표한 ‘2024년 국내 정보보호산업 실태조사’에 따르면 2023년 네트워크 보안 솔루션 시장은 1조 8031억원대로 집계됐다.
이렇게 네트워크 보안 솔루션이 국내외를 가리지 않고 꾸준하게 성장하고 있는 이유는 첫 번째로 기술의 발전으로 디지털 솔루션, 연결된 기기, IT 시스템 도입이 증가한 점이다. 두 번째는 코로나 펜데믹 이후 늘어난 원격·재택근무로 인한 네트워크를 활용한 업무가 늘었다는 점이다. 세 번째는 기관과 기업들의 디지털전환 증가로 인한 클라우드로의 전환이다. 이처럼 네트워크의 활용이 늘어나면서 이를 대상으로 한 사이버 위협도 늘어났고, 기업과 기관들은 자연스레 이에 대응하기 위한 네트워크 보안 솔루션을 도입하면서 시장의 성장이 이어지고 있다는 평가다.
특히 업계에서는 복잡한 네트워크 환경과 고도화된 공격이 늘면서, 단순한 방어가 아닌 ‘통합 보안’에 대한 수요가 커지고 있다고 판단한다. 보안 기능의 통합뿐만 아니라 온프레미스와 클라우드 등 다양한 업무 환경에 대한 통합 보안과 일관된 보안 정책 수립이 있어야 한다는 설명이다.
팔로알토 네트웍스도 “실시간 위협 인텔리전스를 제공하고, 자동화된 대응이 가능한 보안 기술이 주목받고 있다”면서, “또한 사용자들은 복잡한 보안 환경을 효과적으로 관리할 수 있는 솔루션을 필요로 한다”고 설명했다.
지니언스는 “NAC 시장의 경우 단일 솔루션만으로는 충분한 대응이 어렵다는 인식이 확산되면서, 다양한 보안 솔루션과의 유기적인 연동성과 확장성이 핵심 경쟁력으로 부상하고 있다”면서, “이에 따라 NAC 솔루션 벤더들은 다양한 보안 솔루션과의 연동을 통해 기술을 고도화하고 있으며, 이를 통해 네트워크 전반의 가시성을 높이고 대응 역량을 강화하고 있다”고 밝혔다.
엑스게이트는 “제로트러스트는 구독형 솔루션에 대한 니즈가 높아지고 있다”면서 “구독형 서비스에는 지속적인 유지관리까지 포함되다 보니, 수요자 입장에서 별도의 유지계약을 맺지 않아도 돼 편리하며, 기업 입장에서도 고정적이고 안정적인 Monthly 매출이 일어나는 셈이라 윈윈할 수 있다”고 설명했다.
▲네트워크 보안 솔루션에 대한 사용자 선호도 조사[자료: 보안뉴스]
네트워크 보안 솔루션에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 네트워크 보안 솔루션에 대한 생각은 어떨까? <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 4월 1일부터 4월 8일까지 8일간 약 10만여명의 보안담당자에게 ‘네트워크 보안 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(27.6%)과 민간(72.4%)의 보안담당자 2392명이 답했다.
먼저 네트워크 침입으로 인한 보안사고 경험에 대해 물었다. 응답자의 60.7%는 없다고 답했고, 39.3%는 네트워크 침입으로 인한 보안사고를 겪은 적이 있다고 답했다.
이어 현재 사용 중인 네트워크 보안 솔루션에 대해 물어봤다. 솔루션의 경우 필요에 따라 사용하기 때문에 복수응답으로 답변받았다. 가장 많이 사용하는 네트워크 보안 솔루션은 역시 △방화벽(FW, 59.8%)이었다. △가상사설망(VPN, 52.7%)과 △네트워크 접근제어(NAC, 50.2%)도 많은 응답자들이 사용하고 있었다. 이어 △웹방화벽(WAF, 41.0%)과 △침입탐지 및 방지시스템(IDS/IPS, 33.1%), △통합보안장비(UTM, 30.1%)도 30% 이상이 사용하고 있었다. △망분리/망연계(24.3%) △디도스 방어(20.9%) △지능형 지속 위협(APT, 13.4%) △위협관리시스템(TMS, 12.6%) △보안 정보 및 이벤트 관리(SIEM, 11.7%) △네트워크 탐지 및 대응(NDR, 10.5%) △도메인 주소 조회 서비스(DNS, 10.0%) △보안 스위치(9.2%) △보안 원격 접속(8.4%) △보안 웹 게이트웨이(SWG, 5.4%) △보안 서비스 엣지(SSE, 2.9%) △제로트러스트 네트워크 액세스(ZTNA, 2.9%) △원격 브라우저 격리(RBI, 1.3%) 등 순으로 사용하고 있었다.
응답자들이 해당 솔루션을 선택한 이유는 무엇일까? 솔루션의 보안 성능이 28.0%로 가장 많은 선택을 받았다. 이어 다양한 구축 사례와 레퍼런스가 22.2%, 사내 IT 인프라 및 설비와의 호환성이 18.0%, 도입 비용이 16.3% 유지보수·컨설팅 등 기술지원과 전문인력의 숫자가 8.4%, 기업·브랜드 인지도 및 성장 가능성이 7.1%의 선택을 받았다.
그렇다면 응답자들은 현재 사용하는 네트워크 보안 솔루션에 만족하고 있을까? 다행히 대다수의 사용자가 만족한다고 답변했다. 만족(41.8%)과 매우 만족(8.4%)이 절반 이상을 넘었고, 보통이라고 답변한 응답자도 47.7%에 달했다. 불만족스럽다는 답변은 2.1%에 불과했다.
마지막으로 추가하고 싶은 네트워크 보안 솔루션에 대해 물어봤다. 흥미롭게도 이번 질문도 앞서 현재 사용하고 있는 네트워크 보안 솔루션에 대한 답변과 거의 비슷하게 답변이 나왔다. △방화벽을 선택한 사용자가 절반(56.1%)을 넘겼고, △가상사설망(VPN, 48.1%) △네트워크 접근제어(NAC, 45.6%) △웹 방화벽(WAF, 34.3%) △침입탐지 및 방지시스템(IDS/IPS, 30.1%) △통합보안장비(UTM, 29.3%) △망분리/망연계(23.8%) △디도스 방어(16.3%) 순으로 선택했다.
새로운 보안 아키텍처에 대한 니즈, 네트워크 보안 솔루션을 키우다
네트워크를 노리는 사이버 위협은 날이 갈수록 다양하고 고도화되고 있다. 팔로알토의 위협 연구조직 유닛42(Unit42)가 발표한 ‘2025 글로벌 인시던트 대응 보고서’에 따르면 공격자들은 AI 기술을 이용해 더욱 정교한 피싱 캠페인을 전개하고, 멀웨어 개발을 자동화하며, 공격 속도를 대폭 향상시키고 있다.
내부에서는 효능성이나 네트워크에 대한 부하, 그리고 관리 포인트 증가를 염려하는 시선 때문에 선뜻 투자하지 못하는 경우도 많다.
하지만 앞서 지적한 것처럼 여러 보안 이슈에 대응하기 위해서는 새로운 보안 아키텍처로의 전환이 요구되며, 기존 시그니처 기반의 탐지를 넘어 행위 기반 분석, AI 기반 이상 탐지, 실시간 인텔리전스 연동 등이 필수 요소가 되고 있다.
다행한 것은 과거와 달리 보안에 대한 인식이 높아지고 있다는 점과 랜섬웨어 등 사이버 위협을 피부로 느끼는 사람들이 늘면서 점차 네트워크 보안에 대한 인식이 높아지고 있고, 인공지능과 클라우드, 통합보안 등 또 다른 이슈와 시너지 효과를 내면서 점점 시장에 대한 기대감이 높아지고 있다. 2025 보안 시장 백서를 비롯한 여러 시장 전망보고서가 네트워크 보안 솔루션 시장의 성장을 점치고 있는 만큼, 한 차원 성장한 모습이 기대된다.
▲네트워크 APT UI 대시보드 및 딥러닝 이미지 유사도 기반 AI 분석 결과[자료: 엔피코어]
[네트워크 보안 솔루션 집중분석-1]
네트워크 기반 공격에 효과적인 방어 전략, AI 기반 APT 대응 솔루션 ZombieZERO Network APT
네트워크 보안 관점에서 방화벽, 침입 방지 시스템(IPS), 침입 탐지 시스템(IDS), 웹 애플리케이션 방화벽(WAF) 등 기존의 네트워크 기반 보안 솔루션은 기본적인 방어 체계를 제공하지만, 점점 더 정교해지는 APT(지능형 지속 위협) 공격에 대해서는 한계가 있다. 왜냐하면, 일반적인 보안 솔루션을 우회하여 네트워크에 침투하고, 랜섬웨어를 포함한 악성코드 공격이 AI 기술을 활용하여 더욱 지능화되고 고도화되고 있기 때문이다. 이에 따라 기업들은 이러한 위협에 신속하고 효과적으로 대응할 수 있는 방안이 절실히 필요하게 되었다.
초고속 네트워크 트래픽 수집 및 분석으로 패킷 손실 없이 파일분석
엔피코어의 ZombieZERO Network APT 솔루션은 독자적인 초고속 네트워크 트래픽 수집 및 분석 기술을 기반으로 최대 20Gbps의 트래픽을 수집, 패킷 손실 없이 모든 트래픽에서 파일을 추출하고 재조합해 분석한다. 이를 통해 네트워크를 통해 유입되는 랜섬웨어를 포함한 악성코드, 악성 스크립트 등을 탐지하고, 비정상적인 트래픽 접근 및 악성 C&C 서버 접속을 차단한다.
AI 분석으로 탐지 속도 향상 및 악성 유형 정보 제공
엔피코어의 ZombieZERO Network APT는 NET(신기술) 인증 및 특허를 획득한 AI 분석 기술을 적용해 기존 보안 솔루션의 샌드박스 분석 방식에 비해 월등히 빠르고 정확한 악성코드 및 랜섬웨어 탐지 및 대응 기능을 제공한다. 딥러닝 이미지 유사도 기반의 AI 분석 기술을 통해 신종 및 변종 악성코드를 실행파일 당 약 3초 이내에 탐지하며, 98.8%의 높은 탐지율로 악성코드의 빠른 확산을 원천적으로 차단하는 데 핵심적인 역할을 한다. 또한, 악성코드 유형 정보까지 제공해 보안 운영자나 분석가의 상세 악성코드 분석 시간을 줄여준다. 이러한 신속한 탐지 기능은 기업이 고도화된 사이버 위협에 효과적으로 대응할 수 있도록 지원한다.
행위기반 분석으로 네트워크로 유입되는 신변종 악성코드 탐지
엔피코어의 ZombieZERO Network APT는 실제 시스템과 격리된 가상 환경에서 악성코드를 실행, 파일, 레지스트리, 네트워크 행위 등을 모니터링해 다양한 측면에서 악성코드의 행위를 분석, 어떤 종류의 공격을 시도하는지 탐지해 시각화 결과를 제공한다. 이를 통해 신변종 악성코드 탐지가 가능하다.
엔피코어 ZombieZERO Network APT 솔루션
AI 기반 분석 기능과 다차원 행위기반 분석 엔진(안티바이러스, Yara 룰 정적분석, 샌드박스 동적분석, API 연결 평판분석)을 탑재해 강력한 사전 탐지 기능과 랜섬웨어 피해를 최소화해, 급증하는 랜섬웨어를 포함하는 네트워크를 통해 유입되는 악성코드 위협에 효과적으로 대비할 수 있도록 최적화된 맞춤형 보안 솔루션이다.
▲차세대 NDR ‘Network Blakcbox’[자료: 쿼드마이너]
[네트워크 보안 솔루션 집중분석-2]
쿼드마이너 풀 패킷 캡처 기반 차세대 NDR ‘Network Blakcbox’
풀 패킷 캡처 기반 트래픽 전수검사를 통해 확보된 확정적 흔적 기반 설명 가능한 보안(XSec) 위협 탐지 및 대응 기능 제공
쿼드마이너는 풀 패킷 캡처 기반 차세대 NDR ‘Network Blackbox’에서 제공되는 트래픽 전수검사와 이를 통한 알려진/알려지지 않은 보안 위협 탐지 및 헌팅, 그리고 확보된 확정적 증적기반의 설명 가능한 보안(XSec) 개념의 신속한 분석 기능 고도화로 업계를 선도하고 있다.
가트너 보고서 5년 연속 등재 국내 유일의 차세대 NDR ‘Network Blackbox’
쿼드마이너의 ‘Network Blackbox’는 가트너 신흥 기술 NDR 관련 보고서에 5년 연속 등재되고 있으며, 국내 유일의 NDR 제조사로 인정받고 있다. 지속적인 기능 고도화를 통해 신속한 보안 위협 대응과 더불어 예방 우선 보안 접근방식의 제로트러스트 아키텍처를 보완하는 솔루션으로의 포지셔닝 또한 공고히 하고 있다.
‘Network Blackbox’는 풀 패킷 캡처 기반의 트래픽 전수검사를 지원하고, 이를 통해 확보된 다양한 데이터들을 토대로 알려진/알려지지 않은 보안 위협을 빠르게 식별한다. 아울러 원본 파일 및 콘텐츠 본문 복원을 통해 공격의 유효성과 영향도를 신속히 판단해 설명할 수 있는 보안(XSec, eXpalainable Security) 관점의 차세대 NDR로 다양한 규모의 조직에서 보안 운영 프로세스의 효율성을 극대화하고 자동화하는 데 활용된다.
또한 최근에 조직화한 위협그룹에 의한 정교한 공격에 대응하기 위해 공격전술(TTPs) 분석 기반의 위협 헌팅 기능을 지원한다. 이 기능을 통해 위협그룹들이 최종목적인 데이터 유출, 랜섬웨어 확산, 내부 시스템 교란 등이 감행되기 전에 잠재된 위협의 진행 정도를 가시화해 예방적인 측면의 신속한 대응 프로세스를 지원한다.
이와 같은 ‘Network Blackbox’의 주요 기능들은 최근 가트너 보고서를 통해 정의된 차세대 NDR 고려 사항에서 언급한 바와 같이 IT 영역에서뿐만 아니라 OT 영역에서 동일 수준의 기능을 제공함으로써 IT/OT 환경 가시성 통합 및 위협 대응 체계를 지원해, 영역별 별도의 보안제품 도입 및 운영에 따른 비용 증가 및 전문 운영 인력 요구에 대한 해법을 제시하고 있다.
▲AI NDR ‘MNX’ 구성도[자료: 샌즈랩]
[네트워크 보안 솔루션 집중분석-3]
AI NDR(Network Detection and Response, 네트워크 위협 탐지 및 대응 솔루션) MNX
IT 기술의 발달로 네트워크 위협 또한 다양해짐에 따라 위협이 내부망을 우회하거나 측면 이동, 기존 보안 체계의 미 탐지 영역에서 활동하는 등 여러 취약점에 노출되어 있다. 이처럼 지능화된 위협으로부터 네트워크 자산을 안전하게 보호하기 위해서는 AI 기술과 빅데이터 기반의 NDR 솔루션으로 위협을 실시간 탐지/분석해 네트워크를 안전하게 보호해야 한다. NDR 솔루션으로 네트워크의 모든 가시성을 확보한다면 내부망의 보이지 않는 취약점을 해소할 수 있음은 물론 AI 기반 위협 자동화 대응 및 알림을 통해 도입 시 기존의 보안 업무 효율성 향상으로 비용 절감 효과 또한 얻을 수 있다.
샌즈랩의 AI NDR 솔루션 MNX는 네트워크의 모든 트래픽의 패킷을 온전히 수집하고 실시간으로 분석해 알려지지 않은 위협까지 식별하는 AI 기반 차세대 네트워크 위협 탐지 및 대응 솔루션이다. 기존의 보안 체계를 우회하거나 추적 불가능한 위협을 가시화해 찾아내는데 AI를 활용해, 최적의 편의성과 탐지 성능을 제공한다.
1) 가시성 확보
AI로 L7 패킷 전체에 대한 심층 분석, 약 500개 프로토콜과 2,000여 개에 이르는 애플리케이션을 식별하여 네트워크 가시성을 확보하고, 사용자에게 상세한 트래픽 정보 제공
2) AI 기반 위협 탐지
자체 개발한 AI 탐지 모델과 시그니처, 자체 TI(Threat Intelligence) 연동 분석으로 다양한 유형의 위협을 빠짐없이 탐지. 탐지 정확도 약 98% 이상
3) 시나리오 기반 대응
기존 NDR 솔루션의 일관적인 대응 방식에서 벗어나 시나리오를 기반의 위협 탐지 및 대응. 위협의 특성에 따라 맞춤형 대응 가능
4) AI 어시스턴트
LLM 기반 AI 어시스턴트가 위협의 원인 및 영향, 단계별 조치 등 구체적인 보안 가이드 제공, 운영자의 업무 부담 절감, 위협 대응력 강화
5) 사용자 중심
NDR 경험이 없는 사용자도 쉽게 활용할 수 있는 직관적인 인터페이스(UI)와 강력한 검색 기능. 외산 솔루션 대비 높은 사용성을 갖춰 보안 전문 인력이 부족한 조직에서도 효과적으로 운영 가능
MNX는 교육, 엔터테인먼트, 유통, 공공 등 다양한 분야 기업/기관의 보안 업무에 적극 활용되고 있다. MNX를 실무에 활용 중인 기업/기관은 대표적인 장점으로 ‘네트워크 가시성 확보’를 꼽는다. MNX는 패킷 단위 분석을 통해 프로토콜 및 애플리케이션 레벨까지 가시화한다. 보안 담당자는 비인가 소프트웨어 사용, 원격 제어 시도, 대용량 데이터 유출, 내부 이상 징후 등 눈에 보이지 않는 다양한 위협을 확인하고 발 빠른 대응이 가능하다. 결과적으로 MNX 도입 후 탐지 속도 약 5배 이상 향상, 위협 대응 시간 약 70% 단축되는 효과를 경험하고 있다.
MNX는 고객의 비즈니스 규모, 사용자 수, 내부망 환경, 일일 트래픽 양 등을 고려하여 ‘1G’와 ‘10G’로 제품을 세분화했다. 이는 중소기업부터 대기업, 공공기관에 이르기까지 기업/기관의 특성과 규모에 따라 솔루션을 합리적으로 제공하기 위함이다.
한편, 샌즈랩은 지난 3월 12일 개최된 ‘2025 샌즈랩 사업설명회(IR)’를 통해 경량화된 MNX를 공개했다. 모든 네트워크 트래픽을 저장해야 하기에 고성능의 서버와 대형 사이즈의 장비가 필수적이었던 NDR 솔루션의 한계를 뛰어넘은 것이다. 샌즈랩은 2년 이상의 연구 개발을 통해 장비의 크기는 대폭 줄이고 성능은 동일한 초소형 MNX 개발에 성공하는 등 NDR 시장의 변화를 선도하고 있다.
[원병철 기자(boanone@boannews.com)]
네트워크 보안 솔루션에 대한 사용자 선호도 조사
네트워크 보안 솔루션 집중분석: 엔피코어, 쿼드마이너, 샌즈랩
[보안뉴스 원병철 기자] 네트워크(Network)는 그물(Net)을 짜는(Work) 일이라는 의미로, 컴퓨터를 포함한 여러 장치를 연결해 데이터와 자원을 공유하는 연결망을 말한다. 컴퓨터 네트워크, 통신망 네트워크, 무선 네트워크, 라디오 네트워크, 방송망 네트워크 등 다양한 네트워크가 있으며, 업무 혹은 사람과의 관계를 지칭하기도 한다.
[자료: gettyimagesbank]
최초의 네트워크와 최초의 네트워크 침해사고, 그리고 최초의 법적 처벌
세계 최초의 네트워크는 컴퓨터 간의 데이터 전송 목적으로 개발됐다. 1969년에 미국 국방부 산하의 고등연구계획국(ARPA)에 의해 구축된 컴퓨터 네트워크 ‘ARPANET(Advanced Research Projects Agency Network)’이 이 세계 최초의 네트워크이며, 인터넷의 기초가 된 시스템이다. ARPANET은 군사 목적으로 개발됐지만 이후 여러 대학과 연구소가 연결되면서 네트워크가 확장됐고, 이후 TCP/IP 프로토콜을 도입하는 등 현대 인터넷의 기반을 마련한 것으로 평가받는다.
최초의 네트워크 침해사고로 알려진 사건도 이 ARPANET을 대상으로 한 공격이었다. 1988년 11월 2일에 발생한 모리스 웜(Morris Worm)은 당시 약 6,000대의 컴퓨터가 연결된 ARPANET(인터넷의 전신)을 대상으로 발생했으며, 공격받은 컴퓨터들은 멈추거나 속도가 느려졌다.
이 사건은 미국의 ‘컴퓨터 사기 및 남용법(Computer Fraud and Abuse Act, CFAA)’에 따라 최초로 기소된 사례로 기록됐으며, 이후 네트워크 보안 연구와 법적 규제의 발전에 큰 영향을 미쳤다. 컴퓨터 사기 및 남용법은 1986년에 미국에서 제정된 법률로, 컴퓨터 시스템의 무단 접근 및 악용을 방지하기 위한 규정이다. 이 법은 특히 네트워크와 시스템 보안이 점점 중요해지는 시대에 맞춰 개발됐으며, 사이버 범죄를 처벌하기 위한 법적 기준을 제공해 미국 컴퓨터 보안과 관련된 가장 중요한 법 중 하나로 꼽힌다.
모리스 웜 이후 네트워크 공격은 점점 더 정교해지고 다양해졌으며, 꾸준하게 발생했다. 2001년 ‘Code Red’ 웜이나 2003년 ‘SQL Slammer’ 웜, 2010년 ‘Stuxnet’이나 2017년 ‘WannaCry’ 랜섬웨어 등 전 세계를 대상으로 하거나 특정 산업을 노린 최초의 공격들이 발생했다.
2018년 3월 9일 평창동계올림픽을 노린 공격은 대표적인 네트워크 공격이었다. 당시 도핑 이슈로 러시아의 올림픽 참가가 어렵자, 러시아 군 정보기관이 평창동계올림픽 네트워크를 공격한 사건으로, 300여대의 서버 중 50여대가 파괴돼 대부분의 시스템이 중단됐었다. 다행히 여러 과정을 통해 개막식 이후 12시간이라는 짧은 시간 안에 대부분의 피해를 복구하고 무사히 올림픽을 치를 수 있었다. 올림픽은 실시간으로 70여개 서비스와 인프라를 만드는 과정이었고, 최소 12~13개 업체가 인하우스 방식과 원격 접속, 해외 등 다양한 장소에서 네트워크를 통해 작업했기 때문에 높은 수준의 보안을 요구하는 작업이었다.
최근 몇 년 동안 유행하던 ‘리빙 오프더 랜드(Living off the Land, LOTL)’ 공격이 전 세계를 대상으로 기승을 부리자, 네덜란드·뉴질랜드·대한민국·미국·싱가포르·영국·일본·캐나다·호주 등의 국가 정보기관들이 한데 모여 LOTL 공격에 대비하기 위한 가이드라인을 만들어 공동으로 발표했다. LOTL 공격은 컴퓨터나 네트워크에 이미 설치된 여러 자원들을 공격에 활용하는 수법으로, 정상적으로 발생하는 트래픽과 공격자들이 일으킨 트래픽을 구분하기 힘들어 공격 지속성이 높다는 장점을 갖고 있다.
미국 사이버 보안 인프라 보안 기관(CISA)에 따르면, 2024년 2월에 공개되지 않은 주정부 기관이 소유한 네트워크가 CISA 네트워크에서 관리자로 근무한 전직 직원의 자격 증명을 사용해 침해됐다. IBM의 2024 데이터 침해 비용 보고서에 따르면, 네트워크 데이터 침해로 인한 전 세계 평균 비용이 2023년 대비 10% 증가한 역대 최대인 488만 달러에 달했으며, 분산형 클라우드 리소스 확장 및 보안 인력 부족 등의 요인으로 인해 팬데믹 이후 가장 큰 폭으로 상승했다.
웜으로 시작한 네트워크 공격, 점점 정교해지고 다양해지다
이처럼 네트워크 공격은 일개 기업과 기관을 넘어 국가적 차원에서 대응해야 할 위협으로 자리 잡았다. 그렇다면 이러한 네트워크 공격은 어떻게 이뤄질까? 네트워크 공격은 다양한 형태로 진행된다. 대표적인 것이 바로 △멀웨어(Malware)다. 멀웨어는 악성 소프트웨어로 시스템을 손상시키거나 데이터를 훔치는 데 사용된다. 우리가 잘 알고 있는 웜(Worm), 바이러스(Virus), 트로이 목마(Troian Horse), 랜섬웨어(Ransomware) 등이 멀웨어에 포함된다. △피싱(Phishing)은 신뢰할 수 있는 기관이나 기업, 혹은 사람을 가장해 사용자로부터 민감한 정보를 탈취하는 공격이다. 주로 이메일이나 가짜 웹사이트를 통해 이뤄진다.
△서비스 거부 공격(DoS/DDoS)은 네트워크를 과부하 상태로 만들어 정상적인 서비스가 이뤄지지 않도록 방해하는 공격이며, △중간자 공격(MITM)은 두 당사자 간의 통신을 가로채 데이터를 탈취·변조하는 공격이다. △SQL 인젝션(SQL Injection)은 웹 애플리케이션의 데이터베이스에 악성 SQL 코드를 삽입해 데이터를 탈취하거나 수정하는 공격이며, △크로스 사이트 스크립팅(XSS) 공격은 웹 페이지에 악성 스크립트를 삽입해 사용자 데이터를 탈취하거나 시스템을 손상시키는 공격이다.
이제 전 국민도 알고 있는 △랜섬웨어(Ransomware)는 데이터를 암호화한 후, 복구를 빌미로 몸값을 요구하는 공격이며, △DNS 스푸핑(DNS Spoofing)은 DNS 요청(도메인 이름을 IP 주소로 변환하는 것)을 변조해 사용자를 악성 웹사이트로 유도하는 공격이다. △사회공학적 공격(Social Engineering)은 사람의 심리적 취약점을 이용해 정보를 탈취하거나 시스템에 접근하는 방법이며, △제로데이 공격(Zero-Day Attack)은 소프트웨어의 알려지지 않은 취약점을 찾아 몰래 공격하는 방법이다.
이 외에도 다양한 공격 방법이 존재하며, 네트워크 보안을 강화하기 위해 이러한 공격에 대한 이해와 대비가 중요하다.
▲국내외 대표 네트워크 보안 솔루션[정리: 보안뉴스]
네트워크 보안을 위한 다양한 솔루션과 기술들
이처럼 네트워크 공격이 발전하면서 이에 대응할 수 있는 네트워크 보안도 힘을 얻게 된다. 네트워크 보안은 컴퓨터 네트워크와 그 안의 데이터, 시스템을 외부의 위협이나 내부의 오용으로부터 보호하기 위한 기술, 프로세스, 정책을 말한다. 네트워크 보안은 네트워크를 통해 전송되는 데이터의 기밀성, 무결성, 가용성을 유지하고, 악의적인 공격이나 비인가된 접근으로부터 시스템을 방어한다.
엔피코어는 네트워크 트래픽의 어떤 부분에 초점이 맞춰졌냐에 따라 네트워크 보안 솔루션의 정의가 달라질 수 있다고 설명했다. 첫 번째는 네트워크 트래픽의 헤더에 초점을 맞춘 솔루션은 헤더 정보를 분석해 잠재적 위협을 탐지한다. 헤더는 데이터 패킷의 출발지, 목적지, 프로토콜 정보 등을 포함하며, 이를 통해 비정상적인 활동이나 패턴을 탐지한다. 여기에는 대표적으로 방화벽이 해당된다. 반면, 네트워크 트래픽에서 패킷에 초점을 맞춘 솔루션은 네트워크 트래픽의 전체 패킷(헤더 및 페이로드)을 심층적으로 분석해 악성코드 및 이상 트래픽을 탐지한다. 이는 데이터 내용까지 검사해 더 정밀한 보안 기능을 제공합니다. 여기에는 IPS, IDS 등이 속하며, 최근에는 NDR이 포함된다.
또한, 안랩은 단일 기능에 그치지 않고 네트워크 전반을 아우르는 통합보안 플랫폼으로 진화하고 있다고 설명했다. 예를 들어, 제로트러스트 기반의 ZTNA, 클라우드 환경을 위한 SWG(Secure Web Gateway), 사용자 단말과 연동된 NAC(Network Access Control), 본사와 지사 간 트래픽 최적화를 위한 SD-WAN 등 다양한 형태로 확장되고 있다는 설명이다. 아울러 이제 네트워크 보안은 단순한 ‘차단’이 아니라, 위험 요소를 식별하고, 통제하고, 지속적으로 점검하는 체계적인 접근이 핵심이 되고 있다고 덧붙였다.
그렇다면 네트워크 보안 솔루션은 어떤 것들이 있을까? 대표적인 솔루션을 살펴보면 △가상사설망(VPN) △네트워크 접근제어(NAC) △네트워크 탐지 및 대응(NDR) △도메인 주소 조회 서비스(DNS) 보안 △디도스 대응 △망분리/망연계 △방화벽(FireWall) △보안 서비스 엣지(SSE) △보안 스위치 △보안 원격 접속 △보안 웹 게이트웨이(SWG) △보안 정보 및 이벤트 관리(SIEM) △원격 브라우저 격리(RBI) △웹 방화벽(WAF) △위협관리시스템(TMS) △지능형 지속 위협(APT) 대응 △제로트러스트 네트워크 액세스(ZTNA) △지능형 지속 위협(APT) 대응 △침입탐지 및 방지시스템(IDS/IPS) △통합보안관리(ESM) △통합보안장비(UTM) 등이 있다. 각각의 솔루션은 다양한 공격으로부터 네트워크와 시스템을 보호하기 위해 다양한 보안 기술을 활용한다.
샌즈랩은 “외부 침입, 내부 위협, 그리고 고도화된 사이버 공격에 대응하기 위해 네트워크 보안 솔루션은 다양한 기술을 활용한다”라면서, “활용되는 기술은 전통적인 탐지 방식부터 최신 인공지능 기반의 분석 기술까지 매우 폭넓으며, 주요 기술은 다음과 같은 범주로 구분할 수 있다”며 다섯 가지 구분법을 제시했다.
①접근제어 및 경계 보호 기술 방화벽(Firewall), 네트워크 접근제어(NAC) 등을 통해 비인가된 접근을 차단하고, 네트워크의 기본적인 보안 경계를 형성한다. ②침입탐지 및 위협 식별 기술 IDS/IPS처럼 서명 기반(Signature-based) 기술을 통해 알려진 공격을 탐지하거나, 네트워크 트래픽을 분석해 의심스러운 행위를 식별한다. ③행위 기반 탐지 기술 정상적인 트래픽 패턴과 비교해 이상 징후를 식별하며, 내부자 위협이나 우회 공격과 같은 비정형 공격에 대응하는 데 효과적이다. ④암호화 트래픽 및 애플리케이션 계층 분석 기술 SSL/TLS로 암호화된 트래픽이나 애플리케이션 계층의 통신 내용을 분석해, 암호화된 환경 속에서도 위협을 감지할 수 있다. ⑤AI 기반 이상징후 분석기술 네트워크 내 사용자 행위, 트래픽 흐름 등을 자동으로 분석해 평소와 다른 이상 징후를 실시간으로 감지한다. 알려지지 않은 위협이나 새로운 공격 방식에도 효과적으로 대응할 수 있다.
네트워크 보안 솔루션 시장, 매출 지표 꾸준하게 상승
네트워크 보안 솔루션 시장은 사이버 위협이 증가하고 디지털 전환이 가속되면서 수요가 증가하고 있는 산업 중 하나다.
글로벌 시장조사기관 ‘포춘 비즈니스 인사이트(Fortune Business Insights)’는 네트워크 보안 시장 보고서를 통해 2024년 글로벌 네트워크 보안 시장 규모를 245억5000만달러(한화 약 36조2849억원)로 평가했다. 아울러 2025년은 285억8000만달러(한화 약 42조2469억원)를 달성하고, 연평균 성장률 14.3%를 보이며 2032년에는 729억7000만달러(한화 약 107조8642억원)을 기록할 것으로 예측했다.
포춘 비즈니스 인사이트는 다양한 산업 분야에서 클라우드가 도입되고 원격접근이 가능해지면서 데이터 프라이버시와 보안 문제가 심각하게 발생했고, 이러한 이유로 네트워크 인프라를 보호하기 위한 보안 솔루션 도입에 대한 수요가 증가하고 있다고 분석했다.
또한 마켓앤마켓츠(marketsandmarkets)의 네트워크 보안 시장 보고서에 따르면, 글로벌 네트워크 보안 시장 규모는 2024년에 782억달러(한화 약 115조5952억원)로 평가됐으며, 2024년부터 2029년까지 7.2%의 연평균 성장률로 성장해 1,110억달러(한화 약 162조6130억원)에 이를 것으로 예상됐다.
마켓앤마켓츠는 분산 서비스 거부(DDoS) 공격, 중간자 공격(MitM) 공격, DNS 스푸핑과 같은 네트워크 공격의 빈도와 정교함이 증가함에 따라 네트워크 보안 솔루션 도입이 증가하고 있다면서, 기업이 디지털화하고 클라우드 서비스를 도입함에 따라 공격 표면이 확장돼 취약성이 더 커졌다고 판단했다. 아울러 이러한 추세는 원격 근무자와 IoT 기기의 성장으로 더욱 심화돼 조직이 데이터 보호나 비즈니스 연속성을 보장하고 다양한 규제 요구 사항을 준수하기 위한 지원을 제공하는 견고한 네트워크 보안 조치에 투자하도록 밀어붙이고 있다고 설명했다.
그렇다면 국내 시장 규모는 어떨까? 보안뉴스와 시큐리티월드가 발간한 ‘2025 보안 시장 백서’에 따르면, 2024년 네트워크 보안 시장은 6927억원이며, 2025년은 7601억원으로 예측됐다. 이 자료는 2차 조사를 통해 제조사와 유통사, SI 등의 중복 매출을 최대한 제거했다. 또한 과기정통부와 KISIA가 발표한 ‘2024년 국내 정보보호산업 실태조사’에 따르면 2023년 네트워크 보안 솔루션 시장은 1조 8031억원대로 집계됐다.
이렇게 네트워크 보안 솔루션이 국내외를 가리지 않고 꾸준하게 성장하고 있는 이유는 첫 번째로 기술의 발전으로 디지털 솔루션, 연결된 기기, IT 시스템 도입이 증가한 점이다. 두 번째는 코로나 펜데믹 이후 늘어난 원격·재택근무로 인한 네트워크를 활용한 업무가 늘었다는 점이다. 세 번째는 기관과 기업들의 디지털전환 증가로 인한 클라우드로의 전환이다. 이처럼 네트워크의 활용이 늘어나면서 이를 대상으로 한 사이버 위협도 늘어났고, 기업과 기관들은 자연스레 이에 대응하기 위한 네트워크 보안 솔루션을 도입하면서 시장의 성장이 이어지고 있다는 평가다.
특히 업계에서는 복잡한 네트워크 환경과 고도화된 공격이 늘면서, 단순한 방어가 아닌 ‘통합 보안’에 대한 수요가 커지고 있다고 판단한다. 보안 기능의 통합뿐만 아니라 온프레미스와 클라우드 등 다양한 업무 환경에 대한 통합 보안과 일관된 보안 정책 수립이 있어야 한다는 설명이다.
팔로알토 네트웍스도 “실시간 위협 인텔리전스를 제공하고, 자동화된 대응이 가능한 보안 기술이 주목받고 있다”면서, “또한 사용자들은 복잡한 보안 환경을 효과적으로 관리할 수 있는 솔루션을 필요로 한다”고 설명했다.
지니언스는 “NAC 시장의 경우 단일 솔루션만으로는 충분한 대응이 어렵다는 인식이 확산되면서, 다양한 보안 솔루션과의 유기적인 연동성과 확장성이 핵심 경쟁력으로 부상하고 있다”면서, “이에 따라 NAC 솔루션 벤더들은 다양한 보안 솔루션과의 연동을 통해 기술을 고도화하고 있으며, 이를 통해 네트워크 전반의 가시성을 높이고 대응 역량을 강화하고 있다”고 밝혔다.
엑스게이트는 “제로트러스트는 구독형 솔루션에 대한 니즈가 높아지고 있다”면서 “구독형 서비스에는 지속적인 유지관리까지 포함되다 보니, 수요자 입장에서 별도의 유지계약을 맺지 않아도 돼 편리하며, 기업 입장에서도 고정적이고 안정적인 Monthly 매출이 일어나는 셈이라 윈윈할 수 있다”고 설명했다.
▲네트워크 보안 솔루션에 대한 사용자 선호도 조사[자료: 보안뉴스]
네트워크 보안 솔루션에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 네트워크 보안 솔루션에 대한 생각은 어떨까? <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 4월 1일부터 4월 8일까지 8일간 약 10만여명의 보안담당자에게 ‘네트워크 보안 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에는 공공(27.6%)과 민간(72.4%)의 보안담당자 2392명이 답했다.
먼저 네트워크 침입으로 인한 보안사고 경험에 대해 물었다. 응답자의 60.7%는 없다고 답했고, 39.3%는 네트워크 침입으로 인한 보안사고를 겪은 적이 있다고 답했다.
이어 현재 사용 중인 네트워크 보안 솔루션에 대해 물어봤다. 솔루션의 경우 필요에 따라 사용하기 때문에 복수응답으로 답변받았다. 가장 많이 사용하는 네트워크 보안 솔루션은 역시 △방화벽(FW, 59.8%)이었다. △가상사설망(VPN, 52.7%)과 △네트워크 접근제어(NAC, 50.2%)도 많은 응답자들이 사용하고 있었다. 이어 △웹방화벽(WAF, 41.0%)과 △침입탐지 및 방지시스템(IDS/IPS, 33.1%), △통합보안장비(UTM, 30.1%)도 30% 이상이 사용하고 있었다. △망분리/망연계(24.3%) △디도스 방어(20.9%) △지능형 지속 위협(APT, 13.4%) △위협관리시스템(TMS, 12.6%) △보안 정보 및 이벤트 관리(SIEM, 11.7%) △네트워크 탐지 및 대응(NDR, 10.5%) △도메인 주소 조회 서비스(DNS, 10.0%) △보안 스위치(9.2%) △보안 원격 접속(8.4%) △보안 웹 게이트웨이(SWG, 5.4%) △보안 서비스 엣지(SSE, 2.9%) △제로트러스트 네트워크 액세스(ZTNA, 2.9%) △원격 브라우저 격리(RBI, 1.3%) 등 순으로 사용하고 있었다.
응답자들이 해당 솔루션을 선택한 이유는 무엇일까? 솔루션의 보안 성능이 28.0%로 가장 많은 선택을 받았다. 이어 다양한 구축 사례와 레퍼런스가 22.2%, 사내 IT 인프라 및 설비와의 호환성이 18.0%, 도입 비용이 16.3% 유지보수·컨설팅 등 기술지원과 전문인력의 숫자가 8.4%, 기업·브랜드 인지도 및 성장 가능성이 7.1%의 선택을 받았다.
그렇다면 응답자들은 현재 사용하는 네트워크 보안 솔루션에 만족하고 있을까? 다행히 대다수의 사용자가 만족한다고 답변했다. 만족(41.8%)과 매우 만족(8.4%)이 절반 이상을 넘었고, 보통이라고 답변한 응답자도 47.7%에 달했다. 불만족스럽다는 답변은 2.1%에 불과했다.
마지막으로 추가하고 싶은 네트워크 보안 솔루션에 대해 물어봤다. 흥미롭게도 이번 질문도 앞서 현재 사용하고 있는 네트워크 보안 솔루션에 대한 답변과 거의 비슷하게 답변이 나왔다. △방화벽을 선택한 사용자가 절반(56.1%)을 넘겼고, △가상사설망(VPN, 48.1%) △네트워크 접근제어(NAC, 45.6%) △웹 방화벽(WAF, 34.3%) △침입탐지 및 방지시스템(IDS/IPS, 30.1%) △통합보안장비(UTM, 29.3%) △망분리/망연계(23.8%) △디도스 방어(16.3%) 순으로 선택했다.
새로운 보안 아키텍처에 대한 니즈, 네트워크 보안 솔루션을 키우다
네트워크를 노리는 사이버 위협은 날이 갈수록 다양하고 고도화되고 있다. 팔로알토의 위협 연구조직 유닛42(Unit42)가 발표한 ‘2025 글로벌 인시던트 대응 보고서’에 따르면 공격자들은 AI 기술을 이용해 더욱 정교한 피싱 캠페인을 전개하고, 멀웨어 개발을 자동화하며, 공격 속도를 대폭 향상시키고 있다.
내부에서는 효능성이나 네트워크에 대한 부하, 그리고 관리 포인트 증가를 염려하는 시선 때문에 선뜻 투자하지 못하는 경우도 많다.
하지만 앞서 지적한 것처럼 여러 보안 이슈에 대응하기 위해서는 새로운 보안 아키텍처로의 전환이 요구되며, 기존 시그니처 기반의 탐지를 넘어 행위 기반 분석, AI 기반 이상 탐지, 실시간 인텔리전스 연동 등이 필수 요소가 되고 있다.
다행한 것은 과거와 달리 보안에 대한 인식이 높아지고 있다는 점과 랜섬웨어 등 사이버 위협을 피부로 느끼는 사람들이 늘면서 점차 네트워크 보안에 대한 인식이 높아지고 있고, 인공지능과 클라우드, 통합보안 등 또 다른 이슈와 시너지 효과를 내면서 점점 시장에 대한 기대감이 높아지고 있다. 2025 보안 시장 백서를 비롯한 여러 시장 전망보고서가 네트워크 보안 솔루션 시장의 성장을 점치고 있는 만큼, 한 차원 성장한 모습이 기대된다.
▲네트워크 APT UI 대시보드 및 딥러닝 이미지 유사도 기반 AI 분석 결과[자료: 엔피코어]
[네트워크 보안 솔루션 집중분석-1]
네트워크 기반 공격에 효과적인 방어 전략, AI 기반 APT 대응 솔루션 ZombieZERO Network APT
네트워크 보안 관점에서 방화벽, 침입 방지 시스템(IPS), 침입 탐지 시스템(IDS), 웹 애플리케이션 방화벽(WAF) 등 기존의 네트워크 기반 보안 솔루션은 기본적인 방어 체계를 제공하지만, 점점 더 정교해지는 APT(지능형 지속 위협) 공격에 대해서는 한계가 있다. 왜냐하면, 일반적인 보안 솔루션을 우회하여 네트워크에 침투하고, 랜섬웨어를 포함한 악성코드 공격이 AI 기술을 활용하여 더욱 지능화되고 고도화되고 있기 때문이다. 이에 따라 기업들은 이러한 위협에 신속하고 효과적으로 대응할 수 있는 방안이 절실히 필요하게 되었다.
초고속 네트워크 트래픽 수집 및 분석으로 패킷 손실 없이 파일분석
엔피코어의 ZombieZERO Network APT 솔루션은 독자적인 초고속 네트워크 트래픽 수집 및 분석 기술을 기반으로 최대 20Gbps의 트래픽을 수집, 패킷 손실 없이 모든 트래픽에서 파일을 추출하고 재조합해 분석한다. 이를 통해 네트워크를 통해 유입되는 랜섬웨어를 포함한 악성코드, 악성 스크립트 등을 탐지하고, 비정상적인 트래픽 접근 및 악성 C&C 서버 접속을 차단한다.
AI 분석으로 탐지 속도 향상 및 악성 유형 정보 제공
엔피코어의 ZombieZERO Network APT는 NET(신기술) 인증 및 특허를 획득한 AI 분석 기술을 적용해 기존 보안 솔루션의 샌드박스 분석 방식에 비해 월등히 빠르고 정확한 악성코드 및 랜섬웨어 탐지 및 대응 기능을 제공한다. 딥러닝 이미지 유사도 기반의 AI 분석 기술을 통해 신종 및 변종 악성코드를 실행파일 당 약 3초 이내에 탐지하며, 98.8%의 높은 탐지율로 악성코드의 빠른 확산을 원천적으로 차단하는 데 핵심적인 역할을 한다. 또한, 악성코드 유형 정보까지 제공해 보안 운영자나 분석가의 상세 악성코드 분석 시간을 줄여준다. 이러한 신속한 탐지 기능은 기업이 고도화된 사이버 위협에 효과적으로 대응할 수 있도록 지원한다.
행위기반 분석으로 네트워크로 유입되는 신변종 악성코드 탐지
엔피코어의 ZombieZERO Network APT는 실제 시스템과 격리된 가상 환경에서 악성코드를 실행, 파일, 레지스트리, 네트워크 행위 등을 모니터링해 다양한 측면에서 악성코드의 행위를 분석, 어떤 종류의 공격을 시도하는지 탐지해 시각화 결과를 제공한다. 이를 통해 신변종 악성코드 탐지가 가능하다.
엔피코어 ZombieZERO Network APT 솔루션
AI 기반 분석 기능과 다차원 행위기반 분석 엔진(안티바이러스, Yara 룰 정적분석, 샌드박스 동적분석, API 연결 평판분석)을 탑재해 강력한 사전 탐지 기능과 랜섬웨어 피해를 최소화해, 급증하는 랜섬웨어를 포함하는 네트워크를 통해 유입되는 악성코드 위협에 효과적으로 대비할 수 있도록 최적화된 맞춤형 보안 솔루션이다.
▲차세대 NDR ‘Network Blakcbox’[자료: 쿼드마이너]
[네트워크 보안 솔루션 집중분석-2]
쿼드마이너 풀 패킷 캡처 기반 차세대 NDR ‘Network Blakcbox’
풀 패킷 캡처 기반 트래픽 전수검사를 통해 확보된 확정적 흔적 기반 설명 가능한 보안(XSec) 위협 탐지 및 대응 기능 제공
쿼드마이너는 풀 패킷 캡처 기반 차세대 NDR ‘Network Blackbox’에서 제공되는 트래픽 전수검사와 이를 통한 알려진/알려지지 않은 보안 위협 탐지 및 헌팅, 그리고 확보된 확정적 증적기반의 설명 가능한 보안(XSec) 개념의 신속한 분석 기능 고도화로 업계를 선도하고 있다.
가트너 보고서 5년 연속 등재 국내 유일의 차세대 NDR ‘Network Blackbox’
쿼드마이너의 ‘Network Blackbox’는 가트너 신흥 기술 NDR 관련 보고서에 5년 연속 등재되고 있으며, 국내 유일의 NDR 제조사로 인정받고 있다. 지속적인 기능 고도화를 통해 신속한 보안 위협 대응과 더불어 예방 우선 보안 접근방식의 제로트러스트 아키텍처를 보완하는 솔루션으로의 포지셔닝 또한 공고히 하고 있다.
‘Network Blackbox’는 풀 패킷 캡처 기반의 트래픽 전수검사를 지원하고, 이를 통해 확보된 다양한 데이터들을 토대로 알려진/알려지지 않은 보안 위협을 빠르게 식별한다. 아울러 원본 파일 및 콘텐츠 본문 복원을 통해 공격의 유효성과 영향도를 신속히 판단해 설명할 수 있는 보안(XSec, eXpalainable Security) 관점의 차세대 NDR로 다양한 규모의 조직에서 보안 운영 프로세스의 효율성을 극대화하고 자동화하는 데 활용된다.
또한 최근에 조직화한 위협그룹에 의한 정교한 공격에 대응하기 위해 공격전술(TTPs) 분석 기반의 위협 헌팅 기능을 지원한다. 이 기능을 통해 위협그룹들이 최종목적인 데이터 유출, 랜섬웨어 확산, 내부 시스템 교란 등이 감행되기 전에 잠재된 위협의 진행 정도를 가시화해 예방적인 측면의 신속한 대응 프로세스를 지원한다.
이와 같은 ‘Network Blackbox’의 주요 기능들은 최근 가트너 보고서를 통해 정의된 차세대 NDR 고려 사항에서 언급한 바와 같이 IT 영역에서뿐만 아니라 OT 영역에서 동일 수준의 기능을 제공함으로써 IT/OT 환경 가시성 통합 및 위협 대응 체계를 지원해, 영역별 별도의 보안제품 도입 및 운영에 따른 비용 증가 및 전문 운영 인력 요구에 대한 해법을 제시하고 있다.
▲AI NDR ‘MNX’ 구성도[자료: 샌즈랩]
[네트워크 보안 솔루션 집중분석-3]
AI NDR(Network Detection and Response, 네트워크 위협 탐지 및 대응 솔루션) MNX
IT 기술의 발달로 네트워크 위협 또한 다양해짐에 따라 위협이 내부망을 우회하거나 측면 이동, 기존 보안 체계의 미 탐지 영역에서 활동하는 등 여러 취약점에 노출되어 있다. 이처럼 지능화된 위협으로부터 네트워크 자산을 안전하게 보호하기 위해서는 AI 기술과 빅데이터 기반의 NDR 솔루션으로 위협을 실시간 탐지/분석해 네트워크를 안전하게 보호해야 한다. NDR 솔루션으로 네트워크의 모든 가시성을 확보한다면 내부망의 보이지 않는 취약점을 해소할 수 있음은 물론 AI 기반 위협 자동화 대응 및 알림을 통해 도입 시 기존의 보안 업무 효율성 향상으로 비용 절감 효과 또한 얻을 수 있다.
샌즈랩의 AI NDR 솔루션 MNX는 네트워크의 모든 트래픽의 패킷을 온전히 수집하고 실시간으로 분석해 알려지지 않은 위협까지 식별하는 AI 기반 차세대 네트워크 위협 탐지 및 대응 솔루션이다. 기존의 보안 체계를 우회하거나 추적 불가능한 위협을 가시화해 찾아내는데 AI를 활용해, 최적의 편의성과 탐지 성능을 제공한다.
1) 가시성 확보
AI로 L7 패킷 전체에 대한 심층 분석, 약 500개 프로토콜과 2,000여 개에 이르는 애플리케이션을 식별하여 네트워크 가시성을 확보하고, 사용자에게 상세한 트래픽 정보 제공
2) AI 기반 위협 탐지
자체 개발한 AI 탐지 모델과 시그니처, 자체 TI(Threat Intelligence) 연동 분석으로 다양한 유형의 위협을 빠짐없이 탐지. 탐지 정확도 약 98% 이상
3) 시나리오 기반 대응
기존 NDR 솔루션의 일관적인 대응 방식에서 벗어나 시나리오를 기반의 위협 탐지 및 대응. 위협의 특성에 따라 맞춤형 대응 가능
4) AI 어시스턴트
LLM 기반 AI 어시스턴트가 위협의 원인 및 영향, 단계별 조치 등 구체적인 보안 가이드 제공, 운영자의 업무 부담 절감, 위협 대응력 강화
5) 사용자 중심
NDR 경험이 없는 사용자도 쉽게 활용할 수 있는 직관적인 인터페이스(UI)와 강력한 검색 기능. 외산 솔루션 대비 높은 사용성을 갖춰 보안 전문 인력이 부족한 조직에서도 효과적으로 운영 가능
MNX는 교육, 엔터테인먼트, 유통, 공공 등 다양한 분야 기업/기관의 보안 업무에 적극 활용되고 있다. MNX를 실무에 활용 중인 기업/기관은 대표적인 장점으로 ‘네트워크 가시성 확보’를 꼽는다. MNX는 패킷 단위 분석을 통해 프로토콜 및 애플리케이션 레벨까지 가시화한다. 보안 담당자는 비인가 소프트웨어 사용, 원격 제어 시도, 대용량 데이터 유출, 내부 이상 징후 등 눈에 보이지 않는 다양한 위협을 확인하고 발 빠른 대응이 가능하다. 결과적으로 MNX 도입 후 탐지 속도 약 5배 이상 향상, 위협 대응 시간 약 70% 단축되는 효과를 경험하고 있다.
MNX는 고객의 비즈니스 규모, 사용자 수, 내부망 환경, 일일 트래픽 양 등을 고려하여 ‘1G’와 ‘10G’로 제품을 세분화했다. 이는 중소기업부터 대기업, 공공기관에 이르기까지 기업/기관의 특성과 규모에 따라 솔루션을 합리적으로 제공하기 위함이다.
한편, 샌즈랩은 지난 3월 12일 개최된 ‘2025 샌즈랩 사업설명회(IR)’를 통해 경량화된 MNX를 공개했다. 모든 네트워크 트래픽을 저장해야 하기에 고성능의 서버와 대형 사이즈의 장비가 필수적이었던 NDR 솔루션의 한계를 뛰어넘은 것이다. 샌즈랩은 2년 이상의 연구 개발을 통해 장비의 크기는 대폭 줄이고 성능은 동일한 초소형 MNX 개발에 성공하는 등 NDR 시장의 변화를 선도하고 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
