[특집] UTM의 필요성과 이점 UTM, 보안 투자비용과 효용성 면에서 적합한 통합보안 솔루션
다양한 종류의 네트워크 보안 솔루션을 모두 구비한다는 것은 구축 및 운영비용 측면에서 막대한 투자와 비용을 수반하게 된다. 또한 네트워크 게이트웨이의 계위를 증가시킴으로써 서비스의 Latency의 이슈를 야기할 수 있고 장애 포인트가 증가함으로써 서비스 가용성에 심대한 악영향을 미칠 수 있다. 이러한 문제의식으로부터 출발한 솔루션이 바로 통합보안솔루션이다.

최근 발생한 7.7 DDoS 대란과 같은 국가 IT 근간을 뒤흔드는 공격이 발생하고 각종 악성코드와 취약점을 악용한 공격이 지속적으로 양산되는 상황에서 기업과 기관의 네트워크를 책임지는 게이트웨이형 네트워크 보안장비에 대한 관점도 크게 변하고 있다. 불과 몇 년 전 까지만 해도 네트워크 보안의 핵심은 방화벽과 VPN이었다. 방화벽만 있으면 웬만한 보안위협은 막을 수 있다는 생각이 지배적이었고 그 또한 크게 틀리지 않은 얘기였다.
하지만 80port와 같은 대 고객 서비스를 위해 어쩔 수 없이 열어 놓아야 하는 대문을 통해서 다양한 악성코드와 공격이 비집고 들어오기 시작하면서 IDS와 같은 공격탐지 시스템이 필요하게 되었고 탐지만으로도 부족하다는 인식의 전환이 일어나면서 차단까지 할 수 있는 IPS가 급격하게 시장을 형성했다. 웹 서비스가 활성화되면서 웹 취약점을 노리는 공격에 방어하기 위한 전용 솔루션이 나오고 최근에는 DDoS 공격만 전용으로 방어할 수 있는 솔루션도 활황을 이루고 있다. 하지만 기업과 기관의 입장에서 이러한 다양한 종류의 네트워크 보안 솔루션을 모두 구비한다는 것은 구축 및 운영비용 측면에서 막대한 투자와 비용을 수반하게 된다. 투자·비용대비 효과성에 의문이 제기되는 부분이다. 또한 네트워크 게이트웨이의 계위를 증가시킴으로써 서비스의 Latency의 이슈를 야기할 수 있고 장애 포인트가 증가함으로써 서비스 가용성에 심대한 악영향을 미칠 수 있다. 이러한 기업과 기관의 문제의식으로부터 출발한 솔루션이 바로 통합보안솔루션이다. 통합보안솔루션은 한 장비에 방화벽, IPSec VPN, SSL VPN, IPS, DDoS 방어, Anti-Virus, Anti-Spam, 웹사이트 필터링, NAC 기능 등이 구현되어 있는 다재다능한 네트워크 보안장비다. 보안위협 및 공격이 갈수록 복잡화 되고 다양해지는 환경에서 통합보안솔루션의 위상은 점차 강화되고 있다. 통합보안솔루션의 등장은 2000년대 초·중반 외산제품인 FortiGate가 국내에 처음 소개되면서 시작되었고 국내 업체로는 최초로 2007년 중반 안철수연구소가 TrusGuard 제품을 출시하면서 본격적인 경쟁의 장을 마련했다. 통합보안솔루션은 출시 이 후 수많은 업그레이드를 통해 다양한 기능을 흡수하였고 멀티코어, ASIC 등 하드웨어의 비약적인 발전에 힘입어 성능에 있어서도 눈에 띌 만한 성장을 이루었다. 성능과 기능 측면에서 제품 완성도와 경쟁력이 상승함에 따라 기존에 SMB 시장의 방화벽 교체시장에 머물렀던 타깃도 이제는 엔터프라이즈급 방화벽 교체시장을 바라보고 있다. 공공기관 방화벽 교체수요도 2008년을 기점으로 지방자치단체 및 초중고, 대학교를 중심으로 통합보안수요가 증가하고 있는 상황이다.
여기에 2000년대 초·중반 활발하게 구축되었던 IPSec VPN 장비의 교체시기가 도래하면서 그 수요를 다양한 보안기능을 강점으로 한 통합보안솔루션이 대부분 흡수하고 있다. VPN 네트워크를 구축함에 있어 통합보안솔루션의 가장 큰 장점은 VPN 터널을 통해 전파되는 악성코드의 전체 네트워크 확산을 방지할 수 있고 End-point 백신 솔루션과 연동하여 NAC 형태의 이중 보안을 구축할 수 있다는 것이다. 이와 관련해 TrusGuard의 다양한 구축사례를 살펴봄으로써 기업 네트워크 보안에 있어서 통합보안솔루션의 이점을 살펴보도록 하자.
● DDoS 방어와 웹 취약점 공격방어를 한꺼번에!!
A 기관은 정치적인 이슈로 인해 작년 중반부터 기관에서 운영하는 홈페이지에 DDoS 공격과 웹 취약점을 이용한 공격이 자주 발생하여 서비스 가용성에 심각한 침해를 입히고 있었다. DDoS 공격의 유형은 SYN Flooding 공격과 HTTP Get Flooding이 주를 이루고 있었고 웹 취약점 공격은 SQL Injection과 XSS(Cross-site Scripting) 공격이 대부분을 차지하고 있었다. A 기관의 네트워크 보안 상황은 방화벽만이 설치되어 있었고 방화벽은 DDoS 공격에 다운되는 현상이 자주 발생하였고 웹서버 또한 마찬가지 상황이었다. 이에 긴급하게 TrusGuard를 방화벽 앞 단에 설치하여 IPS 기능과 DDoS 기능을 활성화해 구축했다. 설치 이후 일주일 사이 HTTP GET Flooding 공격이 들어왔지만 TrusGuard의 DDoS 엔진에서 효과적으로 방어했다. 이후에도 여러 차례 다양한 유형의 DDoS 공격이 들어왔지만 90% 이상의 차단율을 보이며 웹서버의 가용성을 한 단계 업그레이드 해주었다. 이번 7.7 DDoS 대란 때도 A 기관은 공격대상에 포함되어 SYN Flooding, Ack Flooding 등 복합적인 공격을 받았지만, 서버로 유입되는 약 10만 PPS의 공격 패킷의 90% 정도를 차단하고 실제 서버로 약 1~2천 PPS의 정상 패킷만을 전송함으로써 서비스를 정상으로 유지할 수 있었다. DDoS 공격 이외에도 방화벽을 우회하는 SQL Injection 및 웜, 트로이목마, 스파이웨어 등을 TrusGuard IPS의 약 6,000여 개에 이르는 광범위한 공격대응 시그니처를 통해 효과적으로 차단/ 모니터링 함으로써 투자 대비 높은 효과를 거두고 있다.
● 악성코드로부터 자유로운 VPN 구축
B 기업은 국내 대표적인 유통업체로써 2000년대 초반에 전국 유통망에 구축한 VPN의 교체시기가 도래하여 다양한 솔루션을 검토하고 있었다. B 기업의 고민은 유통점에서 본점과의 통신에는 IPSec VPN 기술을 활용하여 안전한 채널을 가동하고 있지만 유통점 자체의 보안은 VPN 전용장비 내 단순 방화벽 기능에 의해서만 보호가 되고 있기 때문에 인터넷 서핑으로부터 유통점 PC로 유입되는 악성코드나 웜 등이 VPN 터널을 통해 본점 네트워크나 시스템을 공격하는 사례가 빈번하게 발생하고 있다는 것이었다. VPN은 단순하여 이러한 악성 트래픽이라 하더라도 친절하게 암호화 하여 본점으로 던지게 되어 있기 때문이다.
또 하나의 이슈는 유통점의 PC 중 IPSec VPN Client를 사용하는 PC의 VPN 서비스 장애로 인해 과도한 유지보수 이슈가 발생하고 있다는 것이었다. 이러한 상황에서 B 업체는 기존 VPN 교체장비로 TrusGuard 장비를 선택했다. B 업체는 본점-유통점 간의 VPN Traffic에 IPS 기능을 연동하여 유통점에서 감염된 악성코드의 본점 전파를 사전에 차단하도록 구성했고 유통점에 설치된 TrusGuard에 방화벽, VPN 이외 에도 IPS/ Ant-virus 기능을 올림으로써 유통점 보안의 수준을 한 단계 업그레이드 하였다. 또한 TrusGuard의 SSL VPN 기능을 십분활용하여 IPSec VPN Client를 이동성과 장애에 대한 내구력이 뛰어난 SSL VPN으로 전환하는 작업을 진행하고 있다.
● End-point 백신 솔루션과의 연동을 통한 Security niche hole의 완벽제거
C 대학은 학생과 교직원 수가 수만명에 이르는 대규모 네트워크를 가지고 있다. C 대학의 고민은 학생들이 P2P 등 과도한 트래픽을 유발시키는 인터넷 접속을 많이 이용함으로써 WAN 구간 인터넷 대역폭이 항상 부족하다는 것과 웹사이트로부터 감염되거나 또는 악성코드에 감염된 USB로부터 감염된 내부 PC들이 전체 네트워크로 악성코드를 전파하면서 백본망이 흔들리는 현상이 가끔 발생하고 있다는 것이었다.
이에 C 대학은 NAC(Network Access Control) 솔루션을 도입하여 네트워크 보안과 End-point 백신의 연동을 통해 내부 Client PC의 보안수준을 한 단계 업그레이드 할 계획을 가지고 있었다.
하지만 NAC 솔루션 도입의 장벽은 바로 고가의 전용솔루션을 도입해야 한다는 것이었고 현재 C 대학이 사용하고 있는 스위치와의 인터페이스 방식이 맞지 않아 잘못 도입하면 전체 네트워크 장비를 교체해야 하는 상황이 발생할 수 도 있다는 것이었다. 이에 C 대학은 TrusGuard와 End-point 백신 V3 간의 연동 보안 기능을 100% 활용하여 비용효율적인 NAC 환경을 구축하게 되었다. 인터넷 게이트웨이에 TrusGuard를 방화벽+IPS 용도로 구축하고 각 강의동마다 TrusGuard를 설치하여 V3연동 및 IPS기능을 활성화하여 구축했다. TrusGuard는 V3와 연동하여 V3 제어 소프트웨어가 설치되지 않은 PC는 인터넷 접근을 제어하고 V3 제어 소프트웨어를 설치하도록 유도한다. 이를 통해 PC의 보안상태를 항상 최선으로 유지할 수 있도록 유도한다. 또한 TrusGuard가 특정 PC의 악성코드 다운로드 및 악성코드 전파를 감지했을 때, 해당 PC를 자동격리하고 V3를 자동으로 구동시켜 악성코드의 내부 네트워크 확산을 사전에 방지한다. 이를 통해 악성코드에 감염된 PC를 치료하기 위해 투입되었던 과도한 인력낭비를 최소화 할 수 있게 되었다. NAC으로 인한 효과 외에도 인터넷 접점에서 IPS 기능을 이용하여 다양한 종류의 보안위협과 공격의 유입을 사전에 차단하고 강의동 간 발생하는 공격 또한 막을 수 있어 이중의 효과를 거두고 있다.

보안위협이 복잡해지고 공격의 파괴력이 강력해 질수록 침해사고로 인해 기업/기관이 입게 되는 피해의 규모는 더욱 증가할 것이다. 네트워크 보안 영역의 탄생자체가 이러한 보안위협으로부터 내부 네트워크 및 시스템 자원을 안전하게 보호하는 ‘사전차단’의 개념으로부터 출발하였기에 다양한 기능과 성능으로 탁월한 방어능력을 보유하고 있는 통합보안솔루션의 위상은 기능의 폭과 성능의 깊이를 업그레이드 해나가면서 지속적으로 높아질 것이다. 향후 기능의 정교함이 더해진다면 통합보안과 전용보안의 경계는 사라질 것이며 전체 기능에서 전용 기능만 부분적으로 구동시킨 통합보안솔루션이 전용보안솔루션의 자리를 대체하는 날도 멀지 않을 것으로 예측된다.
<글 : 유명호 안철수연구소 제품기획팀 과장(frozentree@ahnlab.com)>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>