“확실한 네트워크 기능과 방화벽 기반으로 확대 발전된 형태이어야..”
2004년 11월 미국 워싱턴 DC의 한 호텔에서 개최되었던 CSI 전시회에 야심차게 전시된 시큐아이닷컴의 NXG™에 대한 필자의 설명을 들은 한 미국인 기자는 필자에게 NXG™ 시리즈에 가장 잘 어울리는, 물론 필자가 처음 들어보는 造語(조어)를 골라 주었다. ‘Unified Traffic Management!’ 물론 Traffic은 틀린 표현이었고, 지금은 Traffic 대신 Threat을 쓰고 있지만, 그 순간만큼 UTM을 직관적으로 이해했던 적은 없었던 것 같다.
 



다른 설명이 필요없이 그 당시 주력으로 판매하고 있었던 NXG의 제 기능들과 추구하고자 하는 방향은 다름 아닌 바로 UTM이었음을 이방인 기자를 통해 그야말로 깨달았다. 하지만 그 깨달음을 다른 사람들 특히, 고객들에게 전달하기가 쉽지가 않았다. 첫 반응은 역시 종합선물세트에 대한 거부감과 같은 정도의 차가움이었다.

그 차가움은 그대로 영업전략에도 반영되어, NXG™는 NXG™ 시리즈와 NXG IPS™로 구분해 출시되었으며, NXG가 UTM임은 국제 시장조사기구인 IDC 보고서에서만 확인할 수 있게 된다. NXG는 2004년 세계 UTM 시장에서 8위를 기록하게 된다.

Traffic이 Threat임으로, 필자의 인지가 교정되었던 지난 2년 동안 갑자기 UTM에 대한 시장의 관심이 돌변했다. 아마도 CSI 전시회장에서의 개인적 각성에 불과했던 이해가 이제서야 공신력을 얻어가는 것인가? 연말과 새해 벽두를 장식하여 새해 전망을 들여다 볼 수 있는 모든 네트워크 보안 관련 신문기사들에서는 빠짐없이 공통적으로 UTM이란 단어를 찾을 수 있다. 하지만 정확한 動因을 찾을 수 없다.

왜 갑자기 그렇게 종합선물세트에 냉담하던 시장이 하루아침에 돌변해, ‘종합선물세트’의 가치를 새로이 발견하였는가? 더구나 각종 기사에서 언급되는 제품들이 UTM이라기에는 좀 민망한 제품들도 섞여 있기에 더욱 의아한 것이다. 이 관심과 열기는 진정 고객으로부터 우러나온 것이 아니라, 네트워크 보안장비 공급업체들의 일방적 짝사랑과 홍보물의 홍수에 지나지 않는 것이 아닐까에 대한 의구심이 필자뿐 아니라, 독자 여러분에게도 똑같이 존재할 것이다.

예나 지금이나, ‘종합선물세트’는 ‘종합선물세트’이다. 2년이 아니라 20년, 200년이 흘러도 ‘종합선물세트’의 가치는 조롱거리가 되기 쉬움을 드러내는 일화가 있다. 육지의 왕은 사자이고, 하늘의 왕은 독수리, 바다의 왕은 범고래가 장악하고 있었다.

하지만, 누군가의 제안에 의해 육·해·공 통합 왕이 필요하게 되었다. 각 분야의 왕들은 자기 분야에서 탁월한 경쟁력을 발휘하지만, 상대 분야에 들어서면 무능의 극치다. 그래서 간택된 왕은 어리석게도 오리였던 것이다. 고객들은 결코 오리를 사지 않을 것이다. 그리고 2004년 CSI에서 필자는 고작 오리를 깨달았다는 것인가?

오리가 아닌 UTM은 독자적으로 분명한 존재 이유가 있어야 한다. 이것과 저것과 이 기능, 저 기능을 섞어 놓은 것이 바로 오리 UTM이리라. 10Gbps 급에 이르는 위용들을 자랑하면서 시장에 쏟아져 나오는 UTM들 중에서 오리들을 걸러내는 혜안이 절실한 때이다. “필요로 하는 곳에 설치되어, 의도한 바 제대로 된 효과를 발휘한다”라는 네트워크 보안장비 본연의 임무에 충실한 UTM은 독자적으로 존재 이유가 분명 뚜렷하며, 그 존재 이유가 고객에게 평가되고, 선택되어야 한다.

UTM이란 것이 독자적인 네트워크 보안장비로서 필요하게 되는가는, 좀 더 넓게, 네트워크 보안장비를 통해 요구되는 보안 이슈가 어떤 것들이 있고 어떻게 변해왔는가, 네트워크 보안장비는 그런 이슈들에 대해 어떤 해결책을 제시해야 하는가의 물음에서 해답의 단초가 시작된다. 또한, 방화벽을 필두로 한 기존 네트워크 보안장비들은 어떤 한계가 있었고, 변화된 이슈에 대처하지 못한 근본 원인이 무엇이었기에 UTM이란 새로운 버전업이 필요했는지도 살펴봐야 한다. 이런 고찰은 2004년에 깨달았던 그 UTM에 대한 인식을 뒷받침한다.

네트워크 보안장비가 해결해야 할 보안 이슈들

네트워크 보안장비는 기본적으로 관문 또는 주요한 네트워크 단위의 경계지점에 설치되어, 해당 네트워크 단위로 출입하는 모든 Traffic에 대해 관리자의 보안정책을 수행해야 한다. 네트워크 관리자들은 다음과 같은 구체적인 인터넷 세상의 위협들 때문에, 출입하는 모든 Traffic 유형에 대해 감시하고, 적절한 제어를 해주기를 네트워크 보안장비에 바란다.

ㆍ어떤 직원이 선정적인 제목의 메일의 첨부 파일을 열어보기 위해 실행을 하는 순간, 즉시 사내 네트워크가 마비된다. 첨부 파일 속의 바이러스가 활동을 개시하여, 순식간에 인근 호스트들을 감염시키고 유해 Traffic을 방출하기 시작한 때문이다.
        
ㆍ사내 시스템의 구조를 잘 알고 있는 해고된 직원이 인터넷을 통해 공개된 웹 서버를 통해 내부 DB에 접근하여, 고객정보를 불법 유출해낸다.
        
ㆍ내부 직원이 제품 설계도를 사전에 약속된 인터넷상의 모든 파일 전달 수단을 이용하여 경쟁사에 넘긴다.
        
ㆍ늘 고객들로부터 웹 서버 접속이 느리다는 불평을 듣게 되어, 인터넷 회선 사용률을 점검한 결과 사설 P2P를 이용한 영화 및 MP3 파일 전송에 의한 대역폭 낭비가 심하다는 사실을 확인한다.
        
ㆍ메신저 채팅과 증권, 게임 사이트 접속 등으로 실제 업무 능률이 떨어지고 있음을 확인한다.

각각의 경우에 대해 각기 다른 적절한 해결책들이 존재하겠지만, 모든 발생 가능한 위협에 대해 각기 다른 해결책을 적용한다면, 적절한 한 지점에서 최대한의 효율적인 위협 억제를 수행하는 방법에 비해 그 비용과 관리의 복잡성은 상당히 높을 것이다.

위에 열거한 모든 구체적 위협의 공통점이 네트워크를 통해서만 존재할 수 있는 위협들이라는 점과 네트워크는 신뢰할 수 있는 영역과 신뢰할 수 없는 영역으로 구분할 수 있다는 네트워크 보안의 기본 원칙에서 경계를 책임지는 네트워크 장비들을 통해 “적절한 한 지점에서 다양한 네트워크 보안 이슈를 해결하는 방안(Multi-layered Security on Single Point)”을 모색해야 한다.
 



기존 네트워크 보안장비의 한계

기존 네트워크 보안장비의 한계는 그 동작범위가 협의적이었기 때문이다. 예를 들면 각 Traffic의 표지만 감시하고 검사하는 것으로 자신의 업무 수행 범위를 한정해버리고, Payload에 대해서는 아무런 조치도 취하지 않는다면, 위에서 언급된 위협들에 대해 속수 무책이다. 기존 개념의 방화벽이 그러하다.

그리고 Payload 검사에만 과잉 충실하여, 실질적 공격인 SYN FLOODING과 같은 유해 Traffic에 속수무책인 IPS 장비들도 많다. 무엇보다  이중 삼중 Mesh 구조 네트워크에 설치된 IPS에는 Default Deny 정책을 적용하기는 매우 부담스럽다. 그리고 IPS는 암호화된 터널을 통과 중인 Packet들을 검사할 방법은 없다.

그리고 자기의 동작범위를 협의화한 네트워크 보안장비들은 이슈의 변화에 제대로 대처할 수 없었다. 1999년 네트워크 보안이 처음으로 주목받기 시작하면서부터 지금까지의 시기를, 이슈의 전환이 있었던 지점들을 기준으로 분류하면 크게 삼분화가 가능할 것 같다.

첫째 시기는 야후와 이베이 등 인터넷 사업의 효시였던 네트워크들에 대한 무차별적인 DDoS 공격으로 특징 지워지는 시기이다. 이 시기에는 무엇보다, 성능이 좋은 기가비트형 방화벽 장비가 얼마나 빠르게 유해 Traffic을 차단할 수 있는가가 이슈였다. 이 시기의 유해 Traffic은 그 정체가 표지에 다 드러나 있었기 때문에, 표지 정보의 빠른 검사와 판단이 필수적이었다. 판별의 근거는 오로지 Default Deny. 즉, 허용한 Traffic 이외의 모든 Traffic은 기본적으로 차단한다.

둘째 시기에는 무엇보다 Worm Traffic의 엄청난 확산이 제일 큰 문제였으며, 공격대상이 특정에서 불특정 무차별로 옮겨가게 된다. 2003년 1월 전세계를 강타하였던 SLAMMER 공격이 가장 전형적인 형태였었고, 이 사고를 계기로 IPS란 네트워크 보안장비에 대한 수요가 급증하게 된다. Payload를 검사해야만 했던 것이다. 이 시기의 방화벽들은 Payload에 대해서는 장님이나 다름없었다. 유해성 여부의 주된 판단기준은 Payload에 의심가는 패턴이 있느냐 없느냐 였다.

셋째 시기는 현재이며, 이슈의 다변화가 가속화된 시기이다. 특정 유해 Traffic에 대한 차단 여부뿐만 아니라, 앞서 언급하였듯 악의가 없는 내부자에 의한 공격, 웹 서비스 상에 존재하는 다양한 형태의 취약점들, 내부 기밀의 다양한 유출 경로, P2P 등의 창궐, 인터넷에 따른 생산성 방해, 각종 고소 고발 건에 대한 네트워크 Traffic 내역 증빙, 개인정보보호, VoIP의 확산과 VoIP 영역의 취약점 등이 작금의 주요 이슈들이다. 이제는 단순한 유해 Traffic 판단 여부가 중요하지 않고, 각 네트워크 단위가 지켜야 할 주요 보안정책들을 네트워크 보안장비가 얼마나 충실하게 관철시켜 주는가가 관건이 되었다.

자기 범위를 표지 검사와 Payload 검사로만 한정하였던 기존 네트워크 보안장비로는 지금 도래한 다원화된 이슈의 시기에 물론 제대로 대처할 수 없다. 외부로부터의 유해 Traffic 방어에만 매달리는 형국이어서는 보안 및 네트워크 관리자가 세운 보안정책들이란 것이 단순하기 그지없고, 새로운 위협들에 무방비 노출 상태라 할 수 있다.

새로운 보안위협에 맞서는 새로운 네트워크 보안장비?

DDoS 폭주 Traffic에 맞서는 Gigabit 방화벽, WORM에 맞서는 IPS 등과 같이, 앞에서 기술한 각각의 다양한 보안위협들 각각에 맞서는 새로운 네트워크 보안장비들을 계속해서 필요하게 된다면, 그 경제적 효용성뿐만 아니라, 네트워크 운영과 성능관리에서 심각한 문제가 야기되고 말 것이다.

Multi-Layered Single Point Protection, 주요 네트워크 경계지점에 설치되어, Traffic을 감시하고, 변화무쌍한 복합적인 보안정책을 관철해나간다는 네트워크 보안장비의 기본 취지에 충실한 장비가 필요하다.

그 취지를 진정으로 충족시킬 수 있는 네트워크 보안장비가 바로 진정한 의미의 UTM이라고 할 수 있으며, 네트워크 관리자는 단순한 종합선물세트가 아니라, 확장된 자신의 보안정책을 유연하게, 그러나 틀림없이 적용할 수 있다는 차원에서 ‘필요하게’ 될 것이다. 종합선물세트와 같은 오리 UTM은 ‘필요’가 제기되기보다는, 현혹적인 치장으로 ‘선전’될 뿐이다.

새로운 시대에 필요한 네트워크 보안장비가 UTM이고, 이 UTM은 기존 보안 요구사항에서 영역이 확장된 형태의 보안요구들을 만족할 수 있는 보안정책을 수행해야 한다면, UTM이 집행해야 할 확장된 보안정책이란 기존의 보안정책을 당연히 포함해야 할 것이다.

그 이야기는 곧 진정한 UTM은 기존 보안장비를 아무런 문제없이 대체할 수 있어야 한다는 이야기이다. Gigabit UTM은 기업 망에서 씩씩하게 동작 중인 튼튼한 Gigabit 방화벽을 대체할 수 있어야 한다. 지금 시장에서 선전되는 각종 UTM들, 무려 10Gbps 급도 있는데, 이들 중에서 용감하게 Gigabit 방화벽을 대체할 수 있는 UTM이 얼마나 있을까?

상태검사 기법(Stateful Inspection)을 완벽히 구현하고, VoIP를 포함한 다양한 프로토콜들을 해석 및 처리할 수 있으며, 어떤 네트워크 환경에도 가장 최적화된 형태로 설치할 수 있으며, 자유로운 이중화 삼중화가 가능하고, 무엇보다 모든 Traffic에 대한 로그를 빠짐없이 처리할 수 있어야 UTM은 방화벽을 대체할 수 있을 것이다.

방화벽과 같은 가장 기본적이고 정통인 네트워크 보안장비를 대체하지 못하고서는 진정한 의미의 UTM 자리를 차지할 수 없고, 이것저것 보안기능들을 시늉만 내어 통합한 종합선물세트에 다름 아니게 된다. 자 이런 장비를 네트워크 어디에 붙여서 무슨 기능을 제대로 하기를 기대하겠는가?

진정한 의미의 UTM은 정통 네트워크 보안장비에 그 뿌리를 굳건히 두어야 한다. 그러면 지금까지 시장에 출현했던 네트워크 보안장비들의 Category들 중에서 정통 네트워크 보안장비의 지위는 누가 가져야 할 것인가를 결정해야 한다. 네트워크 보안정책의 가장 밑바탕의 기본에 설정해야 할 라인이 ‘Default Deny’라고 하는 것에 이의를 제기할 보안전문가나 관리실무자는 없으리라 본다. Default Deny를 기존 정책으로 가져가고, 그 정책을 기반으로 확장된 보안정책들을 그 위에 피라미드식으로 얹어가야 할 것이다. 그럴 수 있는 장비는, 바로 방화벽이다. 방화벽뿐이다.

방화벽 기반의 UTM

방화벽의 정의를 다시 한번 되새겨 보자. 네트워크의 관문 또는 경계지점에 설치되어 보안 및 네트워크 관리자의 보안정책에 근거하여, Traffic을 차단, 변조하는 장치이다. 이 정의 자체에서 확장된 보안정책들을 집행해야 하는 UTM이 해야 할 그 임무와 다른 점이 있는가? 조금 과장되게 이야기 한다면, UTM이란 Upgrade된 방화벽이라고 할 수 있다.

방화벽의 동작방식에서 가장 기본적인 뼈대는 Traffic 분류와 각 Traffic에 대한 Session Table을 형성하는 Stateful Inspection에 있다. 이 기본적인 뼈대는 확장된 보안정책 관철이라는 UTM 업무 수행에 있어서도 동일한 뼈대로 동작하게 된다. Stateful Inspection 이란, 각 Session 단위로 Traffic 정보를 방화벽이 유지하고, Session 별로 유지된 Traffic 정보를 토대로 보안정책을 관철하는 기법이다.

가장 전형적인 예를 FTP에서 찾을 수 있다. FTP는 ‘PORT’ 명령을 통해 파일 전송 경로를 재설정한다. 이 재설정 Session은 임의의 서비스 번호를 사용하므로, 각 Session 단위로 어떤 통신 단계인지 판단하고, ‘PORT’ 명령이 수행되는 단계에서, 사용될 서비스 번호를 예측하여 파일 전송 경로를 일시적으로 열어준다. 이를 위해 방화벽은 모든 FTP 세션에 대해 통신 상황을 유지하여야 한다. 물론, FTP에 대해서만 유지하는 것은 아니다, 모든 TCP/IP 통신에 대한 세션 정보를 유지하고 있다.

이 세션 정보의 유지를 담고 있는 영역을 통상 ‘세션 테이블’이라고 한다. 방화벽은 보안정책의 관철을 위한 검사시점에 이 세션 테이블을 항상 참조하고, 갱신하며, 타 방화벽과 동기화를 하며, Traffic 정보를 추출하여 감사기록을 작성한다. UTM은 ‘세션 테이블’을 확장한다. 세션 단위로 유지되는 정보의 깊이와 양, 그리고 구조를 확장된 보안 요구사항들을 수용할 수 있도록 역시 확장한다는 의미다.

각 세션 별 확장된 Traffic 정보에는 기밀 유출방지, 웹 취약점 공격차단, 유해 Traffic의 차단, P2P 및 메신저 제어, 발신내용 통제와 같은 보안정책을 관철할 수 있도록 검사할 수 있는 내용들이 포함될 것이다. 이 내용이 유지되고, 관리되고, 변경되고, 동기화될 것이며, 추출되어 기록될 것이다. 바로 방화벽의 확장이자, Upgrade가 되는 것이다.

따라서 좀 더 극단적인 결론을 내린다면, 방화벽에 기반하여 방화벽을 확대 발전시킨 UTM이 아니라면, 종합선물세트와 오리의 오류에 빠질 수밖에 없는 것이다.

비용대비 효과 뛰어나...

당연히 UTM은 UTM을 구성하는 각 기능들이, 전문 보안기능을 통해 다양한 인터넷상의 위협들을 억제해나가는 것이 가장 비용대비 효과가 뛰어난 방법이라는 점에서 각광을 받고 있다. 또한 최근의 추세는, 다양한 보안 요구사항의 네트워크 관문 장비에서의 통합뿐 아니라, 네트워크 요구사항과 보안 요구사항이 계속적으로 수렴되어 가는 상황이기도 하다.

대표적인 경계 네트워크 장비인 라우터 기능을 직접 수행하며, 모든 라우터가 통과시키는 IP Traffic에 대해 검사 처리를 수행한다. 라우터와 방화벽은 3/4 계층 표지만 검사하는 기능에 제한이 되어 있지만, 확장된 Session Table을 기반으로 한 UTM 기능들을 통해, 애플리케이션 데이터에 입각한 보안정책 관철이 가능한 소위 ‘Application Aware Network’을 구현할 수 있게 된다.

Network와 보안기능이 수렴되어 서로 시너지 효과를 낸다는 점과 함께, UTM의 또 하나의 중요하게 언급되어야 할 장점은, 앞에서 기술되었듯이 인터넷의 위협들에 대해 다측면 방어를 수행하는 통합보안장비라는 점이다. 모든 전형적인 인터넷 위협에 대해서 여러 측면에서의 방어 기재가 필요하므로 통합보안이 필수 불가결하다는 점과 함께, 인터넷상의 다양한 위협들을 가장 효율적으로 방어하는 가장 비용대비 효과가 뚜렷한 방안이 통합보안장비를 통한 다측면 방어를 수행하는 방법뿐이라는 점 또한 주목되어야 한다.

방화벽을 기반으로 하여 확장된 보안기능을 수행하는 Upgrade된 UTM은 인터넷의 외부에서 유발되는 어떤 국한된 공격에만 초점이 맞추어져 있지 않다. P2P 및 메일을 통한 내부 사용자의 정보유출, 스팸 메일과 같은 기업활동을 방해하는 다양한 시도들, 웹 서버에 대한 불법적인 침입, 근무 태만을 비롯한 다양한 사내 기강 상의 문제를 발생시키는 불필요한 사이트 접속, 비업무용 트래픽의 사내 네트워크의 고갈 등의, 인터넷 접속과 함께 감수하여야 할 위협들은 내부 및 외부 양 방향에서 다양한 형태로 존재한다.

필자가 2004년 11월 CSI에서 외국 기자를 통해 깨달았던 그 UTM은 이 모든 위협들에 대해 가장 최적화된 통합적인 해결책들을 기업 네트워크에 단 하나의 지점에서 수행한다. 그 지점은 바로 내부 네트워크와 외부 네트워크가 연결되는 관문 지점으로, 바로 라우터가 존재하여 내외부를 연결하는 지점이다.

관문 지점에서의 UTM은 모든 IP Traffic을 빠짐없이 검사하고 처리할 수 있다. 인터넷이라 지칭되는 외부 네트워크와의 연결이 시작되는 그 지점에서, 인터넷 연결과 함께 발생하기 시작하는 모든 위협들을 다측면에서 제거하여 가장 안전한 ‘연결’을 보장하게 되는 것이다.

오리가 아닌 UTM의 이런 하나의 지점에서 다측면의 방어를 수행하는 특성에 대해, ‘Multi-Layered Security On Single Point’라 할 수 있으며, 이는 종합선물세트가 아닌 UTM이 설치되어 활용되어야 할, 가장 크고 뚜렷한 이유이다.
결론은 네트워크 기능이 확실하게 완비되어 있으며, 방화벽이 확대 발전된 형태의 UTM만이 제 위치를 차지할 수 있다는 것이다.
[월간 정보보호21c 통권 제80호 길민권 기자(info@boannews.com)]
             
             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>