[아이티데일리] 코로나19 감염확산으로 원격근무 및 클라우드 환경이 대세로 떠올랐다. 하이브리드 워크플로의 효율성은 높아졌지만 동시에 기업을 향한 공격이 늘어나면서 웹 기반 해킹 및 바이러스를 실시간으로 감시하고 탐지할 수 있는 보안 시스템이 중요해지고 있다. 특히 각각의 보안 제품보다는 탐지와 차단 등 다양한 기능을 통합해 제공하는 차세대 방화벽(Next Generation Firewalls)에도 관심이 모이고 있다. 

코로나19를 경험하면서 원격근무 및 재택근무와 같이 언제 어디서나 업무를 볼 수 있는 근무 방식이 하나의 패러다임으로 자리 잡았다. 비대면 업무의 효율성이 확인되면서 팬데믹 이후에도 거점오피스 또는 재택 등의 비대면 업무환경이 증가할 것이라는 전망이 나오고 있다. 하지만 이러한 비대면 업무환경은 보안 문제를 직면할 수 밖에 없다. 회사 내 보안 시스템을 벗어나 업무를 하는 과정에서 보안이 취약해지고 해킹 피해 또한 늘고 있는 것이다.

체크포인트코리아는 지난해 450명의 IT 및 보안 전문가를 대상으로 원격근무가 IT 보안에 미치는 영향에 대해 설문 조사를 진행했다. 전체 응답자의 45%에 따르면 코로나19 이후 사이버 공격이 증가했으며 그 중 가장 많이 발생한 공격 유형은 데이터 탈취 및 유출, 피싱 메일, 계정 탈취였다고 답했다. 멘로시큐리티 역시 보안 위협 대응 현황 보고서를 통해 증가하는 웹 기반 사이버 위협에 대처할 준비가 되어 있는 조직이 10개 중 3개 미만이라고 발표, 기업들의 보안 취약성을 경고했다.

이러한 상황 속에서 웹 기반 해킹 및 바이러스를 실시간으로 감시하고 탐지할 수 있는 보안 시스템이 중요해지고 있다. 특히 하나의 보안 솔루션을 제공하는 장비보다 탐지와 차단 등 다양한 기능을 제공하는 통합된 제품인 차세대 방화벽(Next Generation FireWalls, NGFW)의 중요성이 강조되고 있다.

‘단순’ 방화벽에서 ‘차세대’ 방화벽으로

특정 IP와 포트에 고정되지 않는 진화된 응용프로그램이 등장함에 따라 IP와 포트 기반으로 설정된 기존 방화벽은 응용프로그램의 통제가 어려웠다. 증가하는 애플리케이션의 사용과 복잡하게 뒤얽힌 네트워크 인프라의 변화로 인해 전통적인 포트 기반 네트워크 보안 취약점이 노출되는 위협 환경이 조성됐기 때문이다. 또한 대부분의 사용자들은 업무 관련성 및 보안 리스크를 고려하지 않은 채 다양한 유형의 디바이스에서 실행되는 수많은 애플리케이션을 이용하고자 하는 욕구를 가지고 있다는 것이 큰 문제였다.

포티넷 박현희 시스템엔지니어는 “다양한 악성 바이러스와 게임/성인/도박 사이트가 웹 형태로 운영되고 스팸 메일 등을 통해 악성 URL 클릭을 유도하는 피싱 공격이 증가하는 등 웹(HTTP/HTTPS)에 대한 위험성이 증가했다. 방화벽에 IPS와 안티바이러스 기능을 통합할 경우 보안효과가 극대화되는 장점이 있으며, SSL로 암호화된 트래픽을 포함해 실시간 트래픽과 위협정보에 대한 가시성도 필요해졌다. 기존 방화벽의 이러한 한계를 극복하기 위해 기업에서는 차세대 방화벽을 중요하게 검토하기 시작했다”고 말했다.

윈스 박기담 사업부문 부사장 역시 “1세대 방화벽은 포트 넘버로만 트래픽을 구분할 수 있어 모든 트래픽을 차단/허용 할 수밖에 없었다. 예를 들어 인터넷 사용은 허용하면서 메신저나 P2P 다운로드 트래픽, 유튜브, 인스타그램 등을 선별적으로 차단하지 못했다. 하지만 차세대 방화벽을 도입함으로써 다양한 응용프로그램을 인식하고 사용자 아이디 기반의 정책 적용을 가능하게 하며 선별적 차단과 보안 강화를 위해 많은 고객사에서 차세대 방화벽을 검토 중”이라고 설명했다.

데이터센터 확장, 네트워크 세분화, 가상화 및 이동성 전략은 전통적인 보안 메커니즘을 우회하는 보다 정교해지고 진화한 새로운 위협으로부터 네트워크를 보호하는 동시에 애플리케이션 및 데이터에 대한 안전한 액세스를 구현할 수 있다.

시큐아이 이요섭 마케팅기획그룹장은 기업에서 차세대 방화벽을 별도의 제품으로 도입해야 하는 이유에 대해 “사용자/디바이스/애플리케이션별 정책을 통해 견고한 보안을 유지할 수 있으며, 멀웨어 및 이상행위 탐지/차단을 통해 복잡하고 고도화된 위협으로부터 자산 보호가 가능하다”고 강조했다.

기존 방화벽은 포트 넘버로만 서비스를 구분할 수 있기 때문에 TCP.80과 같은 포트를 사용하는 패킷은 인터넷 트래픽으로 인식해 모두 차단하거나 허용 할 수밖에 없었다. 그러나 차세대 방화벽은 애플리케이션을 기반으로 패킷을 필터링하고 패킷에 포함된 데이터 검사 기능을 확장하고 강화했기 때문에 카카오톡, 유튜브, 틱톡과 같은 애플리케이션을 구분 할 수 있을 뿐만 아니라 카카오톡 애플리케이션에서도 채팅 패킷과 파일 공유 패킷을 구분할 수 있어 이전의 방화벽에 비해 훨씬 향상되고 더욱 견고한 보안을 제공한다.

업계에서는 차세대 방화벽에 대해 애플리케이션 식별통제 기능 및 사용자(그룹)를 기반으로 한 지능형 자동화를 통해 보안 정책과 위협 정보를 항상 최신 상태로 유지해야 한다는 점을 강조한다. 규정 준수 및 개인, 기업, 고객 정보와 데이터를 보호할 수 있도록 사용자와 파트너에게 안전한 원격 액세스를 제공하기 위해 외부 위험을 관리하는 방법을 찾아야 한다는 것이다.

차세대 방화벽 시장 1,500억 원~2,000억 원 규모 예상

포티넷 박현희 시스템엔지니어는 최근 사이버 보안 시장의 트렌드를 4가지로 정리했다. 첫 번째는 디지털 가속이다. 디지털 전환이 매우 빠르게 이루어짐에 따라 사이버 보안과 네트워크 인프라 관리가 복잡해지고 세분화돼 가시성과 제어가 중요해지고 있다. 두 번째는 원격근무로 코로나19 이후 집과 회사를 구분하는 벽이 사라져가고 있지만 대부분의 홈 네트워크 보안은 기업보다 취약하므로 공격 표면이 확장되고 있다. 세 번째는 더욱 정교해지고 널리 퍼지고 있는 사이버 범죄다. 마지막은 기업의 사회적 책임이다. 기업은 사회적 책임에 대한 의무와 압력에 직면해 있고, 그들이 직원과 고객들의 데이터를 수집, 저장, 보호하는 방식이 단지 IT 부서가 아니라 ESG에도 영향을 미칠 수 있는 거버넌스 문제가 되고 있다.

이는 더욱 정교해지는 지능형 위협과 넓은 공격 표면에 대응할 수 있는 시스템과 네트워킹 및 보안이 하나의 가속화된 솔루션으로 통합돼 성능을 희생하지 않으면서 높은 사용자 경험과 가시성 및 보안 수준을 제공할 환경의 중요도가 높아질 것으로 해석할 수 있다.

시큐아이 이요섭 마케팅기획그룹장은 “가상화/클라우드 보급화, IoT 증가, 위협 고도화로 차세대 방화벽의 필요성은 커지고 있다. 따라서 차세대 방화벽 시장은 정부와 기업은 보안 위협으로부터 안전을 유지하기 위해 더욱 노력하고 있어 지속적인 성장이 예상된다”고 설명했다.

윈스 박기담 사업부문 부사장에 따르면 기존 전통방식의 방화벽에서 차세대 방화벽으로 교체 수요가 늘어나고 있어 올 국내 차세대 방화벽 시장은 1,500억 원~2,000억 원으로 예상된다. 또한 방화벽 시장은 클라우드 환경에 적합한 방화벽 시장으로 진화할 것으로 전망된다. 방화벽 선능이 개선되는 것은 물론 다양한 보안 기능을 통합한 전방위적인 통합 보안 솔루션이 출현할 것이다. 특히 원격 근무 확산, 클리우드 도입에 따른 업무환경 변화가 가속화 되는 상황에서 차세대 방화벽의 수요는 꾸준히 늘어날 것이 확실시 된다.

애플리케이션과 사용자 기반 다양한 보안 정책 구현

경계 보안만을 중요시한 조직은 공격자가 일단 침투하거나 신뢰할 수 있는 내부 사용자가 실수로 감염되면 악성 코드가 큰 저항 없이 측면으로 확산된다는 점을 알게 됐다. 이에 많은 공급업체들이 API 연계를 통한 보안 강화 및 시너지 효과를 증대하며 다양한 보안사고에 대응하고 있다.

차세대 방화벽은 포트와 프로토콜 대신 애플리케이션과 사용자 기반으로 다양한 보안 정책을 구현 할 수 있다. 따라서 차세대 방화벽 제품 도입 시 정의 구현을 위해 도입 고객사의 환경과 구축 구간에 따른 보안 가이드가 사전에 정의되어야 한다. 또한 사용자별 정책 적용을 위해, 인사 DB 연계 등 타 솔루션과의 상호 보안적인 부분을 고려해야 한다.

포티넷은 차세대 방화벽은 광범위한 위협에 대한 대응이 필요한 제품이기 때문에 애플리케이션 컨트롤, IPS, 웹필터링, 안티-바이러스, IP/Domain 평판, SSL 검사 등의 기능과 정확한 보안위협 시그니쳐를 빠른 업데이트로 제공받을 수 있어야 한다고 조언했다. 보안가시성과 풍부한 보고 기능 및 운영상의 편의성과 자동화 기능을 제공해야하며, 비즈니스 연속성 및 성능 요구 사항을 만족할 수 있고, 다양한 이중화 구성과 안정적인 Fail-over를 통한 신뢰성을 제공할 수 있어야 한다고 강조했다.

업체별 차세대 방화벽 제품 소개

시큐아이 ‘블루맥스 NGF’

‘블루맥스 NGF’는 제로트러스트 개념을 적용한 제품이다. 외부 접근에 대한 단계별 보안 정책을 적용해 증가하는 보안 위협으로부터 기업 내부의 정보 자원을 보호하고, 중요한 정보가 외부로 유출되는 것을 방지한다.

가상화 아키텍처 적용에 한 대의 장비로 다수의 방화벽을 구축하는 효과를 제공해 한 대를 설치하고 운영하더라도 여러 대를 구축한 것과 같은 비용 절감과 운영 효율과 효과를 얻을 수 있다. 또한 △APP 제어 △디바이스 제어 △파일유형 제어 기능 등을 제공하여 비인가 파일 전송과 내부정보 유출방지 기능을 제공한다.

‘블루맥스 NGF’는 국내 최초로 100G NIC(네트워크 인터페이스 카드) 장착을 지원하여 5G를 비롯한 대용량 트래픽의 처리가 요구되는 환경에도 유연한 대응이 가능하다. 이어 가상화/클라우드 환경을 지원하는 클라우드 차세대 방화벽 ‘블루맥스 NGF VE’를 출시해 가상화/클라우드 환경에서도 높은 수준의 보안 정책을 수립할 수 있도록 지원하고 있다.

시큐아이는 향후 강력한 암호화 기술인 양자내성암호(PQC)를 블루맥스 NGF에 적용할 계획이라고 전했다. 또한 ‘블루맥스 NGF’에 SD-WAN 기술을 적용할 계획이다. 해외에 공장을 보유한 제조 기업과 많은 지점을 관리해야 하는 금융권에 기술을 제공하여 보안성 및 운영 편의성의 향상과 비용 절감 등 다양한 효과를 제공받을 수 있도록 서비스를 강화할 방침이다.

윈스 ‘스나이퍼 NGFW’

‘스나이퍼 NGFW’는 자체 개발한 고성능 보안 엔진을 탑재해 방화벽, IPS,애플리케이션 정책을 동시 사용해도 지연 없는 성능을 제공한다. 특허받은 기술인 상관 분석 기반의 트래픽 흐름 추적 및 이상징후 분석 기술과 외부 공격자 우회 접속을 통한 정보 탈취 원천 방어 기술로 정책과 세션에 기반한 트래픽 추적 관리가 가능하다.

또한 실시간 세션 기반 패킷 흐름을 파악함으로써 이벤트 추적 관리에 용이하다. 그리고 특정 호스트 네트워크 매핑 추적 관리로 지능형 위협을 탐지,추적 분석이 가능하다. 내부 단말의 인터넷망/보호존 동시접속을 차단해진화된 공격 기법에 의해 침해사고가 발생하더라도 피해를 방지 할 수 있다.

‘스나이퍼 NGFW’에 탑재된 IPS 기술 L7 DPI 전용 가속 엔진은 특화된 다중 멀티패턴 매칭을 적용한 L7 전용 가속엔진이다. 컨텐츠 보안 기능을 빠르게 수행하며 방화벽, IPS, 애플리케이션제어를 동시에 사용해도 성능 부하가 없는 것이 장점이다. 프로토콜을 인지(Protocol Awareness)하여 장비에 유입되는 트래픽을 프로토콜별 분류/제어/로그를 제공하며 FTP, SMTP, HTTP등을 통해 전송되는 파일을 인지하여 탐지, 차단하는 파일 유형 제어 기능을 제공한다. 또한 다양한 Application들을 분류할 때 캐쉬 기능을 사용해 빠르게 분류 한다.

윈스는 현재 클라우드형 VPN 제품을 개발하고 있다. 클라우드에서 사용 할 수 있는 IPSec VPN, SSL VPN 제품을 개발하고 있으며, SSL에 대한 가시성을 향상시켜 SSL 트래픽에 대한 보안 기능을 강화할 계획이다.

팔로알토네트웍스 ‘PA-시리즈’

팔로알토네트웍스의 차세대 방화벽 제품군은 업계 최초로 머신 러닝을 활용해 사전 예방적인 실시간, 인라인 제로 데이 보호 기능을 제공한다. 사이버 위협을 예방하면서 액세스를 허용하는 방식으로 사용자가 필요로 하는 애플리케이션을 안전하게 이용할 수 있다.

팔로알토네트웍스 방화벽의 핵심은 PAN-OS로 10.2 최신 버전에는 고도의 회피형 제로데이 공격을 효과적으로 탐지하고, 공격이 시도되지 전 이를 중단할 수 있는 기능이 추가됐다.

추가된 주요기능은 △새로운 동급 최고 수준의 침입 방지 시스템인 ‘지능형 선제 방어’ △머신러닝을 활용해 공격이 방화벽에 영향을 주기 전 침투 케이스를 사전 예측하는 ‘AI옵스’ △타 공급업체 대비 40% 더 많은 DNS 기반 공격 커버리지로 포괄적인 지원을 하는 ‘DNS 보안’ △웹 트래픽을 딥러닝으로 분석해 웹 기반 공격을 실시간 인라인으로 차단하는 ‘지능형 URL 필터링’ △머신러닝을 통해 모든 기기에 대한 정책 생성을 자동화하는 ‘IoT 보안 2.0’ 등이다.

팔로알토네트웍스는 클라우드 워크로드를 향한 위협이 커지고 있는 만큼 이를 방어하기 위한 차세대 방화벽을 출시할 예정이다. AWS와의 협력으로 간편하게 구축이 가능하고 관리형 서비스로 제공되는 이 오퍼링은 클라우드 네이티브의 편의성과 확장성의 이점을 극대화 할 수 있다.

포티넷 ‘포티게이트’

‘포티게이트’는 보안 복잡성을 단순화하고 애플리케이션, 사용자, 네트워크에 대한 가시성을 제공한다. ‘포티게이트’ 랩스의 특수 설계된 보안 처리 장치(SPU)와 위협 인텔리전스 서비스를 활용해 알려진 공격에 대한 최상의 보안과 고성능 위협 보호(예: 침입 방지, 웹필터링, 안티멀웨어, 애플리케이션 제어)를 제공한다.

효과적인 네트워크 보안을 제공하기 위한 토대는 위협 환경에 대한 방대한 지식과 다양한 수준에서 신속하게 대응할 수 있는 능력이다. 따라서 700개 이상의 제로데이 위협 및 취약점을 발견한 포티게이트 위협 인텔리션스 서비스는 포티넷의 차세대 방화벽 기능을 제공하는 데 있어 핵심 요소다.

‘포티게이트’ 제품군에는 엔터프라이즈 에지, 데이터 센터 에지 또는 분산 엔터프라이즈의 지사에 구축되어 여러 클라우드에 안전하게 액세스할 수 있는 다양한 가격/성능대의 유연한 플랫폼 세트가 포함돼있다.