내년 상반기 활성화 전망
업체 신제품 출시 봇물, 시장 선점 경쟁 본격화
IPS 는 알려지거나 알려지지 않은 공격을 실시간 감지해 피해를 입기 전에 공격을 자동 차단하는 능동적인 보안솔루션이다. 현재 IPS라는 이름으로 전세계 수십개의 제품이 출시되어 있다고 알려져 있지만 그 개념이나 기술 정의는 아직까지 제대로 정리되지 못하고 있다. 처음 시장에 제품이 소개되었을 때에는 개념상의 제품일 뿐 현실에서 구현될 수 있는 ‘실제 제품이 아닌 마케팅용’이라는 비난과 의구심을 받기도 했다.
하지만 점차 IPS를 출시한 업체들이 늘어나고 시장에 적용되는 사례가 생기면서 최근에는 다양한 기술을 결합해 보다 복합적이고 정교한 공격에 실시간 대응하는 대표적인 능동형 솔루션 모델로 점차 자리잡아가고 있는 분위기다.
관련 업체들 또한 IPS 제품이 기존 침입차단시스템(Firewall)과 침입탐지시스템(IDS)의 한계를 극복한 능동형 제품이라는 점을 집중 부각해왔다. 특히 올 초 슬래머 웜에 의한 트래픽 폭주로 인터넷 망을 마비시켰던 1.25 인터넷 대란을 거치고 블래스터 웜을 비롯한 악성코드나 웜 등 혼합위협에 의한 피해가 속출하면서 IPS 제품을 검토하는 곳이 늘어나는 등 시장 요구가 크게 두드러지고 있다.
업계에서는 능동 제품인 IPS 기술이 검증되지 못해 제품 도입을 망설여왔지만 내년 상반기부터 폭넓게 시장에 적용될 것이라고 밝게 전망하고 있다.
IPS 도입시 고려요소 ‘탐지ㆍ차단ㆍ고성능’
현재 IPS는 IDS에 방화벽의 패킷 필터링 및 블로킹 기술을 추가한 접근 방식과 기존 방화벽에 애플리케이션 레벨 침입 차단과 탐지 기능을 결합한 방식, 스위치 장비에 컨텐츠 필터링 기능 등을 넣은 방식, IDS와 방화벽을 연동하는 ESM 형태의 제품 등 다양한 방식으로 구현한 제품이 출시되어 있다. 이렇다보니 현재까지도 ‘진정한 IPS’ 논란은 계속되고 있는 상태.
올해 시장에서 많은 업체들이 IPS 도입을 검토하면서 BMT를 통한 테스트가 이루어지고 있지만 현재 출시된 제품들의 성능 및 기능, 안정성을 온전히 비교하기에는 어려움이 따르고 있으며, 그 우열을 제대로 가릴 수 있는 조건이 되지 못하고 있다.
결국 다양한 환경에 폭넓게 설치, 운영되면서 고객들에 의해 검증되어 시장을 선점하는 제품이 대표 모델로 정의될 것이라는 예측이 우세하다.
현재 출시되어 있거나 관련 업체들이 주장하는 공통된 IPS의 형태는, 먼저 여러 가지 침입탐지 및 분석 기술을 적용해 다양한 공격 및 침입에 대한 정확한 탐지가 이루어져야 하며, 취약점을 이용한 정교한 해킹까지 찾아내 실시간 차단할 수 있는 솔루션이다. 알려지지 않은 최초의 공격도 실시간으로 방어할 수 있도록 인라인(In-Line) 네트웍상에서 작동되어야하며, 네트웍에 영향을 미치지 않는 고성능/고가용성 하드웨어 어플라이언스 형태의 제품이어야 한다.
즉 시그너처 분석뿐 아니라 프로토콜 및 트래픽 이상현상(Anomaly) 탐지, 행동 패턴 분석 등 고도의 침입탐지 및 분석 기술을 사용해 기존 IDS의 단점으로 알려진 오탐/미탐지율을 최소화해야 하며, 실시간 탐지와 동시에 자동 대응할 수 있어야 한다.
차단 기능에서는 기존 IDS에서 탐지 후 공격에 대응하던 TCP 리셋(Reset) 패킷을 이용한 세션 강제 종료나 방화벽 시그널링을 이용한 전통적 기능 구현 방식으로는 효과적인 방어가 미흡하며, 이상 패킷/세션을 식별해 실시간 ‘차단(Drop)’할 수 있어야 한다. 또한 IPS가 죽었을 때에도 네트웍에 아무런 문제가 발생되지 않도록 하는 바이패스(Bypass) 기능 등 관련 대책은 필수다.
따라서 위협요소에 대한 정확하고 폭넓은 탐지와 차단, 고성능은 IPS 도입을 고려할 때 가장 우선시해야할 요소다.
넷스크린 남인우 차장은 “IPS는 해킹이나 웜, 바이러스 등의 다양한 공격을 얼마만큼 정확히 탐지하고 동시에 차단할 수 있는가가 핵심.”이라며, “시그너처 분석 등 한두개 탐지 매커니즘으로 일부 알려진 웜이나 해킹을 차단하는 기능을 수행하는 솔루션은 진정한 IPS라고 할 수 없다. 다년간 구축된 공격유형 DB를 바탕으로 정교한 해킹 및 새로운 공격을 찾아내 막을 수 있어야 한다.”고 지적했다.
IPS는 유해 트래픽 차단 제품?
현재 국내 시장의 가장 기본적인 IPS 요구사항은 유해트래픽 차단 기능이다. 현 시점에서 국내 네트웍의 가장 큰 위협은 웜에 의해 감염된 내부시스템에서 데이터가 다량 발생, 트래픽이 폭주하거나 웜 및 바이러스가 직접 시스템이나 네트웍에 영향을 주기 때문이다.
지난 1.25 인터넷 대란에서 원인이 되었던 슬래머 웜을 필두로 소빅, 블래스터 등 웜 및 바이러스가 기승을 부리면서 피해가 이어져 왔다. 현재의 웜은 근원지 추적이 불가능하고 지능화, 복합화 되어 있으며, 어떤 조치를 취하기도 전에 급속한 속도로 확산된다. 또한 이전에는 서버를 대상으로 하던 웜이 이제는 일반 사용자의 PC에까지 심각한 영향을 끼치고 있다.
국내 인터넷 서비스제공업체(ISP)의 대형 백본망이나 대학에서 송/수신되는 평상시 트래픽 중 약 10% 정도가 정상적인 서비스와 무관한 트래픽이라는 점은 이를 해결할 수 있는 한층 진보된 솔루션이 필요하다는 사실을 뒷받침하고 있다.
인터넷대란 후 데이콤, KT 등 통신 및 ISP 업체들이 유해트래픽 차단 제품을 도입했으며, 최근 프로젝트를 진행한 한국전산원을 비롯해 현재 KT, SK텔레콤, SK C&C, 현대기아차 등에서 제품 도입을 검토하고 있다.
특히 올 하반기 들어서는 대학과 관공서, 기업에서 IPS 데모 제품을 원하거나 BMT 등이 활발히 이루어지고 있다.
그러나 현재 시장의 IPS 요구는 웜 차단이나 웜에 의한 유해트래픽 차단 장비 기능이 대부분이며, IPS 프로젝트로 발주되어도 실상은 유해트래픽 차단 기능이 주내용이 되는 경우가 많은 상황이다.
유해트래픽 문제를 해결하기 위해 먼저 설치된 L7스위치나 바이러스 월, 웜 차단 전용솔루션 등이 효과를 나타내면서, 관련 제품들이 모두 IPS 범주 안에 포함되는 등 시장이 혼란·혼재되고 있다.
따라서 유해트래픽이나 웜만의 문제가 아닌 모든 유형의 위협이나 공격으로부터 침해 사고를 ‘방지’ 또는 ‘예방’하기 위한 IPS RFP(제안요청서)나 BMT에서도 앞서 제품이 도입된 특정 사례를 바탕으로 유해트래픽 차단이나 웜 차단 관련 기능이 주요 평가 기준이 되거나 요구사항으로 반영되기도 했다.
이렇게 고객의 IPS 인식이 부족한 가운데 현재 시장에서는 IPS 기술을 믿지 못하는 흐름이 있는 반면, IPS 솔루션 하나로 모든 위협요소에 대한 대처가 가능할 것처럼 무조건 믿고 있는 경우도 많다고 지적된다.
지난해와 올해 IPS를 조기 도입했던 곳에서 많은 문제점이 발생하는 일이 종종 있는데, 그 주된 이유도 IPS를 설치했을 때 일어날 수 있는 위험, 즉 해킹이 아닌데 해킹으로 간주해 세션을 끊어버리거나 인라인 장비인 IPS로 인해 네트웍이 다운될 수 있는 문제점을 고려하지 않았기 때문이다.
전문가들은 “IDS와 같은 관리 부담이 크지는 않겠지만 IPS도 설치만 해놓는다고 모든 문제가 해결되는 것이 아니며, 일정기간 설치 후 자가학습이나 패턴 업그레이드 등 적정 관리가 필요하다. 따라서 제품을 도입하는 업체의 교육과 기술지원이 제대로 이루어지는 것도 중요한 요소.”라고 강조하고 있다.
신제품 대거 출시, 시장 공략 본격화
한편 IPS 기술 및 구현 방식에 대한 논란이 계속 진행되는 과정에서도 여러 업체들이 제품을 출시하고 이 시장에 뛰어들었으며, 올 하반기 들어 IPS 요구는 부쩍 늘어나고 있다.
관련 업계의 어느 영업 담당자는 “올해까지는 기존 제품에 주력하고 레퍼런스만을 확보하는 정도로 시장 대응하려고 했던 기존 방침에서 최근 공격적인 영업태세로 바꿨다. IPS 시장이 당초 예상보다 빠르게 열리고 있기 때문.”이라고 시장 분위기를 전했다.
특히 IPS 시장에 뛰어든 업체들은 신생 IPS 전문업체 보다는 방화벽/VPN, IDS 업체 등 기존의 대형 네트웍 보안업체나 네트웍 업체들이 IPS 전문업체를 인수하거나 자체 연구개발을 통해 진입하고 있어, 머지않아 IPS가 보안시장의 대표주자가 될 것이라는 주장을 뒷받침하고 있다.
지난해까지 IPS 제품을 내놓은 업체도 두 세 곳에 불과했지만 올 들어 새로이 제품을 개발해 시장에 진출한 업체들은 꾸준히 늘어나고 있다.
시장에 비교적 일찍 뛰어든 업체들은 기존 제품의 성능 및 기능을 향상시킨 신제품 출시를 준비하며 시장 공략에 더욱 박차를 가할 채비를 하고 있으며, 현재 시장에 뛰어들고자 준비하고 있는 업체들도 많아 앞으로 시장 경쟁이 치열해질 전망이다.
현재 국내 시장에 제품을 선보이고 영업을 활발히 펼치고 있는 업체는 넷스크린 테크놀로지스, 엔터라시스 네트웍스, 이카디아, 탑레이어네트웍스, 한국네트워크어쏘시에이츠 등 외국계 업체와 센타비전, 싸이버텍홀딩스(웹코호트, 티핑포인트), 윈스테크넷 등이 있다.
IDS 및 방화벽 연동형 시스템을 통한 IPS 구현을 내세운 시만텍, 엑스큐어넷과 공동으로 자체 개발 IDS에 컨텐츠필터링 기술을 통합한 ‘테스 IPS’를 보유한 정보보호기술도 있다.
지난달에는 한국인터넷시큐리티시스템(ISS)이 ‘프로벤티아 G시리즈’를 출시해 정식으로 IPS 시장에 진출했으며, 현재 시큐어소프트와 인프니스도 최근 IPS 개발을 완료하고 사업 진출을 위해 본격적으로 준비하고 있다.
인젠은 지난달 중국 청화대학의 개발한 기가비트 기반의 IPS 칩을 이용해 인젠의 통합보안솔루션과 연동, 하드웨어 일체형으로 만든 ‘시큐플랫 NIPS’를 중국에서 출시한데 이어, 이를 업그레이드한 제품을 조만간 국내시장에 선보일 계획이다.
인터넷대란 이후 KT, 데이콤을 비롯한 통신 및 ISP업체 등에 제품을 공급하며 급부상한 라드웨어 코리아도 이달 초 스위치 기반 IPS인 ‘디펜스 프로’를 정식으로 출시했다.
탑레이어네트웍스도 기존 제품의 10배의 세션 수와 성능을 지원하는 대규모 제품인 ‘어택미티게이터 IPS 5500’을 출시했으며, 넷스크린도 이달 중 기가비트 고성능 신제품인 ‘넷스크린-IDP 1000’을 선보이며 적극적으로 시장을 공략할 계획이다.
이 외에도 통합화 추세에 따라 워치가드, 시큐아이닷컴, 포티게이트 등 보안업체들이 자체 방화벽/VPN이나 안티바이러스 방화벽에 IPS 기능을 구현해 지원하고 있다.
내년부터 본격 성장기 돌입할 듯
이에 따라 아직 시장에서 뚜렷한 강자가 없는 IPS 시장은 내년 상반기부터 관련 업체들의 시장 선점을 위한 대격돌이 펼쳐질 전망이다.
넷스크린, 엔터라시스 네트웍스, 이카디아, 탑레이어네트웍스 등 시장에 먼저 진입한 업체들은 그동안 쌓은 레퍼런스를 바탕으로한 제품 성능 및 안정성을 무기로, 최근들어 공격적인 영업을 펼치며 시장에서 두드러지고 있는 네트워크어쏘시에이츠와 티핑포인트, 국내업체인 센타비전과 윈스테크넷, ISS와 신규 진출업체들은 제품 기능 및 성능을 부각하며 시장을 선점하기 위한 경쟁을 벌일 것으로 보인다.
국내업체의 경우 외국업체에 비해 더욱 용이한 기술지원 서비스와 저렴한 가격 등을 차별화 요소
로 내세운다는 방침이며, 센타비전과 윈스테크넷 모두 최근 한국정보보호진흥원(KISA)과 인증과 관련한 자문을 진행하고 있어 ‘차단(또는 방지) 기능이 있는 IDS’ 또는 IPS의 인증 가능성을 열어두고 있다. 이 문제가 해결되면 관공서 및 공공시장과 금융시장 등 시장에서 자리잡는데 유리한 조건을 창출할 것이라고 판단하고 있다.
그러나 현재까지 정통부 및 평가·인증기관인 KISA와 국정원은 향후 CC로 단일화될 국내 인증에 IPS를 신규 추가하는 문제에 대해서는 결정한 바 없으며, 기술 검증 등 검토가 더 필요하다는 입장이다.
따라서 그동안 방화벽과 IDS 시장에서 공공 및 금융시장을 사실상 포기(?)했던 외국업체들은 “인증 대상이 아닌 IPS 시장은 예외”라며 이 시장 진입에도 자신감을 보이고 있다.
IPS 시장은 내년을 시작으로 대학, 통신사, 관공서, 금융기관 등 전 산업군에 폭넓게 구축되며 본격적으로 성장기에 들어설 것이라고 전망되고 있으며, 이에 따라 한계가 지적되어온 기존 IDS의 시장 대부분을 대체할 것이라는 시각이 지배적이다. 또한 필수 보안제품으로 인식되고 있는 방화벽도 일부 시장은 IPS에 빼앗길 것으로 예상된다.
IDS 시장 대체 시각 지배적
그러나 전문가들은 “현재의 IPS 기술은 네트웍 환경이 급속도로 변화하는 속도만큼 구현기술이 따라가지는 못하고 있다. 기존 IDS와 방화벽의 침입 및 차단 고유기능을 완벽하게 제공하면서 동시에 네트웍의 안정성을 유지하기는 기술적으로 미흡한 단계.”라며, “안전한 네트웍을 보장하기 위해서는 방화벽과 IDS와 함께 IPS를 설치해 상호 보완해야하며, 보안솔루션 각각의 고유기능을 파악해 적절히 선택 운용해야 한다.”고 경계했다.
이에 따라 IPS가 방화벽과 IDS의 일부 또는 많은 시장을 대체하겠지만 세 솔루션은 각각의 고유 기능을 바탕으로 각자의 영역에서 쓰임새 있게 사용될 것이다.
2004/01