올 성장 기대 높아, 필요성 인식과 솔루션 검증이 확산 관건
지난 2~3년 동안 보안시장에서 최대 이슈가 침입방지 시스템(IPS)이 었다면, 올 시장의 화두는 단연 웹 애플리케이션 보안 제품이 될 전망이다.
최근 웹 서버의 취약점을 이용한 신종 웜 출현, PHP 및 웹 사이트 게시판 프로그램의 취약점을 이용한 웹 사이트 대량 변조 사건 등이 발생하면서 관련 솔루션이 크게 주목을 받고 있기 때문이다. 웹 애플리케이션 보안 전문 솔루션은 국내에 2003년부터 소개되기 시작했으며 지난 하반기부터 여러 업체들이 제품을 출시하고 이 시장에 뛰어들고 있어, 올 상반기까지 시장에 공급될 제품 수는 10여개에 달할 것으로 예상된다.
공급업체들은 “웹 애플리케이션 보안 솔루션의 부상이 단순한 관심 차원이 아니라 자칫 ‘냄비 시장’을 우려할 정도로 수요가 급증하고 있는 추세”라며, 올해 100억원대의 시장 형성을 예상하고 있다.
이유지 기자 yjlee@infotech.co.kr
웹 애플리케이션 보안 제품은 웹 서버나 웹 애플리케이션의 취약점을 이용해 웹 사이트 변조나 훼손, 서비스 중단, 정보 유출 등을 노리는 공격을 막는 전용 솔루션으로, 현재 웹 애플리케이션 취약점 분석 스캐너와 방화벽이 있다.
웹 애플리케이션 스캐너는 운영 중에 있거나 개발하는 웹 애플리케이션과 웹 서비스를 위한 서버, 미들웨어 등 시스템의 취약점을 다양한 패턴으로 분석해 보안 취약점을 파악하고 해결책을 제시하는 솔루션이며, 보안감시용 도구로 사용하기도 용이하다.
웹 애플리케이션 방화벽은 개방된 웹 서비스 포트인 80과 443 포트를 이용해 합법적으로 들어오는 HTTP와 HTTPS 프로토콜에 대한 공격을 필터링하는 제품이다. 대부분 기본적으로 OWASP (Open Web Application Security Project)에서 발표한 10대 웹 애플리케이션 취약점과 이를 이용한 공격으로부터 웹 서버와 애플리케이션을 보호하며, SSL(Secure Socket Layer)을 지원한다.
대부분 공격 시그너쳐에 의존하지 않고 행동 패턴을 인식하는 자가 학습 방식으로 정상적인 동작만을 허용하는 포지티브(Positive) 시큐리티 모델을 채택해 비정상 행위는 침입으로 판별해 차단하고 있는데, 공급업체들은 이 방식이 오탐지를 최소화하고 알려지지 않은 다양한 공격을 막을 수 있다고 제시하고 있다.
초기에는 웹 애플리케이션 방화벽의 성능과 안정성 검증 미비 등을 이유로 방화벽보다는 스캐너 시장이 먼저 형성되는 흐름이었으나, 최근 들어 방화벽에 대한 관심이 확산되고 있다.
스캐너는 서비스에 직접적인 영향을 미치지 않는 대신, 취약점 분석 후 소스코드 수정이나 설정 변경, 패치 등 별도의 보안 조치를 해야 한다. 때문에 스캐너는 주로 방화벽과 함께 연동되어 구축되거나 애플리케이션 유지보수 조직을 보유하고 있는 대규모 조직에서 주로 도입할 것으로 예상된다.
제품 출시 봇물, 상반기 10여개 제품 경쟁 예상
현재 시장에 공급되고 있거나 조만간 출시될 제품은 10여개로, 웹 애플리케이션 보안 전문업체들이 개발한 외산 제품들이 대부분이다. 국내에는 STG시큐리티가 웹 애플리케이션 보안 컨설팅을 전문적으로 수행하면서 관련 기술과 전문 솔루션을 소개하기 시작했다. 최근 다양한 제품이 출시되는 것과 함께 웹 애플리케이션 해킹에 의한 웹 사이트 변조 등이 눈에 띄게 늘어나면서 시장에 대한 관심이 크게 확산되고 있다.
작년 하반기에는 국산업체가 개발한 스캐너가 시장에 등장했는데, 올 상반기에는 토종 웹 애플리케이션 방화벽도 선보일 것으로 예상된다.
현재 STG시큐리티가 카바도의 소프트웨어 기반의 웹 애플리케이션 취약점 스캐너 ‘스캔두’와 방화벽 ‘인터두’를 공급하고 있으며, 삼양데이타시스템을 비롯해 웨이브텍코리아, 지텍인터내셔널이 테로스의 하드웨어 일체형 웹 애플리케이션 방화벽 ‘테로스 APS’를 제공하고 있다.
지난해 초부터는 싸이버텍홀딩스가 임퍼바의 ‘시큐어스피어’를 공급하기 시작해 최근 기능이 대폭 업그레이드된 하드웨어 일체형 새 버전을 내놓았으며, 듀얼시큐어 코리아가 서버 기반 제품 ‘애즈락’을 제공하고 있다. 지난 하반기 들어서는 안철수연구소가 넷컨티넘의 ASIC 기반 하드웨어 제품 ‘NC-1000’ 공급을 시작했으며, 한국후지쯔가 생텀으로 잘 알려진 워치파이어의 ‘앱스캔’ 및 ‘앱쉴드’를 자사의 서버에 탑재해 공급하며 시장에 가세했다. 디지털아키텍트도 센트리웨어의 ‘하이브’의 공급을 시작했다.
올 들어서는 지난해 스캐너를 개발한 토종업체 패닉시큐리티와 2년 간 제품을 개발해온 펜타시큐리티시스템이 자체 개발한 웹 애플리케이션 방화벽을 상반기 중 내놓을 예정이다. 또한 F5 네트웍스 코리아가 현재 한글화 작업 중인 웹 애플리케이션 방화벽 ‘트래픽쉴드’를 1분기 안에 공급 개시할 예정이어서 업체들의 올 시장 선점 경쟁이 치열할 것으로 예상된다.
이밖에도 체크포인트가 지난해 자체 웹 애플리케이션 방화벽 기술인 ‘웹 인텔리전스(Web Intelligence)’를 내놓고 경계 보안(방화벽과 VPN), 내부 보안, 웹 보안 등으로 이루어진 전 제품에 적용하면서 웹 애플리케이션 보안 기능을 제공하고 있다. 이 중 웹 보안 제품인 ‘커넥트라’에는 이 웹 인텔리전스가 기본 탑재되어 있다. 체크포인트는 지난달 ‘커넥트라 2.0’ 신제품을 발표하고 이 제품의 본격적인 영업에 들어갔다.
탐지 정확성과 성능, 안정성 중요
현재 웹 애플리케이션 방화벽은 소프트웨어와 소프트웨어를 서버에 탑재한 하드웨어 일체형, ASIC 기반으로 구현된 하드웨어 제품이 있으며, 이 중 하드웨어형 제품이 대세를 이루고 있다. 구성 방식에 있어서도 웹 방화벽은 웹 서버와 스위치 또는 방화벽 사이에 인라인이나 게이트웨이 방식으로 설치되는 제품이 대부분이나 서비스에 장애를 주지 않기 위한 스니핑 모드 지원 제품이나 웹 서버에 플러그인(Plug-in) 모듈 방식으로 장착되는 호스트 기반 제품도 있다.
‘명백한 공격’을 판별해내기 위한 방식도 자가 학습에 의한 포지티브 시큐리티 모델 적용이 일반적이지만 다중 침입 프로파일을 통한 상관관계 분석 기법 사용, 암호화된 토큰(Secure Token)을 부착해 변형 여부를 판별하는 방식 등 다양해 고객의 선택의 폭이 넓어지고 있다.
웹 공격을 막는 웹 애플리케이션 방화벽은 네트웍 속도 저하와 정상적인 서비스 차단을 유발하지 않는 ‘고성능’과 ‘탐지 정확성’이 가장 중요하며, 장비 자체의 안정성이나 장비에 문제가 생기더라도 정상 서비스를 수행할 수 있는 가용성 확보는 필수요소다.
복잡하고 변화가 많은 웹 애플리케이션의 특성상 기존 환경 변화를 최소화하는 편리한 구성 및 운영관리 등도 중요하며, 초기 설치 시 사용자 환경에 적합한 튜닝과 커스터마이징이 필요하기 때문에 공급업체의 컨설팅이나 기술지원 능력도 반드시 고려해야 할 요소로 꼽힌다.
올해 시장 본격 형성할 듯, 제품 검증이 확산의 관건
지금까지 웹 애플리케이션 보안 제품의 ‘정확성’에 대한 의구심은 말끔히 해소되지 않은 상태로 이를 놓고 의견이 분분하다.
일부에서는 오탐지를 미연에 방지하기 위해 구현한 포지티브 시큐리티 모델도 화이트리스트에 없는 정상적인 서비스 요청을 누락시킬 수 있는 위험성을 내포할 수 있다고 제기하고 있다. 특정기간 동안 합법적인 행동을 인식(학습)해 정상 트래픽을 모두 걸러내는 것이 무리인데다 지속적인 변경사항이 발생하는 웹 애플리케이션 환경에서 다양한 애플리케이션마다 변화에 따른 보안정책 설정을 신속하고 편리하게, 혹은 능동적으로 지원할 수 있는지에 불안감을 떨치지 못하고 있는 것이다.
그리고 현재 공급되는 제품들이 대부분 외산이라는 점에서 핵심 엔진이 한글지원을 하지 못해 한글 디렉토리와 입력 구문 등에서 오탐지나 미탐지, 오류를 유발할 수 있다는 의심도 지우지 못하고 있다.
하지만 대부분의 업체들은 저마다 정확성을 높이기 위한 여러 정교한 기술을 사용하고 있으며, 언어에 관계없이 악의적인 공격을 걸러내는 아키텍처를 구사하고 있고 설령 부족한 경우 공급업체들의 기술지원 등으로 해결할 수 있다고 자신하고 있다. 몇몇 업체들은 이러한 문제를 해결하기 위해 한글화 지원을 추진하고 있기도 하다.
이와 같은 기술 논란은 초기 시장의 자연스러운 현상이며 향후 시장에 적용되면서 여러 의구심이나 문제점이 점차 해결될 것으로 예상된다. 제대로 검증된 사례가 없다는 면에서 불안감이 있지만, 현재 시장의 움직임은 이러한 제기가 무색할 정도로 역동적이다.
업계에서는 “지난해 초까지는 웹 애플리케이션 보안의 필요성과 전용 제품에 대한 인식이 전무한 상황이었지만, 하반기에 들어 눈에 띄게 관심도가 증가하면서 시장이 빠르게 형성되고 있다.”며, “이미 정부부처나 지방자치단체, 대학 등에서 예산을 확보하면서 구체적으로 검토하고 있는 곳도 상당수”라고 입을 모으고 있다.
또한, “웹 애플리케이션 보안 제품을 공급하겠다고 국내 총판업체를 찾아오는 업체들이 줄을 잇고 있으며, 올 시장 규모도 적으면 100억원대에서 많게는 400억원대의 규모를 형성할 것”이라며 매우 밝은 전망을 보이고 있다. 이 때문에 일각에서는 공급업체들의 과열 경쟁으로 인한 수익성 악화와 반짝 달아올랐다 금방 식어버리는 ‘냄비’ 시장이 되지 않을까는 걱정도 제기되고 있다.
따라서 공급업체들은 출혈로 이어질 수 있는 저가 경쟁은 지양하고 웹 애플리케이션 전문 보안 제품 필요성과 인식 확산에 주력하면서 시장을 확대할 수 있는 마케팅을 펼친다는 계획을 펼쳐 보이고 있다. 이에 따라 올해 웹 애플리케이션 보안에 관한 기술 세미나나 전시회, 각종 해킹 시연 등이 봇물을 이룰 것으로 예상된다.
신제품, 기능 통합 추세 ‘눈길’
시장 본격화 추세에 발맞춰 많은 업체들의 신제품 준비도 활발하다. 업체들이 내놓을 새로운 버전은 관리 편의성 및 사용자 인터페이스 향상 등에서부터 구현 방식과 기능을 대폭 업그레이드한 것에 이르기까지 다양하다.
두드러진 흐름은 우선, 기존의 소프트웨어 기반 제품은 하드웨어 일체형이나 ASIC 기반의 하드웨어 플랫폼으로 탈바꿈하는 것이다.
기존의 소프트웨어 제품으로는 카바도의 ‘인터두’와 임퍼바의 ‘시큐어스피어’, 워치파이어의 ‘앱쉴드’가 있지만, 이미 ‘시큐어스피어’와 ‘앱쉴드’는 하드웨어 일체형 제품이 공급되고 있다. ‘시큐어스피어’는 올 하반기 ASIC 기반의 하드웨어 플랫폼이 새로 출시되며, ‘인터두’ 또한 올 상반기 중 하드웨어형 신제품이 나올 예정이다.
또 오탐지나 오류를 최소화하기 위한 정교한 프로파일링 및 탐지 기법을 추가하는 움직임도 있다.
특히, 웹 애플리케이션 보안 전문 기능만이 아니라 네트웍 및 딥 인스펙션 방화벽, SSL VPN 등과 같은 기능 통합 움직임이 눈에 띈다.
듀얼시큐어 코리아는 올 3월 출시를 목표로 기존의 스캐너 기능과 룰 기반의 패턴 매칭, 변칙 침입탐지 기능을 수행해 공격을 차단해온 ‘애즈락’에 컨텐츠 보안을 추가하면서 주요 문서나 파일이 외부로 유출되지 않도록 하는 내부정보유출방지 기능을 개발하고 있다. 패치링크의 솔루션을 사용해 패치관리 기능도 제공하고 있으며, 차후에도 부가 보안 기능을 지속적으로 통합할 계획이다.
또한 지난달 출시된 ‘시큐어스피어 3.2’ 신제품에서는 기존 버전에서 지원한 웹 애플리케이션 보안과 DB보안뿐 아니라 네트웍 기반의 딥 인스펙션(Deep Inspection) 방화벽 기능을 제공하고 있다.
F5 네트웍스 코리아도 웹 애플리케이션 방화벽 ‘트래픽쉴드’와 애플리케이션 트래픽 관리 솔루션 ‘빅-IP’, SSL VPN ‘파이어패스’를 하나의 플랫폼에 통합한 새로운 제품을 출시한다.
안철수연구소에서 공급하는 넷컨티넘의 ‘NC-1000’도 이미 웹 애플리케이션 보안뿐만 아니라 네트웍 방화벽과 접근 제어, SSL VPN, 서버 로드밸런싱 기능을 제공하고 있다.
한편, 체크포인트는 지난달 웹 보안 신제품 ‘커넥트라 2.0’을 발표했는데, 이 제품은 ‘웹 인텔리전스’라는 체크포인트의 애플리케이션 방화벽 기술이 기본 장착되어 있다. 이 제품은 웹 애플리케이션 및 엔드포인트(호스트 체크, 스파이웨어 차단 등) 보안을 제공하며, SSL VPN 기능도 수행한다.
이러한 흐름은 향후 웹 애플리케이션 보안 전문업체들이 기존의 네트웍 보안업체들이나 L7스위치 업체들과의 전면 경쟁을 예고하고 있다.
체크포인트처럼 이미 네트웍 보안업체들이 DPI(딥 패킷 인스펙션) 방화벽이나 침입방지시스템(IPS) 등을 개발해 애플리케이션 보안 지원 영역을 확대해오고 있었기 때문이다.
향후 웹 애플리케이션 보안업체들이 네트웍 레벨 지원이나 타 보안 기능을 통합하는 것이 대세로 이어질지는 아직 미지수이지만, 이들 업체들의 흐름이 초기 시장인 웹 애플리케이션 보안 시장의 향후 성장과 업계 판도에 어떠한 영향을 미칠지 궁금하다.
웹 페이지 변조 사이트 급증세
한국정보호진흥원, 웹 애플리케이션 취약점 공격 ‘주의’ 경보 첫 발령
한국정보보호진흥원(KISA)에 따르면, 지난해 웹 해킹에 의한 웹 페이지 변조 사이트 수는 4,812개에 달하며, 지난 12월 한 달 동안 변조된 사이트 수는 지난 한 해 중 최고치인 1,023건으로 나타났다. 이는 지난해 1월 38개의 변조사이트가 발견된 것과 비교할 때 크게 늘어난 수치이며, 지난해 말 급격한 증가 추세를 보여 급기야 12월 28일부터 1월 4일까지 웹 애플리케이션의 취약점을 이용해 국내 2,300여개의 대규모 웹 사이트가 변조되는 피해가 발생했다.
지난해 12월 웹 서버의 취약점을 이용해 파일을 삭제하거나 변경시키는 신종 산티(Santy) 웜이 출현한 후, 그 변종의 출현과 함께 PHP 및 제로보드, 그누보드 등 웹사이트 게시판 프로그램의 취약점을 이용한 공격이 계속 발생되면서 KISA는 지난달 처음으로 웹 애플리케이션 취약점 공격에 ‘주의’ 경보를 발령하기도 했다.
업체별 솔루션 및 전략
듀얼시큐어 코리아 / 애즈락
호스트 기반 제품으로 전용 스캐너 제공
공격경로 추적 및 컨텐츠 보안 기능 강점
듀얼시큐어의 ‘애즈락(ASROC)’은 플러그인(Plug-in) 개념의 모듈을 플랫폼에 관계없이 웹 서버에 설치하는 방식으로 네트웍 성능에 영향을 미치지 않고 모든 웹 공격을 실시간 감시, 분석, 차단한다.
전용 스캐너를 기본 제공, 웹 서버 및 애플리케이션의 취약점을 점검해 룰을 자동 설정하며, 룰 기반의 패턴 매칭과 변칙 침입탐지를 수행해 알려진 공격과 알려지지 않은 공격을 자동 차단한다. 침입을 탐지했을 시 서비스 요청을 거부하거나 세션/IP차단을 수행하며, 공격자와 사용자에게 경고 메시지 및 경보를 발령한다. 특히 공격자 자동 추적 기능을 갖춰 공격자의 가상 IP, 리얼 IP, 프록시 IP 등 공격 경로를 추적해 근원지를 추출할 수 있다.
컴포넌트 기반 개발 방식(CBD)을 사용해 하나의 엔진에서 스캐닝과 패턴매칭, 필터링 등 각각의 영역이 독립 모듈로 구성되며, 다양한 기능을 제공하는 모듈을 추가할 수 있다.
이달 중 중소기업용 제품인 ‘애즈락sm’을 출시해 중소기업 시장 공략을 개시하며, 중요 파일이나 문서를 웹을 통해 외부로 유출되는 것을 방지하는 컨텐츠 보안 기능을 개발해, 올 3월 모듈을 추가할 예정이다.
현재 LG텔레콤, 관세청, 교육개발원, KITS, 열린우리당, 목원대학교 등 10개 대학에 설치해 운영 중에 있으며, ‘애즈락sm’을 KT의 ASP 서비스에 적용할 예정이다.
듀얼시큐어 코리아는 캐나다 업체로 출발한 듀얼시큐어의 지사로 국내에서 사업을 시작했지만, 기술 이전을 통해 토종 개발업체로 거듭난 강점을 바탕으로 완벽한 한글화 및 커스터마이징을 비롯한 영업 및 기술 지원을 보다 적극적으로 해나갈 방침이다. 개발 부문을 강화하기 위해 러시아의 Petrozavodsk 대학 연구소의 인원 2명을 최근 영입했으며, 중소기업 시장 공략을 위해 리셀러를 대거 확보할 예정이다.
현재 대우정보시스템과 아모스랩, 베어링포인트 등 13개 협력업체와 채널을 보유하고 있으며, 올 매출 목표는 50~60억원이다.
디지털아키텍트 / 하이브
시큐어 토큰 사용해 공격 차단 정확성 보장
ASIC 기반의 하드웨어 장비로 구현
디지털아키텍트는 지난해 11월 스페인 개발업체 센트리웨어와 공급계약을 맺고 ‘하이브(HIVE)’의 공급을 시작했다. 이 제품은 ASIC 기반의 하드웨어 제품으로 구현되어 있으며, 기존의 DB나 패턴인식을 기반으로 공격 필터링을 수행하는 것이 아닌 ‘시큐어 토큰(Secure Token)’ 방식을 적용해 보안성을 높인 것이 특징이다.
‘시큐어 토큰’ 방식은 들어오고 나가는 모든 웹 페이지에 토큰이라는 표식을 부착하여 이후 이 토큰의 변질이나 변형 여부를 판별해 보안상 문제가 없는 정상 트래픽만 웹 애플리케이션으로 전달하는 것으로, 오류를 생성하지 않는 100% 보안을 지향한다. 사용자에 의한 어떠한 토큰 변형도 탐지하며 그에 대한 실시간 경고도 수행한다.
SSL 인증 연결을 지원해 서버의 SSL 사용 부담을 줄이며, 트랜잭션이 많은 환경에서 성능을 보장할 수 있도록 기가비트 지원 모듈도 제공한다. 디지털아키텍트는 ‘하이브’를 적용한 가상 쇼핑몰을 구성해 직접 해킹을 시연하는 등 제품 우수성을 집중 부각해 제품을 알려낼 방침이며, 올 상반기 중 레퍼런스를 확보해 이를 바탕으로 하반기 채널을 확보해 본격적인 영업을 추진할 계획이다.
올해 10여곳의 레퍼런스 사이트 확보를 기대하고 있으며, 인터넷 쇼핑몰, 포탈, 공공기관 및 금융기관 등을 중심으로 영업을 펼칠 예정이다.
삼양데이타시스템·웨이브텍코리아·지텍인터내셔널 / 테로스 APS
학습엔진과 포지티브 시큐리티 모델로 오탐지 해결
제로데이 공격에 대처
2003년 말 국내 시장에 출시된 미국 테로스의 ‘테로스(Teros) APS’ 제품은 하드웨어 일체형 장비로, 학습엔진과 포지티브 시큐리티 모델(Positive Security Model)을 사용해 정상적인 애플리케이션 행위를 자동으로 학습하여 이에 어긋나는 동작을 공격으로 간주해 차단하는 솔루션이다.
공격 시그너쳐나 패턴 매칭 기술 없이도 새로운 제로데이 공격에 효과적으로 대응하며, 딥 스트림 인스펙션(Deep Stream Inspec- tion)이라는 테로스만의 독자기술로 양방향의 모든 웹 트래픽 환경에서 해킹을 차단한다. 트래픽의 헤더와 페이로드를 모두 검사해 자체 재구성함으로써 보안 성능도 향상시킨다. 또한 스트림 단위로 트래픽을 분석해 SSL의 완벽한 검사를 수행한다.
국내 시장에 비교적 빠르게 선보여 수협은행, KTIT, 대검찰청, 국방부, 법제처, 한남대학교, 청주과학기술대학교 등 다양한 사이트에 적용되어 있다.
테로스 제품을 공급하는 삼양데이타시스템과 웨이브텍 코리아, 지텍인터내셔널은 레퍼런스를 기반으로 보다 적극적으로 시장을 공략할 계획이다.
테로스와 마스터 디스트리뷰터(총판) 계약을 맺고 제품을 공급해온 삼양데이타시스템은, 올해 웹 보안 사업을 핵심 사업으로 정하고 선도기업으로 부상한다는 목표 아래 최근 보안사업 부문을 신설하고 영업 및 엔지니어를 대폭 보강했다.
LG엔시스와 퓨쳐시스템 등 서울/경기 14개사와 지방 18개사의 산업별 총판체제를 새로이 구축했으며, 협력사 및 고객사를 대상으로 제품 설명회나 세미나 등 프로모션을 강화할 계획이다. 또한 대형 고객사 대상 직접 영업을 강화하고 SI업체와의 협력으로 기업 시장 공략도 확대한다.
웹 스캐너 제품 공급으로 테로스 제품과의 시너지를 창출하고 내부정보유출방지 솔루션 등 웹 보안 연계 상품을 지속적으로 발굴할 예정이다.
올해 매출 목표는 웹 보안 분야만 40억원이며, 연계 보안 상품 등으로 총 60억원의 매출을 보안사업 부문에서 올릴 것으로 기대하고 있다.
웨이브텍코리아는 서울 11개, 지방 15개 협력업체들과의 전략적 협력으로 전국 시장 공략을 강화하며, 웹 보안 제품 필요성 등 고객 인식 확산에 주력할 방침이다.
솔루션 사업부에서 공급하는 SSL VPN, L7스위치, IPS 등 타 보안 제품 공급도 강화할 예정이다.
지텍인터내셔널은 현재 영업 1, 2팀, 전략영업팀을 위시로 하여 웹 보안 솔루션 전담 기술인력을 확보하고 있으며, 금융, 공공, 대학 등의 산업군별 총판 및 협력 대리점을 확보해 활발하게 사업을 전개하고 있다.
하반기 내 테로스 인터페이스 한글화를 지원할 계획이며, 올해 이 제품으로 30억원의 매출 목표를 예상하고 있다.
한편, 웹 애플리케이션 보안 제품뿐 아니라 자체 개발한 암호솔루션인 ‘자코비(ZACOBI)’와 DB보안솔루션 ‘웹캣(WebCat)’ 공급에도 박차를 가해 보안 사업 시너지를 높일 방침이다.
싸이버텍홀딩스 / 시큐어스피어
네트웍 및 웹 애플리케이션, DB보안 지원
상관관계분석 및 다이내믹 프로파일링으로 정확성과 능동성 제공
임퍼바의 ‘시큐어스피어(SecureSphere)’는 최근 하드웨어 일체형으로 구현된 3.2버전이 출시되면서 기존 소프트웨어에서 하드웨어 일체형 제품으로 탈바꿈했다. ‘시큐어스피어 3.2’는 기존 버전에서 지원한 웹 애플리케이션 보안과 DB보안뿐 아니라 네트웍 기반의 딥 인스펙션(Deep Inspection) 방화벽 기능도 제공한다.
이 제품은 시그너쳐 및 프로토콜, 웹 웜 프로파일링, 취약점 프로파일링, 다이내믹 프로파일링(Dynamic Profiling) 등 다양한 방식을 사용해 공격을 취합하고, 상관관계를 분석(Correlated Attack Validation, CAV)해 최종 판결한다. 따라서 탐지 오류을 최소화하고 정확성을 보장하는 것이 특징이다.
먼저, 다이내믹 프로파일링 기능으로 자체 학습 알고리즘을 사용해 지속적인 애플리케이션 변경 등을 탐지해 프로파일에 자동 적용하며, 알려진 공격 시그너쳐와 임퍼바 자체적으로 운영하는 ADC(Application Defense Center)의 진보된 애플리케이션 레벨 시그너쳐를 탐지하며 HTTP 프로토콜을 감시한다. 특히, 상관관계 분석 엔진을 사용해 웹 방화벽, DB 방화벽, 시그너쳐 탐지 등 시큐어스피어의 보안 서비스 전반에 걸쳐 지속적으로 접속한 사용자의 세션 정보를 감시하고 서비스 상에서 연관이 있는 규칙 위반 내용을 종합적으로 분석한다. 즉, 웹 방화벽 상에서 일반적인 애플리케이션 동작이 아닌 비정상 행위로 인식되는 동시에 DB 방화벽에서 비정상 DB 쿼리로 판정되면 명백한 공격으로 판단해 즉각적으로 트래픽을 차단한다.
또한 웹 및 DB 취약점과 웹 웜 프로파일링 기능도 제공해 웹과 DB의 취약점을 지속적으로 찾아내 보안 룰을 적용하며, 제로데이 웹 웜의 독특한 속성을 탐지해 방어함으로써 시그너쳐 없는 보안 위협을 차단한다.
이 제품은 인라인과 스니핑(Sniffing) 모드를 지원하며, 앞으로 지속적으로 기능이 추가될 예정이다. 올 2분기 Intelligence Alert Aggregation 기능 및 GUI를 향상한 3.5버전이 출시되며 3분기 ASIC 기반의 하드웨어 플랫폼이 발표될 예정이다.
‘시큐어스피어’를 공급하는 싸이버텍홀딩스는 이 제품을 다이내믹 프로파일링에 기반한 능동형 웹 애플리케이션 보안 제품으로 차별화를 꾀하는 한편, 웹 애플리케이션 보안뿐 아니라 DB보안 제품 시장을 동시에 공략할 계획이다.
공공기업 및 그룹사를 집중 타깃으로 영업을 펼칠 예정이며, 올해 20억원의 매출액을 기대하고 있다.
안철수연구소 / NC-1000
ASIC 기반 하드웨어로 고성능 제공
관리 및 실제 트래픽 영역 분리해 안정성 보장
지난해 하반기 안철수연구소에서 공급을 시작한 넷컨티넘의 ‘NC-1000’은 ASIC 기반의 고성능 네트웍 및 애플리케이션 보안 게이트웨이다.
다이내믹 애플리케이션 프로파일링(DAP) 기법을 사용해 시그너쳐에 의존하지 않고 합법적인 애플리케이션 행위만을 보장하며, 웹 ACLs를 기준으로 딥 인스펙션 결과를 비교해 트래픽을 허용하거나 차단한다. 또한 웹 사이트 클로킹(Website Cloaking) 기능으로 애플리케이션의 구체적인 정보를 해커와 취약점을 스캐닝하는 웜에 보이지 않도록 보호한다.
중요 정보에 대한 관리 포트와 실제 트래픽을 완전히 격리해 관리시스템과 포트에 장애가 발생해도 실제 트래픽에 영향을 주지 않는 안전한 플랫폼 구조를 가지고 있으며, 접근 제어, SSL 암호화, SSL VPN, 웹 로그 통합 관리, 서버 로드밸런싱 등의 기능도 통합 제공한다.
구축 유연성을 높이기 위해 인라인 모드와 원 암드 모드(One-armed mode)를 모두 지원하며, 초기 설치 시 일정 기간 동안 패시브 모드(Passive mode)로 단계별 보안 튜닝 작업을 수행할 수 있다.
‘NC-1000’은 하반기에 관리 편의성 등을 보강한 업그레이드 신제품이 발표될 예정이다.
안철수연구소는 올해 웹 애플리케이션 시장이 본격 성장할 것으로 예측하고, 공공기관, 금융기관, 대형 그룹사 B2B 사이트 등 100개 타깃 고객을 대상으로 집중 영업을 펼칠 예정이다. 정보보호컨설팅전문업체의 강점을 바탕으로 컨설팅과 정기 리포팅 등 서비스를 연계해 차별성을 부각할 방침이며, 최신 해킹 시연이나 웹 취약점 점검, 고객 대상 기술 세미나 등으로 시장 확산을 위한 다양한 프로모션을 추진할 예정이다.
기존 전문 채널인 디아이시스템 및 넷크루즈 외에도 한솔텔레콤, 윈즈시스템, 아이티드림시스템 등과의 신규 계약으로 채널을 확대할 예정이며, 올해 50억원의 매출 목표를 세우고 있다.
패닉시큐리티 / 피에스스캔웹
국내 웹 환경에 적합, 모든 URL 진단 자동화 수행 강점
상반기 중 웹 방화벽 출시
패닉시큐리티는 지난해 9월 토종업체로는 처음으로 웹 애플리케이션 취약점 스캐너인 ‘피에스스캔웹(PS ScanW3B)’을 출시했다.
‘피에스스캔웹’은 웹 애플리케이션의 취약점을 자동으로 분석하고, 자체적으로 모의 웹 해킹 테스트를 수행해 취약점을 찾아내는 웹 취약점 진단 소프트웨어로, 기존의 취약점 패턴 DB 매칭 방식에서 탈피해 URL 파싱 엔진(Parsing Engine)을 자체적으로 보유해 URL 자동 추출, 웹 애플리케이션 아키텍처에 맞는 분석을 수행하는 것이 장점이다.
▲금융, 공공기관의 모의해킹과 보안컨설팅 경험이 풍부한 해커 출신의 기술진이 직접 개발해 공격자 입장에서의 취약점 점검을 수행하며 ▲모든 URL을 자동 진단하고 ▲국내 웹 환경에서 많이 사용되는 각종 스크립트나 플래시 등의 취약점 분석이 용이하며 ▲국내 웹 개발자의 프로그래밍 습성에 의해 발생하는 각종 취약점 DB를 구축한다. 또한 ▲제품 전체 모듈에서 한글이 지원되며, 고객의 특성화된 점검 방식 구현이 용이하다는 것이 특징이다.
패닉시큐리티는 올해 성능과 사용자 인터페이스 기능을 향상한 ‘피에스스캔웹’의 업그레이드 버전을 출시할 예정이며, 현재 준비 중인 웹 애플리케이션 방화벽을 3분기 중 선보일 계획이다. 또한 RMS(Risk Management System) 업체 이비즈텍과 공동으로 향후 웹 보안의 기술 및 관리적 대응을 극대화 하며, 웹 취약점 결과에 대한 ISO 17799 및 국내 정보보호관리체계(ISMS)를 구현할 수 있는 애플리케이션 위험분석 자동화 도구를 개발해 차별화된 접근을 시도할 방침이다.
올해 ‘피에스스캔웹’으로만 20억원의 매출액을 기대하고 있다.
체크포인트 코리아 / 커넥트라
프로토콜 어노말리 기법으로 웹 애플리케이션 보호
SSL VPN 및 엔드포인트 보안 제공
체크포인트는 지난달 웹 보안 제품 ‘커넥트라(Connectra) 2.0’을 출시했다. 기존의 하드웨어 어플라이언스로 제공되어온 ‘커넥트라’는 이번 새 버전에서는 소프트웨어로도 공급된다. 이 제품은 웹 애플리케이션 및 엔드포인트(호스트체크, 스파이웨어 차단 등) 보안을 제공하며, SSL VPN 기능도 수행한다.
커넥트라에는 ‘웹 인텔리전스(Web Intelligence)’라는 체크포인트의 애플리케이션 방화벽 기술이 기본 장착되어 웹 인텔리전스가 제공하는 웹 취약성을 이용한 버퍼오버플로우 공격과 악성코드를 차단하며, 중요한 사이트의 고유의 특성을 숨겨 1차 레벨의 방어를 제공하는 HTTP 헤더 스푸핑 등 웹 관련 정보에 대한 상시보호 기능을 제공한다. 또한 진보된 스트리밍 검사기법을 사용해 세션 및 애플리케이션 정보에 바탕을 둔 실시간 보안 정책 설정을 가능하게 한다.
웹 인텔리전스는 일부 시그니쳐를 지원하고 있지만, 보안 기능의 90% 이상은 프로토콜 어노말리(Protocol Anomaly) 기법을 이용해 제공한다.
웹 인텔리전스는 기존의 체크포인트 방화벽인 ‘파이어월-1’과 내부보안 제품 ‘인터스펙트’ 등에도 탑재할 수 있다.
체크포인트는 ‘커넥트라 2.0’ 버전 출시를 기점으로 본격적인 제품 홍보 및 공급에 들어가며, SSL VPN과 웹 애플리케이션 보안 시장을 적극 공략할 방침이다.
한국후지쯔 / 앱스캔·앱쉴드
동적 보안 생성 엔진으로 능동형 보안 모델 제공
스캐너 연동 구축 장점
지난해 10월 한국후지쯔는 워치파이어와 국내 총판계약을 맺고 웹 애플리케이션 취약점 분석 소프트웨어 ‘앱스캔(AppScan)’과 웹 애플리케이션 방화벽 ‘앱쉴드(App- Shield)’를 출시했다. 이 두 제품은 애플리케이션 개발에서 진단, 감사, 운영에 이르는 애플리케이션 라이프사이클의 보안 취약성을 끊임없이 자동으로 체크하고 보호한다.
‘앱스캔’은 기존에 개발되어 운영중이거나 새로 개발하는 웹 애플리케이션의 취약점을 다양한 패턴으로 분석하는 솔루션으로, ‘DPRE’라는 자체 특허기술을 사용해 모든 애플케이션과 웹의 취약점을 지능적으로 파악하고 해결책을 제시한다.
‘앱쉴드’는 웹 애플리케이션 서버의 취약성을 이용해 해커들이 공격하는 경우에 웹 서버를 보호해주는 솔루션으로, 웹 서버에 취약성이 있더라도 프로그램의 수정 없이 보안을 보장하는 솔루션이다.
이 제품은 포지티브 모델을 채택하고 있으며, 특허 출원된 동적 보안정책 생성 엔진을 사용해 능동적으로 보안 정책을 적용할 수 있다. 또한 시그너쳐 없이 ‘앱스캔’으로 찾아낸 취약성은 별도의 수작업 없이 프로그램을 수정하지 않고 방어할 수 있다.
현재 앱스캔과 앱쉴드는 각각 5.0와 4.5 버전이 나와있으며, 올 3분기 ‘앱스캔 5.5’와 ‘앱쉴드 5.0’ 신제품이 출시될 예정이다.
한국후지쯔는 보안 사업을 강화하기 위해 최근 보안서비스팀을 신설했으며, 현재 10개의 협력사와 함께 제품을 공급하고 있다. 미국시장에서 입증된 기술 및 시장 우위성을 부각하며 대형 사이트를 중심으로 영업을 집중하며, 특히 올해 집중 공략할 공공기관과 은행, 생보사 등 금융기관을 중심으로 한 50개 타깃 고객을 설정했다.
이미 두 곳의 레퍼런스 사이트를 확보했으며, 올 매출 목표는 50억원이다.
F5 네트웍스 코리아 / 트래픽쉴드
한글화 완료해 1분기 중 애플리케이션 방화벽 출시
하반기에는 트래픽 관리ㆍ방화벽ㆍSSL VPN 통합 제품 발표 예정
F5 네트웍스는 지난해 말 본사에서 출시한 하드웨어 기반 웹 애플리케이션 방화벽 ‘트래픽쉴드(TrafficShield)’의 한글화 작업을 완료해 올 1분기 중 정식 출시한다.
‘트래픽쉴드’는 오토러닝을 수행하는 ‘애플리케이션 시큐리티 플로우 모델’을 사용해 합법적인 트래픽을 선별해 세팅한 룰을 바탕으로 향후 정상 경로를 거치지 않은 행위를 공격으로 간주해 차단하며, 딥 인스펙션 기능도 제공한다.
F5 네트웍스는 올 하반기 현재 공급하고 있는 애플리케이션 트래픽 관리 솔루션 ‘빅(BIG)-IP’, SSL VPN ‘파이어패스(FirePass)’와 ‘트래픽쉴드’를 하나의 제품으로 통합한 새로운 제품을 출시할 계획이며, 이를 통해 애플리케이션 보안 및 관리 솔루션 선두업체로 거듭날 방침이다.
은행, 증권사, 보험사 등 금융기관과 온라인 게임 및 포탈, 전자상거래 업체를 주요 대상으로 영업을 펼칠 예정이며, 전문 보안 채널을 확보해 보안 시장 공략에 박차를 가할 계획이다.
STG시큐리티 / 스캔두·인터두
전문 컨설팅과 제품 공급 다양화로
웹 애플리케이션 전문업체 위상 더욱 강화
카바도의 웹 애플리케이션 취약점 분석 솔루션인 ‘스캔두(ScanDo)’는 크게 분석, 진단, 보고 3단계로 구성되어 있다. 웹 애플리케이션 구조와 컨텐츠(사용 언어 및 DB) 등 사용된 기술을 분석해 이를 바탕으로 애플리케이션 취약점과 자동 모의해킹을 실행하며, 그 결과를 9종의 보고서로 제공한다.
각각의 애플리케이션 특성에 따른 다양한 프로파일 적용으로 특화된 평가를 수행하며, 사용자 공격 스크립트를 지원해 평가기법을 다양화한 것이 특징이다. 스캔두는 웹 애플리케이션 방화벽인 스캔두로 취약점을 전송해 보안 룰을 자동 생성하게 한다.
웹 애플리케이션 방화벽 소프트웨어 ‘인터두(InterDo)’는 포지티브 시큐리티 모델과 러닝 모드를 제공하며, 특히 스캐너인 ‘스캔두’에서 분석한 취약점을 전송해 보안 룰을 자동으로 생성하는 오토폴리시(Autopolicy) 기능으로 편리하고 정교한 웹 애플리케이션 보안을 수행한다. 이 제품은 프로그래밍 및 웹 설정 오류에 대한 모든 보안 기능을 제공하며, 다양한 업무적 특성을 갖는 여러 애플리케이션 지원을 위한 버추얼 호스트 서비스를 제공한다.
‘인터두’는 현재 공급되고 있는 3.5 버전이 업그레이드 되면서 올 상반기 중 하드웨어 일체형 제품이 출시될 예정에 있다.
2003년부터 웹 애플리케이션 보안 사업을 중점적으로 펼쳐온 STG시큐리티는 웹 애플리케이션 보안 컨설팅과 제품 공급을 병행하면서 ‘WAS(Web Application Security) No.1’ 전략을 구사하고 있다. 올해에는 이를 보다 강화하기 위해 웹 애플리케이션 보안 컨설팅 방법론을 개편했으며, 최근 카바도의 제품 외에 임퍼바의 ‘시큐어스피어’ 공급도 개시했다.
현재 국회사무처, SKC&C, 포스코, 우리금융, IBM, KT, 한국전력, 금융감독원, S그룹 등 다수의 고객을 확보하고 있으며, 올해에는 25억원의 매출을 예상하고 있다.