/해외 제품 속속 등장
/웹 애플리케이션 보안 인식 미흡, 제품 성능과 기능 검증 필요

국회, 국방연구원, 원자력연구소 등 주요 국가기관 10여 곳에 발생한 중국발 해킹 사건으로 전 국가적 사이버 안전에 대한 우려의 목소리가 높아진 가운데 잇따라 국가정보원 해외 홍보용 사이트와 한국정보통신수출진흥센터 사이트가 해킹을 당해 한동안 변조된 사건이 발생했다. 이는 쉽게 접근할 수 있는 웹 서버나 웹 애플리케이션의 취약점을 이용해 권한을 획득한 공격자가 마음대로 웹 페이지를 바꾼 것으로, 최근 들어 이와 같은 웹 애플리케이션 해킹 사고는 빈번하게 발생하고 있다.
웹 애플리케이션 해킹은 홈페이지 훼손뿐 아니라 웹 서버나 애플리케이션과 연결된 내부 시스템에 침투해 고객 정보를 빼내거나 변조하는 등의 목적으로 많이 시도되고 있으며, 기존에 많이 구축해온 방화벽이나 IDS 등 기존 보안 솔루션을 무력화시키고 있어 이에 대한 대비책 마련이 시급하다. 이 때문에 최근 들어서는 웹 애플리케이션 영역을 전문적으로 보호할 수 있는 시스템이 개발되고 있으며, 국내에도 다양한 형태의 제품이 소개되고 있다.
이유지 기자 yjlee@infotech.co.kr


인터넷을 통한 웹 환경이 발달하면서 항상 개방되어 있는 ‘웹’을 이용한 공격이 일반화·집중화되고 있다. 특히, 민감한 데이터를 보유하고 있는 한편, 개발 및 구성에서 많은 취약점과 오류를 내재해 있는 웹 애플리케이션에 대한 해킹은 점점 더 심각해지고 있다. 최근 종종 접할 수 있는 기업이나 기관의 웹 사이트 변조나 서비스 중단, 고객 정보유출 등의 사고들은 모두 웹 애플리케이션 공격에 해당된다.
웹 애플리케이션의 취약점을 이용한 해킹은 시스템 패치나 설정 변경 등 기존의 방식으로는 대응이 어렵고 설치된 보안 기술의 허점을 이용하거나 우회해 방화벽이나 IDS와 같은 보안 솔루션으로 일일이 차단이 어렵다. 또한 전문적인 해킹도구나 스캐닝 도구를 사용하지 않더라도 브라우저 상에서 얼마든지 쉽게 해킹할 수 있을 뿐 아니라 사용되는 공격 방법이 다양하며, 사후 공격 흔적을 찾기 어려워 추적이 불가능하거나 심지어 해킹 여부조차 판별하지 못할 수 있다는 점에서 문제가 심각하다.
기업이나 기관들은 외부로부터 들어오는 불법적인 접근을 차단하기 위해 방화벽 등 기본적인 보안솔루션 구축을 통해 서비스 포트를 막아놓아 시스템을 보호하고 있지만, 웹은 서비스를 위해 항상 포트를 열어놓기 때문에 해커들은 웹 자체를 공격하거나 이를 경유지로 삼아 연결되어있는 내부 시스템에 접근을 시도하고 있다.
최근 발생하는 침해사고 중 웹 해킹은 전체 침해사고의 75%를 차지하며, 300개 사이트의 웹을 공격해본 결과 97% 이상의 공격 성공률을 보여준다는 가트너 그룹의 발표는 웹 애플리케이션 보안의 취약성과 필요성을 나타내주고 있다.

웹 해킹 보편화
애플리케이션 보안 취약성 심각
웹 애플리케이션 해킹은 외부에 노출돼 있는 웹 사이트를 통해 아파치나 마이크로소프트의 IIS 같은 웹 서버와 HTML, 자바(JAVA), XML, PHP 등으로 구현돼 있는 웹 프로그램의 취약점을 이용하는 공격이다. 이러한 공격은 잘 알려진 프로그램에 내재되어 있는 취약점을 이용하는 것뿐 아니라 최근 기업이나 기관별로 다양하게 개발해 사용하고 있는 커스터마이즈된 애플리케이션의 취약점도 얼마든지 찾아낸다. 따라서 각각의 홈페이지 자체에서 이미 엄청난 취약점을 내포해 중요한 정보를 쉽게 노출시킬 수 있게 된다.
공격의 목적은 해당 웹 사이트의 변조나 훼손뿐 아니라 웹 애플리케이션들이 연결되어 있는 기업 내부의 데이터베이스에 접근해 정보를 빼내기 위함이다. 즉, 웹 서비스를 위해 열려진 80 포트와 HTTP 프로토콜을 이용해 합법적으로 방화벽을 뚫고 들어와 DMZ이라 불리는 웹 서비스 영역을 거쳐 이와 연결된 기업 내부 시스템의 중요 데이터에 접근한다.
만약 인터넷 쇼핑몰이나 인터넷 뱅킹, 포탈들이 웹 해킹에 의해 시스템이 뚫리면 얼마든지 고객 개인정보가 유출될 수 있으며, 이에 따른 금전적인 손실이 발생할 수 있는 결과도 쉽게 가늠할 수 있다. 또 해커가 웹 해킹 기법을 이용해 전자정부 구축 일환으로 실시하는 웹 기반 대민 서비스를 목표로 공격한다면 개인정보 유출이나 서비스 중단, 국가 이미지 실추 등 엄청난 피해를 예상할 수 있다.
웹 애플리케이션 공격 사고는 2001년 7월과 9월 발생한 잘 알려진 웜인 코드레드와 님다가 대표적이며, 이들은 모두 웹 서버의 취약점을 이용해 홈페이지를 변조하거나 서비스거부(DoS) 공격을 유발해 네트웍을 마비시키거나 트로이목마나 백도어를 심어 정보를 유출 또는 손실시키는 피해를 발생시켰다.

가장 근본적인 대책은
‘보안 고려한 애플리케이션 설계’
웹 해킹에 대한 문제가 심각하고, 또 피해 사례도 증가하고 있음에도 불구하고 그동안 웹 애플리케이션 보안에 대한 솔루션은 제대로 제시되지 못해왔으며 그에 따른 보안 투자도 이루어지지 못했다.
일반적으로 애플리케이션 보안을 위해서는 개발 초기 단계에서부터 우선적으로 보안을 고려해 설계, 구축하고 운영하는 것이 가장 근본적인 보안 강화 방안이다. 하지만 개발 환경이나 일정상 보안 프로그래밍이나 코딩이 제대로 되지 못하고 있으며, 개발 단계에서부터 기본적으로 적용할 수 있는 보안 웹 애플리케이션 개발 표준 방법론이나 자동화 툴도 미비한 실정이다. 설령 개발 단계에서 완벽한 프로그래밍을 구성했다고 해도, 이후에 이루어지는 수정 등에 의한 변경으로 결국 또다른 취약성을 발생시키기도 하기 때문에 “근본적인 인식이 자리하지 않는 한 웹 애플리케이션 보안 체제는 수립할 수 없다”고 전문가들은 지적한다.
애플리케이션 관련 피해를 유발하지 않기 위한 방안으로 기업들은 애플리케이션 개발 후 평가를 수행하거나 IT감사나 모의해킹을 통해 각종 애플리케이션을 진단해 발견되는 취약성에 대한 코드 수정 작업을 진행한다. 그러나 대개 수십만 라인의 코드로 구성된 비즈니스 애플리케이션 취약성 코드 수정 작업에는 오랜 시간과 비용이 소요되며, 지속적인 프로그램 수정/변경이 발생하는 애플리케이션의 안전성을 유지하는데에는 어려움이 따르고 있다.
앞에서 언급한 여러 보안 취약성과 문제점들 때문에, 최근 전통적인 보안업체들도 애플리케이션 단의 공격을 막을 수 있는 딥 패킷 인스펙션(Deep Packet Inspection, DPI), 컴플릿 컨텐츠 인스펙션(Complet Content Inspection, CCI) 기능을 방화벽에 추가하거나 IPS와 같은 새로운 컨셉의 제품을 개발해 내놓고 있다.
대표적인 업체는 딥 패킷 인스펙션 방화벽과 IDP(Intrusion Detection And Prevention)를 내놓은 주니퍼네트웍스(옛 넷스크린), 웹 인텔리전스를 개발해 기존 방화벽에 통합한 체크포인트, CCI 기술을 선도하고 있는 포티넷 등이다.
그러나 이들 제품은 현재 네트웍 레벨에서 웹 애플리케이션 영역을 보호함으로써 성능과 기능에 한계를 갖고 있다고 평가되고 있다. 이에 따라 최근에는 웹 애플리케이션 방화벽 또는 웹 애플리케이션 게이트웨이 및 프로텍션, HTTP 방화벽, 웹 애플리케이션 IPS 등의 이름으로 전용 제품을 개발해 사업을 펼치는 업체들이 등장했으며, 국내에도 다양한 방식의 웹 애플리케이션 보안제품이 소개되고 있다.
현재 웹 애플리케이션 전용 방화벽은 토종업체가 기술을 개발한 국산 제품은 없는 실정이지만 토종업체들을 통해 다양한 방식과 형태, 가격의 제품들이 국내에 출시되어 있다.

HTTP 필터링 및 취약점 진단, SSL 수행
웹 애플리케이션 보안 제품들은 방화벽의 개방된 대표적인 웹 서비스 포트인 TCP 80포트와 443 포트로 합법적으로 들어오는 HTTP와 HTTPS 프로토콜에 대한 필터링 및 트래픽/세션 차단을 수행하며, SSL 기능도 지원한다. 즉, 외부에서 웹 서버로 들어오는 모든 트래픽을 검사해 DMZ 영역을 보호하는 동시에 DB, 비즈니스 등 내부 시스템에 접근할 수 없도록 한다.
기본적으로 OWASP(Open Web Application Security Project)의 10대 웹 애플리케이션 취약성과 해킹으로부터 보호하며, 각 벤더별로 수천 개의 취약성과 해킹 리스트를 보유해 해당 공격을 막는다. 대부분의 제품들이 자체적인 학습 엔진 방식을 사용해 모든 행위를 분석해 침입을 판별하며, 자체적으로나 별도의 페어 제품으로 웹 애플리케이션 전용 스캐너를 갖춰 보유하고 있는 다양한 취약점을 점검하고 이에 대한 공격을 차단한다.
따라서 웹 애플리케이션 공격에 사용되는 부적절한 입력값 검증 및 접근통제, 부적절한 계정 및 세션, XXS(크로스 사이트 스크립팅) 취약점 등으로 데이터 노출이나 변조, 공격도구 업로드, 인증 및 권한 우회, 시스템 명령 시행, 서비스 방해 등을 방지한다.
웹 애플리케이션 전용 솔루션 공급업체들은 최근 지원 영역을 애플리케이션 단까지 확장한 DPI(딥 패킷 인스펙션) 방화벽이나 IPS 등은 애플리케이션 레벨 방어에서 한계를 갖고 있다고 주장한다. 이들 업체에 따르면, 방화벽이나 IPS 제품은 기존 방화벽, IDS 등 보안 솔루션이 방어하지 못했던 분산서비스 거부(DDos)나 인터넷 웜, 애플리케이션 공격을 일부 방어하지만, 주로 시그너쳐에 의존한 패턴 매칭으로 애플리케이션 영역의 ‘이미 알려진’ 공격을 차단한다. 또 패턴으로 제작되지 않는 웹 애플리케이션 공격을 감지하거나 기업에서 자체적으로 개발한 웹 애플리케이션에 대한 취약점을 이용한 시그너쳐를 제공하지 못하는 한계가 있으며, 네트웍 레벨과 함께 애플리케이션 레벨의 패킷 컨텐츠 필터링을 수행함으로써 성능이 급격히 저하되는 현상을 발생시킨다.
최근 가장 도입이 활발한 IPS의 경우, L7영역의 시그너쳐 외에 행위/학습 기반의 어노말리(Anomaly) 기법을 사용해 방화벽보다 많은 애플리케이션 레벨 공격을 방어한다고 해도, 일반적이고 모든 프로토콜을 지원한다는 면에서 한계를 드러내며, SSL 내부에 숨어있는 암호화된 공격 등에 대한 탐지가 불가능하다.

제품 속속 출시, 다양화
국내 시장에 전용 제품을 가장 먼저 소개한 업체는 STG시큐리티로, 웹 애플리케이션 보안 컨설팅을 전문적으로 수행하면서 2003년 초에 카바도의 취약점 진단 스캐너인 ‘스캔두(ScanDo)’와 ‘인터두(InterDo)’를 공급하기 시작했다.
이후 하드웨어 어플라이언스 형태의 ‘테로스 APS(Teros APS)’를 삼양데이타시스템과 웨이브텍 코리아, 지텍에서 공급을 개시했으며, 올 초부터 싸이버텍홀딩스가 임퍼바(옛 웹코호트)의 ‘시큐어스피어(SecureSphere)’를, 안철수연구소가 지난달부터 넷컨티넘의 ASIC 기반 제품인 ‘웹 시큐리티 게이트웨이 NC-1000’을 소개하기 시작했다. 또한 캐나다 업체인 듀얼시큐어가 국내에 지사를 설립해 지난 4월부터 호스트 기반의 컴플릿 컨텐츠 인스펙션(CCI) 필터링 제품인 ‘ASROC(아스락)’을 제공하고 있으며, 라이거시스템즈는 리베로정보기술과 함께 개발한 웹 서비스 보안솔루션 ‘제로스 가드(XEROS Guard)’를 개발해 영업을 벌이고 있다.
웹 애플리케이션 보안을 위한 제품은 주로 웹 서버와 스위치, 방화벽 사이에 설치되며 서비스에 영향을 미치지 않는 ‘고성능’과 정상적인 서비스 요청을 떨어뜨리지 않는 ‘탐지 정확성’은 필수 요소다.
현재 시장에서 볼 수 있는 제품의 구현 방식은 하드웨어 어플라이언스와 ASIC 기반의 제품, 그리고 소프트웨어 형태가 있으며, 웹 서버 앞단에 인라인 방식(프록시)으로 설치되는 제품과 IDS처럼 스니핑(패시브) 방식으로 들어오는 모든 행위를 탐지·분석해 이상 트래픽/세션을 차단하는 제품이 있다.
또한 웹 서버에 플러그 인 개념의 모듈(에이전트)로 장착되는 호스트 기반 제품도 있으며, 다른 제품들과는 달리 웹 서버가 있는 서비스 존과 그 뒷단의 내부 망 간에 설치되어 DB 및 내부 시스템을 직접적으로 보호하는 독특한 제품도 나와 있다.
업계에서는 최근 다양한 방식으로 개발된 제품이 출시됨에 따라 고객들의 선택할 수 있는 폭이 넓어짐으로서 앞으로 시장 형성에 긍정적인 영향을 미칠 것으로 예상하고 있다.

‘인터두’와 ‘시큐어스피어’ 레퍼런스 보유
소프트웨어 방식의 제품으로는 대표적으로 STG시큐리티에서 공급하고 있는 ‘인터두’와 싸이버텍홀딩스에서 공급하는 ‘시큐어스피어’가 있다. 그러나 시큐어스피어는 이달 중 3.0 제품으로 업그레이드 되면서 어플라이언스 타입의 제품이 출시될 예정이다.
‘인터두’는 가장 먼저 국내 시장에 소개되어 국회사무처 등 이미 적용된 사이트를 갖고 있으며 국내 다양한 환경에서 BMT와 테스트를 거친 제품이다. 프록시 방식의 인라인 설치로 자칫 구성에서 부담을 가질 수 있지만 웹 애플리케이션 전문 컨설팅을 수행하는 공급업체인 STG시큐리티의 컨설팅 능력과 함께 수준 높은 웹 애플리케이션 보안 체제를 구축할 수 있다. 이 제품은 웹 애플리케이션 취약성 스캐너인 ‘스캔두’를 연동 구축하는 오토폴리시(Autopolicy) 기능을 통해 더욱 빠르고 정확한 웹 보안을 제공한다.
싸이버텍홀딩스에서 제공하는 ‘시큐어스피어’는 스니핑 방식으로 구성되어 성능 저하에 영향을 미치지 않으며, 웹 애플리케이션뿐 아니라 데이터베이스(DB)를 보호하는 장점을 갖고 있다. 상관분석 공격탐지 기법을 통해 사용자의 비정상 행위들의 순서와 형태를 지속적으로 분석해 탐지 오류를 최소화해 정확성을 높였다. 단지 하나의 시그너쳐나 비정상 행위가 아닌 다중 레벨의 복합적인 이벤트를 수집해 분석함으로써 판단된 명백한 공격을 차단한다.
이달 중 하드웨어 어플라이언스인 3.0 제품이 출시되면서 스니핑 방식뿐 아니라 인라인 방식의 옵션을 제공해 운영 편의성과 보안성에 대한 다양한 고객 요구를 수용할 수 있게 되었다. 현재 한국카톨릭대학교와 한국정보인증에 적용되어 있다.

하드웨어 솔루션 성능 월등
소프트웨어에 비해 월등한 성능과 편리한 운영 관리를 제공하는 하드웨어 형태의 제품은 지난해 말부터 삼양데이타시스템과 웨이브텍 코리아 등이 공급하고 있는 ‘테로스 APS’가 대표적이며, 지난달 안철수연구소 계약을 맺은 넷컨티넘의 ‘웹 시큐리티 게이트웨이 NC-1000’이 국내에 출시되면서 ASIC 기반의 제품도 시장에 등장했다.
‘테로스 APS’는 학습 엔진을 통해 모든 행위를 추적, 자체적인 HIM(HTML Interaction Model)을 벗어나는 행위를 기록해 패턴을 조사하고 규칙을 만들어 접근 시도를 승인하거나 거부한다. 또한 포지티브 시큐리티 모델(Positive Security Model)을 채택, 정상적인 애플리케이션의 동작을 파악해 공격 시그너쳐나 패턴 매칭 기술 없이도 새로운 웹 공격을 즉각적으로 대처하며, 딥 스트림 인스펙션(Deep Stream Inspection)과 멀티레이어 클로킹(Multilayer Cloking) 기술을 사용해 트래픽을 검사/분석하며 웹 사이트 침입을 방어한다.
지난달 소개된 넷컨티넘의 ‘웹 시큐리티 게이트웨이 NC-1000’은 ASIC 기반의 게이트웨이로, IDC 등 대규모 환경에도 적용할 수 있는 제품이다. 이 제품은 네트웍 기반의 공격 차단 기능도 제공하며, 리던던시와 페일오버 기능을 내장하고 있다. 특히, 관리 포트와 실제 트래픽을 완전히 격리해 관리 시스템과 포트에 장애가 발생해도 실 트래픽에 영향을 주지 않는 안전한 플랫폼 아키텍처를 제공한다.

웹 보안 접근방식 차별화
듀얼시큐어코리아와 라이거시스템즈는 현재까지 국내외 출시되어 있는 웹 애플리케이션 보안 제품의 기본적인 방식과는 차별화된 방식과 개념으로 웹 서비스 보안 영역을 접근하고 있다.
먼저, 캐나다 업체인 듀얼시큐어는 지난 4월 국내에 정식으로 지사를 설립하고 호스트 기반의 제품인 ‘ASROC’을 선보였다. 이 솔루션은 웹 서버에 플러그인(Plug-in) 모듈로 구성되어 운영체계에 부하를 주거나 네트웍 성능에 관계없이 침입을 탐지하고 차단한다. CCI(컴플릿 컨텐츠 인스펙션) 필터링 방식으로 패킷 컨텐츠의 모든 내용을 조합해 정확한 검사를 수행하며, 전용 스캐너를 기본으로 제공해 취약성을 자동 점검해 룰을 설정한다. 웹 서버로 들어오는 악의적인 공격에 대해 서비스 거부, IP/세션 차단을 수행할 뿐 아니라 공격자의 가상 IP, 리얼 IP, 프락시 IP 등 공격 경로를 추출해 공격자를 추적하는 포렌식 기능을 제공하고 있다.
라이거시스템즈와 리베로정보기술이 협력해 개발된 ‘제로스 가드’는 웹 서버가 있는 서비스 존과 연결된 DB와 내부 시스템을 보호하는데 초점이 맞춰진 제품으로, 1차 방화벽으로 보호되는 DMZ의 웹 서버 및 애플리케이션과 2차 방화벽으로 연결되는 내부 시스템 사이에 설치되어 열려진 포트로 들어오는 침입으로부터 내부 시스템을 보호해 고도의 보안성을 제공한다. 즉 2차 방화벽으로 보호되어 내부로 들어오는 포트를 미개방해 보안이 보장된 상태에서 필요한 서비스 요청을 처리해, 2차 방화벽으로 서비스 포트를 막은 경우, 웹 서비스를 위한 서비스 존의 임시 DB서버를 필요없게 하며 관리 비용도 절감하는 효과를 얻을 있다.
타 웹 보안 제품이 제공하는 HTTP 필터링 기능도 컴포넌트와 컨설팅을 통해 구현할 수 있다.
2001년 ‘제로스웨어’라는 이름으로 개발되었으며, 2002년 6월 강남구청에 처음 적용되어 3차에 걸쳐 확장 적용해왔다. 현재 고양시청과 FnC코오롱, HBC 코오롱 등에 적용돼어 운영하고 있다.
제품 공급 및 기술지원을 담당하고 있는 라이거시스템즈는 이 제품을 CBD팀에서 관장, 웹 시스템 구축 시 안전한 웹 서비스 아키텍처 구성을 위한 목적으로 주로 제안되고 있다.

제품 검증 필요, 내년 본격 성장기 진입 예상
지금까지 웹 애플리케이션에 대한 보안 필요성과 전용 제품에 대한 인식은 상당히 부족했다. 사이트 변조 등 보유하고 있는 웹 인프라에 눈에 띄는 명확한 문제가 발생하기 이전에는 대부분 웹 보안의 중요성을 크게 느끼지 못하고 있다.
기업들은 방화벽이나 IDS, 안티바이러스, PKI, 서버보안 제품 등으로 보안 체제를 수립할 수 있다고 믿었으며, 비즈니스 환경이 최근 웹으로 급속하게 전이되고 그에 따른 위협이 커지면서 이제 막 전문적인 대비책 마련에 대한 요구가 나타나는 단계이기 때문이다.
또 그동안은 웹 애플리케이션 전용 보안에 관한 전문적인 솔루션도 제시되지 못했으며, 현 시점에도 항상 인터넷을 통해 서비스를 해야 하며 지속적인 변경사항이 발생하는 웹 서비스에 보안 제품을 적용한다는데 따른 부담감을 안고 있는 상황이다. 상충되는 이슈인 보안과 성능, 다시 말해 보안 적용으로 인한 성능 저하 문제는 웹 애플리케이션 보안 분야에서는 더욱 민감하게 나타나고 있다.
따라서 전용 솔루션이 폭넓게 시장에 적용되기 위해서는 우선 서비스 지연이나 장애가 발생하지 않는다는 점이 확실히 보장되어야한다. 또 제품 설치시나 애플리케이션을 변경할 때마다 시스템 구성에 변경을 가하지 않고 자동으로 수행해 수동 정책 업데이트로 설정 오류로 인한 취약점을 내포하는 결과를 불러오지 않도록 하는 기능도 반드시 필요하다.
더구나 웹 기반의 애플리케이션의 복잡성과 민감성으로 솔루션 자체의 기능뿐 아니라 구축업체의 컨설팅과 기술 지원 능력도 도입에서 관건이 된다.
현재 웹 애플리케이션 방화벽을 공급하는 업체들은 여전히 웹 애플리케이션 보안과 전용 솔루션에 대한 인식은 부족하지만 앞으로 조만간 시장이 빠르게 형성할 것으로 내다보고 있다.
업체들은 “시장이 본격적으로 형성되기 위해서는 일정 시간이 필요하긴 하겠지만, 올 하반기에 들면서 시장의 관심도가 작년 말이나 올 초와는 분명히 다르다”며 시장 분위기를 긍정적으로 전하고 있다. 또한 “시장 확산을 위한 시간이 필요할 뿐 반드시 성공할 시장”이라며 자신감을 드러내고 있다.
최근 공공, 금융, 기업 등 각 산업군에서 관련 RFP(제안요청서)가 발주되고 실제 테스트도 구체적으로 진행되고 있는 상황이기 때문에 하반기와 내년 시장은 본격적인 도입기로 빠르게 진입할 것으로 전망하고 있다.
현재 삼성이나 SK 등 그룹사에서 적극적인 검토를 진행하고 있으며 일부 공공기관과 은행권의 움직임도 구체적이다. 특히, 인터넷 포탈과 쇼핑몰 등 서비스 제공업체들이 의무적으로 시행해야하는 안전진단이 본격적으로 진행되면서 관련 솔루션 요구는 더욱 커질 것으로 보인다.
현재 각 공급업체별로 구체적인 도입을 기대할만한 사이트 수를 최소 10군데에서 30군데까지도 예상하고 있는 것을 볼 수 있으며, 대표적인 레퍼런스 사이트 확보를 통해 전용 시스템의 인지도 확산과 검증이 성공적으로 진행된다면 현재 보안업계 최대 이슈인 네트웍 IPS의 시장도 넘볼 수 있을 것으로 기대되고 있다.
그러나 보안 시장에서 빠르게 진행되는 통합 흐름과 더불어 방화벽, IPS 업체들이 애플리케이션 영역의 보안 기술을 지속적으로 개발해 기존 제품에 추가하는 양상으로 볼 때 향후 이러한 웹 애플리케이션 방화벽 시장이 독자적으로 형성될 수 있을지는 결론짓기 어렵다. 일부에서는 방화벽 업체들이 정교한 인스펙션 기능을 강화해 2~3년 후에는 전용 제품이랑 경쟁할 것으로 내다보고 있기 때문이다.

■업체별 솔루션과 전략

안철수연구소/웹 시큐리티 게이트웨이 NC-1000(넷컨티넘)
ASIC 기반의 고성능 제공
관리와 실제 트래픽 분리해 안전한 아키텍처 구성

지난달 고객 대상 보안 솔루션 세미나를 개최에 국내에 소개된 넷컨티넘의 ‘웹 시큐리티 게이트웨이 NC-1000’은 ASIC 기반의 고성능 애플리케이션 보안 게이트웨이로, IDC 등 대규모 환경에도 적용할 수 있는 제품이다. 이 제품은 네트웍 기반의 공격 차단 기능도 제공하며, 리던던시와 페일오버 기능을 내장하고 있다.
특히, 관리 포트와 실제 트래픽을 완전히 격리해 관리 시스템과 포트에 장애가 발생해도 실 트래픽에 영향을 주지 않는 안전한 플랫폼 아키텍처를 갖고 있다.
안철수연구소는 세미나 등 마케팅을 통해 웹 보안 필요성을 환기시키는 한편, 금융권과 대기업을 우선적인 대상으로 영업을 벌일 방침이다. SI의 애플리케이션 구축 프로젝트와의 연계 방안도 추진하고 있다.
채널로는 DI시스템, 넷크루즈, SP코리아가 있으며, 연 내 레퍼런스 구축을 목표로 하고 있다.
안철수연구소는 지난달 함께 내놓은 퀄리스가드의 취약점 스캐너가 향후 웹 애플리케이션단 스캐닝 기술이 추가되면서 웹 애플리케이션 보안 제품 공급에 함께 활용할 계획이다.

싸이버텍홀딩스/시큐어스피어(임퍼바)
애플리케이션 및 DB 보안 제공
상관분석 탐지 기법으로 정확한 탐지 수행
지난해 중순 국내에 출시한 ‘시큐어스피어’는 스니핑 방식으로 구현해 성능 저하나 장애 포인트를 유발시키지 않는 장점을 갖고 있으며, 웹 애플리케이션뿐 아니라 데이터베이스(DB)까지도 직접 보호하는 솔루션이다. 이달 중 어플라이언스 형태의 3.0 업그레이드 제품이 출시되면서 인라인 설치 방식이 가능해 운영 편의성과 보안성에 대한 다양한 고객 요구를 수용할 수 있게 되었다.
‘시큐어스피어’는 상관분석 공격탐지 기법을 통해 사용자의 비정상 행위들의 순서와 형태를 지속적으로 분석해 정확성을 제공한다. 하나의 시그너쳐나 비정상 행위가 아닌 다중 레벨의 복합적인 이벤트를 수집해 분석함으로써 명백한 공격을 차단한다.
현재 한국가톨릭대학교와 한국정보인증에 적용되어 있으며, 금융권과 전자상거래 업체, 공공기관을 대상으로 타깃 영업을 수행하고 있다.
싸이버텍홀딩스는 이 제품 외에도 체크포인트의 ‘웹 인텔리전스’도 기존 방화벽과 통합 공급한다.

듀얼시큐어 코리아/아스락
컴플릿 컨텐츠 인스펙션 필터링으로
정확한 검사 수행, 공격자 추적 기능 강점

지난 4월 국내에 정식으로 지사를 설립한 듀얼시큐어는 국내에 호스트 기반의 제품인 ‘ASROC(아스락)’을 선보였다. 이 솔루션은 플러그인(Plug-in) 모듈을 웹 서버에 설치되는 방식을 적용해 운영체계나 네트웍 성능에 관계없이 침입을 탐지하고 차단한다.
컴플릿 컨텐츠 인스펙션(CCI) 필터링 방식으로 패킷 컨텐츠의 모든 내용을 조합해 정확한 검사를 수행하며, 전용 스캐너를 기본으로 제공해 취약성을 자동 점검해 룰을 설정한다. 웹 서버로 들어오는 악의적인 공격에 대해 서비스를 거부하거나 IP/세션 차단을 수행할 뿐 아니라 공격자의 가상 IP, 리얼 IP, 프락시 IP 등 공격 경로를 추출해 근원지를 추적하는 포렌식 기능도 제공하고 있다.
현재 KT ASP 시범서비스에 적용해 운영하고 있으며, 열린우리당, 목포대, 광주교대 등 15개 사이트에 도입을 완료했다. 현재 대우정보시스템과 베어링포인트, SK C&C 등과 파트너로 협력하고 있으며, 통신, 금융, 공공 시장별 특화 채널인 인네트, 두성컴텍, SLE가 총판을 담당하고 있다. 타 제품 벤더와는 달리 지사가 직접 한국에 진출했다는 강점을 바탕으로 한글화 지원 및 커스터마이징, 영업 및 기술 지원을 보다 적극적으로 해나갈 방침이다.
또한 한국 지사는 아-태지역 마케팅 본부 역할과 함께 R&D 센터로서 국내 환경에 맞는 제품을 직접 개발해 출시할 방침이며, 향후 네트웍 레벨의 통합 보안제품도 출시할 계획이다.
향후 1년 이내 100억원의 매출을 기대하고 있다.

STG시큐리티/인터두(카바도)
취약점 점검 스캐너와 연동 구축
정교한 웹 애플리케이션 공격 방어

가장 먼저 국내 시장에 소개되어 국내 다양한 환경에서 BMT와 테스트를 거쳤으며, 국회사무처 등 레퍼런스 사이트를 갖고 있다. 프록시 방식의 인라인 소프트웨어 제품인 ‘인터두’는 애플리케이션 취약성 스캐너인 ‘스캔두’를 연동 구축하는 오토폴리시(Autopolicy) 기능을 통해 더욱 빠르고 정확한 웹 보안을 제공한다.
웹 애플리케이션 전문 컨설팅을 수행하는 공급업체인 STG시큐리티의 컨설팅 능력과 함께 수준 높은 웹 애플리케이션 보안 체제를 구축할 수 있다.
웹 애플리케이션 보안 전문업체로 차별화를 꾀하고 있는 STG시큐리티는 현재 시장 입지를 더욱 강화하기 위해 기업 이미지 제고 등 변신을 추진 중이며, 현재 제공하는 ‘인터두’ 외에 다양한 환경에 적용할 수 있는 웹 애플리케이션 보안 제품을 추가로 공급하는 것뿐 아니라 그동안의 컨설팅과 솔루션 공급 경험을 바탕으로 국내외에 자사 제품 개발 계획을 수립하고 있다.
STG는 올해 웹 애플리케이션 보안 솔루션의 순매출 19억원을 목표로 하고 있다.

제로스가드(리베로정보기술)ㆍ라이거시스템즈
안전한 웹 서비스 아키텍처 설계
DB 및 내부시스템 보안성 제공

라이거시스템즈와 리베로정보기술이 공동으로 개발한 ‘제로스 가드’는 웹 서버가 있는 서비스 존과 연결된 DB와 내부 시스템을 보호하는데 초점이 맞춰진 제품이다. 1차 방화벽으로 보호되는 DMZ의 웹 서버 및 애플리케이션과 2차 방화벽으로 연결되는 내부 시스템 사이에 설치되어 열려진 포트로 들어오는 침입으로부터 내부 시스템을 보호해 고도의 보안성을 제공한다. 즉 2차 방화벽으로 보호되어 내부로 들어오는 포트를 미개방해 보안이 보장된 상태에서 필요한 서비스 요청을 처리해, 2차 방화벽으로 서비스 포트를 막은 경우 웹 서비스를 위한 서비스 존의 임시 DB서버를 필요없게 하며 내부 DB와의 동기화(Sync) 문제로 인한 관리 비용도 절감하는 효과를 얻을 있다. 타 웹 보안 제품이 제공하는 HTTP 필터링 기능도 자바 기반의 환경에서 컴포넌트와 컨설팅을 통해 구현할 수 있다.
‘제로스가드’는 웹서버로부터 메시지 트래커 서버(MTS)와 메시지 트래커 클라이언트(MTC), 서비스 컨테이너와 프록시 라이브러리로 구성된다. 2001년 ‘제로스웨어’라는 이름으로 개발되었으며, 2002년 6월 강남구청에 처음 적용되어 3차에 걸쳐 확장 적용해왔으며, 고양시청과 FnC코오롱, HBC 코오롱 등에 설치돼 현재 운영하고 있다.
제품 공급 및 기술지원을 담당하고 있는 라이거시스템즈는 이 제품을 CBD팀에서 관장, 웹 시스템 구축 시 안전한 웹 서비스 아키텍처 구성을 위한 목적으로 주로 제안하고 있으며, 보안에 민감한 금융기관이나 공공기관 등을 우선적인 타깃으로 영업을 벌이고 있다.
아직까지 부족한 웹 서비스 보안 설계 필요성과 인식을 확산시키기 위해 제품 홍보 및 마케팅을 활발히 펼칠 예정이며, 보안컨설팅 업체 등 채널/영업망을 확보할 방침이다. 현재 제품 개발 및 업그레이드는 리베로정보기술이 담당하고 있다.

삼양데이타시스템ㆍ 웨이브텍 코리아ㆍ지텍/테로스 APS(테로스)
웹 애플리케이션 공격 대처

지난해 말부터 국내 시장에 공급되기 시작한 ‘테로스 APS’는 하드웨어 일체형 장비로 우수한 성능을 제공한다. 학습 엔진을 통해 모든 행위를 추적, 자체적인 HIM(HTML Interaction Model)을 벗어나는 행위를 기록해 패턴을 조사하고 규칙을 만들어 접근 시도를 승인하거나 거부하며, 포지티브 시큐리티 모델(Positive Security Model)을 채택, 정상적인 애플리케이션의 동작을 파악해 공격 시그너쳐나 패턴 매칭 기술 없이도 새로운 웹 공격을 즉각적으로 대처한다.
또한 딥 스트림 인스펙션(Deep Stream Inspection)과 멀티레이어 클로킹(Multilayer Cloking) 기술을 사용해 모든 웹 트래픽의 헤더와 페이로드를 검사해 자체적으로 재구성함으로써 보안 성능을 향상시키며, URL 해석을 통합해 웹 사이트 침입을 방어한다.
현재 삼양데이타시스템과 웨이브텍 코리아 등 3개 공급업체들은 웹 보안의 필요성에 대해 적극적으로 홍보하면서 산업군별 레퍼런스 확보에 주력하고 있다.
특히, 삼양데이타시스템은 웹 전용 스캐너인 스파이다이나믹스의 ‘웹인스펙트’와, 웨이브텍은 아벤테일의 SSL VPN 제품을 함께 공급하면서 웹 보안 영역에서 시너지를 창출할 것으로 기대하고 있다.

체크포인트코리아, 싸이버텍홀딩스, 코오롱정보통신 등/웹 인텔리전스
실시간 보안 정책 설정

전통적인 네트웍 방화벽 업체인 체크포인트는 지난 5월 웹 애플리케이션 방화벽 기술인 ‘웹 인텔리전스’를 내놓고 애플리케이션 보안 시장에 진출했다.
체크포인트의 ‘웹 인텔리전스’ 기술은 체크포인트의 모든 제품에 통합 제공된다. 기존 네트웍 방화벽에서 부가적으로 웹 애플리케이션 기능을 제공하는 것이 아니라 웹 인텔리전스가 별도의 웹 애플리케이션 영역을 검사/차단한다. 웹 취약성을 이용한 버퍼 오버플로우 공격과 기타 악성 코드를 차단하며, 진보된 스트리밍 검사기법을 통해 세션 및 애플리케이션 정보에 바탕을 둔 실시간 보안정책을 설정한다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지