네트웍에서 보안이 가장 큰 이슈로 떠오른 이후 VPN, 방화벽, IDS, IPS 같은 장비들이 속속 출시되면서 2중3중의 보안 체계가 갖추어지기는 했지만 이러한 발전은 기업들에게 새로운 걱정거리를 안겨다주었다. 네트웍 구간과 거쳐 가는 장비가 많아질수록 안정성을 위협할 요소들도 커지기 때문이다. 이런 시점에서 이들 보안 장비에 내장되는 바이패스 네트웍 카드의 등장은 네트웍의 고가용성을 보장할 새로운 솔루션의 출시를 이끈다는 점에서 주목할 만하다.

일반적인 네트웍의 구성은 스위치 포트 중 하나가 앞단의 라우터와 연결되어 WAN 구간으로 나가고 나머지 포트는 웹 서버, DB 서버, 메일 서버 등으로 연결되는 형태를 띠게 된다. 이 때 라우터와 스위치 사이에는 방화벽이 놓이고, 스위치와 메일 서버 사이에는 스팸 차단 서버가 들어가게 된다.
그런데 이런 장치들은 네트웍의 중간 구간에 설치되기 때문에 이 장치들이 죽으면 네트웍이 같이 죽게 된다는 것이 가장 큰 문제점이 아닐 수 없다. 또, 네트웍 카드 내부에 문제가 생겨 카드가 정지해버리면 네트웍도 함께 멈춰버리고 만다는 문제점이 있다.
장비에 장애 생겨도 네트웍 연결 유지
이런 문제를 해결하고자 만들어진 것이 바이패스 기능이다. 바이패스 기능은 보안 장비들이 외부의 공격에 감염되어 제 역할을 못하게 되거나 네트웍 카드 자체에 결함이 생겼을 때 라우터와 연결된 포트가 자신의 역할을 스위치에 직접 연결되는 포트로 넘겨주는 기능을 말한다.
라우터와 연결된 포트는 라우터에서 들어오는 패킷을 방화벽, IPS 등 해당 기능을 하는 CPU로 보내 이상 유무를 확인한 뒤 스위치와 연결된 포트로 내보내게 되는데 평상시에는 이 두 포트가 독립적인 상태로 유지된다. 그런데 장애상태를 감지하면 바이패스 기능이 두 개의 포트 사이에 자동적으로 새로운 물리적 연결을 구성해 패킷의 이상 유무를 확인하는 작업을 거치지 않고 스위치와 연결된 포트로 내보내기 때문에 보안 기능은 할 수 없게 되더라도 네트웍 연결 자체에는 지장을 주지 않게 되는 것이다.

카드 자체에 바이패싱 기능 구현
비용 부담 획기적으로 줄여
솔웨이테크가 선보이고 있는 이스라엘 실리콤 사의 기가비트 이더넷 바이패스 네트웍 카드(제품명 ‘바이패스 기가비트이더넷 어댑터’)는 이러한 바이패스 기능을 내장하고 있다는 점에서 눈길을 끈다. 일반적으로 보안 장비 자체가 다운되는 것을 막기 위한 가장 쉬운 방법은 보안 장비 두 대를 설치해 이중화를 하는 것인데, 이 방식은 비용 부담이 너무 큰 것이 단점이다.
그래서 최근 많이 사용되는 방식이 보안 장비 바깥에 바이패싱 기능을 하는 외장형 박스를 놓는 것이다. 이 박스를 보안 장비에 탑재된 네트웍 카드의 포트 2개와 연결해 바이패싱 기능을 담당토록 함으로써 네트웍 가용성을 유지하고 있는 것. 하지만 이 역시 비용 부담이 만만치 않다.
솔웨이테크 김진수 이사의 설명에 따르면 가장 범용적으로 쓰이는 기가비트 이더넷 카드 가격이 120만원 정도인 데다가 바이패싱 기능을 가진 외장형 박스 가격이 400만원에 이른다. 하지만 실리콤의 바이패스 네트웍 카드는 250만원 안팎이면 구입할 수 있어 장비 업체들에게는 비용을 크게 낮추면서 바이패싱 기능을 제공할 수 있는 기회가 생기는 셈이다. 특히 “외장형 박스에 물리적인 충격이 가해질 수 있는 위험을 원천봉쇄했다는 점에서 안정성 또한 비교가 되지 않는다.”는 것이 김진수 이사의 설명이다.

카드 자체에서 미러링 기능도 해결
솔웨이테크의 설명에 따르면 이 바이패스 네트웍 카드는 방화벽, IPS, IDS를 비롯해 게이트웨이 형태로 들어가는 모든 장비에 사용할 수 있다고 한다. 현재 약 20개 업체 정도가 이 카드를 쓰고 있으며, 테스트 중인 업체들도 적지 않다. 네트웍 보안을 하는 업체들은 대부분 관심을 보이고 있다고.
김진수 이사는 “스팸메일을 차단하기 위해서 스팸메일 서버를 이중화하지는 않는다. 스팸메일 소프트웨어 하나에 2천만원을 호가하기 때문이다. 바이패스 카드는 이런 고민을 해결해주는데서 빛을 말한다.”고 말했다. 드문 경우이긴 하지만 캐싱 서버에 탑재되기도 했다.
실리콤은 조만간 ‘TAP 바이패스 카드’도 선보이게 된다. 이 카드는 탭이 어떤 포트로 들어온 데이터를 다른 포트에 미러링하는 기능을 한다는 점에서 큰 관심을 모으고 있다. 공격이 들어오거나 특정 트래픽에 부하가 걸리는 등의 상황을 다른 포트와 연결된 시스템들에서도 모두 볼 수 있게 되기 때문이다.
김진수 이사는 “기존에는 이러한 기능을 시스템에서 직접 했기 때문에 미러링 과정에 부하가 생길 수밖에 없는 단점이 있었지만 이제는 카드 자체에서 미러링을 해서 내보내기 때문에 시스템에 전혀 부하를 주지 않는다.”며, 시장 공략에 자신감을 보였다.
또, 올 연말이면 PCI 익스프레스를 지원하는 바이패스 카드도 선보일 것이라고 한다.

기가비트이더넷 지원하는 유일한 제품
솔웨이테크는 작년 중순부터 이 제품이 나오기 시작 직후부터 국내에 공급해오다 올해 1월에 총판 계약을 맺었다. 실리콤은 L7 스위치로 유명한 라드웨어를 자회사로 거느리고 있는 이스라엘 라드그룹의 자회사 중 하나이며, 나스닥에 상장되어 있는 기업이다.
현재 한두 업체가 바이패스 네트웍 카드를 내놓고 있지만 RJ45 포트, 광 포트 등 다양한 포트를 지원하는 제품을 내놓지는 못하고 있으며, 안정성 또한 차이가 큰 것으로 알려져 있다. 특히 기가비트 용량을 지원하는 바이패스 카드는 실리콤 제품이 유일하다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지