외부 침입감지·차단 '일석이조'
정보유출 자동탐지…사전에 조치
미지의 공격도 적절한 대응 가능

올해 보안장비 시장의 화두는 단연 '능동형'이다. 지난해 터진 1.25 인터넷 대란을 떠올리더라도 인터넷 보안을 책임지는 데 '능동형'이 유일한 대안이라는 것에 고개를 끄덕일 수 밖에 없다. 1.25 인터넷 대란 당시 수동형 보안장비는 속수 무책이었고 전국의 인터넷망은 순식간에 마비상태에 빠졌다. 이 때문에 공격을 감지하는 동시에 공격을 차단해야 한다는 인식이 각인됐다.
능동형 보안장비의 대표주자는 IPS(Intrusion Prevention System, 침입방지시스템)라고 할 수 있다. IPS는 공격을 탐지하는 것 뿐 아니라 공격이 일어나는 것을 근본적으로 방어한다. 또한 침입을 발견하면 즉시 해결에 나선다. 특히 데이터베이스 안에 알려지지 않은 공격을 방어하는 능력도 주목할만 하다.
이는 그간 보안장비 시장을 주도해 오던 IDS(침입탐지시스템)가 문제를 발견하고 보고에 그쳤던 것에 비하면 놀라운 기능이라고 할 수 있다. 시장에서 들려오는 IDS의 종말론도 IPS 탄생에서 비롯됐다.

개념 및 특징
IDS가 외부 침입을 감지하고 방화벽이 이를 막는 역할을 한다면 IPS는 침입을 감지하고 차단하는 두 가지 기능을 모두 갖추고 있다.
IPS는 네트워크에서 공격 서명을 찾아내 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션으로 정의된다. 수동적인 방어 개념의 방화벽, IDS와 달리 침입 경고 이전에 공격을 중단시키는데 초점을 두고 있다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지해 차단 조치를 취함으로써 인가자의 비정상 행위를 통제한다.
이는 단순한 네트워크단에서 탐지가 제공하지 못하는 각종 서버를 위해 알려지지 않은 공격까지도 OS(운영체계) 레벨에서 실시간 방어와 탐지기능을 제공한다.
IPS는 △손실 발생전에 대응 △독립된 에이전트 △SNMP 트랩데이터 이용 가능 △콘솔당 1000개 에이전트 이용 △관리보고 기능 △시스템 리소스 접근 방지 △로그정보 Export 등을 특징으로 하고 있다.

IPS 필요성
기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격감지시 관리자에게 전달하는 역할을 한다. 그러나 님다나 코드레드 같은 새로운 공격을 막기에는 역부족이다.
IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다.
이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전방어를 취한다. IPS는 DoS(서비스거부)/DDoS(분산서비스 거부) 등과 같은 공격을 차단시킴으로써 보안 인프라와 네트워크의 영향을 제거하며 공격에 대한 조사로 인해 소요되는 관리자 운영 부담을 없앤다. 특히 기존 보안시스템을 피해서 서버로 공격하는 님다, 코드레드 등을 실시간으로 막아낼 수 있다.
IPS 장점으로는 △서버의 동작 가능 시간 보장 △시스템 노출 방지 △방화벽 이면 보호기능 제공 △보안 기술에 필요한 시간 제거 △자동 업데이트 메커니즘 △꾸준한 모니터링 필요없음 등이 있다.

시장현황 및 전망
시장조사 기관인 가트너에 따르면 IPS가 올해 IDS 시장의 50%, 2005년까지는 75%를 차지할 것으로 전망하고 있다. 국내 시장의 경우 지난해 소개 단계를 이미 지났으며 올해는 본격적인 성장기에 진입할 것으로 예상된다.
한국정보보호산업협회(KISIA)는 올해 국내 IPS 시장이 715억원 규모로 성장할 것으로 보고 있으며 업계는 1000억원 시장에 달할 것으로 예상하고 있다. 지난해 말 한 보안장비업체가 국내 기업의 IT 담당자를 대상으로 설문조사한 결과에서도 IPS가 L7 스위치, 방화벽, IDS를 제치고 가장 도입하고 싶어하는 보안장비로 꼽혔다.
국내 IPS 시장은 토종기업과 외국 기업간 치열한 시장 선점 다툼으로 불이 뿜고 있다. 지난해 하반기 이후 국내외 보안장비 업체들이 경쟁적으로 IPS 장비를 내놓고 IPS 시장에 집중하는 모습이다.
국내 업체로는 CHK한강, 정보보호기술, 윈스테크넷, 조은시큐리티, 센터비전, LG엔시스 등 전문 업체들이 IPS 시장에 뛰어들고 있다. 또한 시큐아이닷컴, 인프니스, 시큐어소프트 등 보안장비 업체들이 기존 장비에 IPS 기능 탑재를 이미 실현했거나 서두르고 있다.
국내 업체들은 외산에 비해 우세한 가격경쟁력과 기존 보안제품 공급을 통해 확보한 고객 기반, 소비자 상황에 꼭 맞출 수 있는 커스터마이징 등을 강점으로 내세운다.
이에 반해 외국기업은 안정성과 고성능을 차별성으로 부각시키고 있다. 한국네트워크어쏘시에이츠, 탑레이어네트웍스, 넷스크린, 한국ISS, 엔터라시스네트웍스 등이 국내 IPS 시장에 진출, 시장선점을 시도하고 있다.

인증이 시장선점 열쇠
아직 IPS에 대한 평가인증은 없다. 그러나 공공기관 및 금융권 시장이 빠르게 형성하면서 CC인증 제도를 도입해야한다는 주장이 설득력을 얻고 있다. 국내 CC인증 기관인 한국정보보호원(KISA)도 올해중으로 IPS를 CC인증 품목에 포함시킬 것이라고 밝히고 있다.
IPS가 CC인증 품목에 도입될 경우 IDS, VPN 등과 마찬가지로 소스코드 공개를 꺼리는 외국 업체들이 인증을 받지 않아 최대 수요처인 공공 및 금융권 시장에서 국내 업체가 유리한 고지를 점할 수 있을 것으로 전망된다. 이 때문에 IPS 시장에 참여하고 있는 국내 기업들은 CC인증이 시장선점 열쇠로 보고 CC인증 획득에 만전을 기하고 있다.
센터비전이 방화벽과 IDS의 통합 장비로 CC인증을 추진하고 있으며 윈스테크넷도 IDS의 추가 기능으로 IPS에 대한 CC인증을 위해 한국정보보호진흥원로부터 평가 자문을 받고 있다.
시장활성화 걸림돌로는 인지도 부족을 여전히 제기하고 있다. 불경기인 상황에서 신기술을 도입하는 데 기업들이 쉽게 지갑을 열고 있지 않아서이다. 또한 대용량 유해 트래픽을 한꺼번에 처리하는 기능도 빨리 해결해야할 과제로 지적하고 있다.

김영길 기자 young@koit.co.kr