2007년 11월 28일
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
부상하는 웹 보안 시장, 패권 경쟁 불꽃
외산 VS 국산 한판 승부 … 성능·가격·인지도 향상 등이 성장 관건
웹 애플리케이션 방화벽이 올해 보안 시장을 뜨겁게 달구고 있다. 특히 최근 웹 방화벽의 오픈소스가 공개되면서 웹 방화벽 제품 개발에 대한 장벽이 낮아져 국내 업체들이 속속 웹 방화벽 시장에 진입하고 있다. 이미 국내 웹 방화벽 업체수는 약 10여 개에 달해 미국 등 글로벌 웹 방화벽 업체들의 숫자와 거의 맞먹는 수준에 이르렀다.
관련 전문가들은 “이미 포화상태에 이른 기존 방화벽, VPN 업체들이 새로운 차세대 보안 시장으로 웹 애플리케이션 방화벽을 주목하고 있다”며 “신규로 웹 방화벽 제품을 개발하거나 웹 방화벽 제품을 이미 보유한 업체들과 새로 시장에 진입하려는 업체들의 합종연횡으로 웹 방화벽 시장의 경쟁은 갈수록 치열해질 것”이라고 전망하고 있다. 고객들의 인식변화도 웹 방화벽 시장 성장에 한몫할 전망이다. 늘어나는 웹 애플리케이션 공격에 대비해 웹 방화벽을 구매하려는 고객들의 요구도 커지고 있는 것.
그러나 늘어난 업체수만큼 낮아지는 가격과 고객의 기대에 못 미치는 제품 성능 등은 시장 성장의 걸림돌로 꼽히고 있다. 더욱이 웹 방화벽의 표준이 아직 정확하지 않은 상태라 기능에 못 미치는 제품을 웹 방화벽이라는 이름을 붙여 출시하는 사례도 늘어날 것으로 보여 사용자의 세심한 관심도 요구되고 있다. 올해를 기점으로 본격 성장할 것으로 기대되는 국내 웹 애플리케이션 방화벽 시장의 현황을 점검해본다.
장윤정 기자·linda@datanet.co.kr
웹 애플리케이션 보안제품은 웹 해킹 및 웜으로부터 핵심적인 웹 애플리케이션을 보호하는 전용 솔루션을 의미한다. 전용 웹 애플리케이션 보안제품은 웹 애플리케이션의 취약성을 진단할 수 있는 웹 스캐너와 웹 애플리케이션 게이트웨이로 나눌 수 있다. 웹 애플리케이션 게이트웨이는 흔히 기존 방화벽처럼 웹 애플리케이션을 전문적으로 차단해준다는 의미로 웹 애플리케이션 방화벽이라고 지칭한다.
웹 애플리케이션에 대한 공격이 늘어나며 웹 애플리케이션을 전문적으로 보안해 줄 수 있는 웹 방화벽에 대한 관심이 날로 증가하고 있다. 특히 최근 리니지 등 웹 상에서 온라인 게임의 계정정보 탈취 사건과 중국발 해킹 등으로 인한 피해들이 늘어나면서 웹 방화벽을 구축하려는 고객들이 늘어나고 있다. 이에 힘입어 국내 웹 방화벽 시장의 규모도 하루가 다르게 커져가고 있다.
본지가 지난해 11월호에서 관련업체들을 대상으로 조사한 바에 의하면 2005년 웹 방화벽 시장의 규모는 약 70억원, 2006년 시장 규모는 약 300억원대에 이를 것으로 집계됐다. 2006년 5월말 본지가 조사한 2005년 국내 웹 방화벽 시장 규모는 약 60억원, 2006년 시장규모는 관련 업체들의 목표 매출액 합계에 따르자면 약 300억원에 육박했다. 그러나 실제적인 시장 형성은 약 150억원대에 그칠 것으로 추정된다.
지난해 약 60억원·올해 약 150억 원 예상
지난해 11월 본지가 조사한 바에 의하면 2005년 관련 업체들의 예상 매출액은 약 60억원 가량이었다. 아직 매출액 집계가 끝나지 않아 실제보다 조금 높게 잡았던 경향이 있었는지 2006년 5월말까지 본지가 재 조사한 결과에 의하면 약 60억원 가량으로 나타났다. 비공개로 통계자료를 위한 용도로 본지에 몇몇 업체들이 밝힌 내용을 바탕으로 합산해보면, 지난해 연말에도 실제적인 매출보다 조금 높게 잡았던 경향이 있는 것으로 조사됐다. 따라서 이렇게 낮아진 업체들의 실제 2005년 매출액과 비공개로 밝힌 업체들의 매출액을 합산하면 지난해 약 60억원 가량의 시장 규모를 형성한 것으로 조사된다.
또한 지난해 11월 조사시에도 관련 업체들이 대부분 2006년 예상 매출액을 약 30억원 안팎으로 설정해 약 300억원에 육박하는 것으로 나타났다. 올해 역시 업체들이 대부분 예상 매출액을 약 30억원 내외로 설정해 업체들의 예상 매출액을 합산하면 올해 웹 방화벽 시장에 대한 기대치는 약 300억원 가량인 것으로 분석된다. 그러나 업체들의 예상 매출액이 상당 부분 현실보다 업체의 기대치를 반영했다는 점과 현재 업체들의 레퍼런스 수와 하반기 예정된 프로젝트의 수 등을 감안하고 관련 전문가들의 의견을 종합하면 올해 웹 방화벽 시장은 약 150억원 안팎이 될 것으로 추정된다.
또 지난해 연말 본지가 조사한 결과에 의하면 각 업체들의 웹 방화벽 관련 레퍼런스는 약 80개 내외였으나 2006년 5월말 현재 본지의 조사에 의하면 2배 가량 증가한 약 170개에 이르렀다. 6개월 사이 2배 이상 웹 방화벽 레퍼런스가 늘어났다는 것은 올해 전반적인 웹 방화벽 시장의 전망에 긍정적인 청신호를 보인다. 그만큼 고객의 인지도와 필요성이 빠르게 증가하고 있다는 반증이라는 것.
하지만 업체들의 수익은 기대만큼 높지는 못하다. 웹 방화벽 제품의 가격이 갈수록 하락하고 있어 지난해 중소형급 제품이 약 8천~9천만원 가량이었다면 올해는 5~6천만원 가량으로 약 20~30% 가량 낮아졌다. 제품 가격 하락은 국내 업체들이 앞다퉈 웹 방화벽 제품을 개발, 출시 또는 수입하면서 경쟁이 치열해져 당분간 계속될 것으로 보인다.
지난 2004년까지 외산 업체 중심으로 진행돼오던 국내 웹 방화벽 시장이 지난해 국내 업체들이 연달아 국산 웹 방화벽 제품을 내놓으며 조금씩 국내 업체들이 향후 시장을 주도해갈 움직임이 엿보인다.
물론 아직까지는 외산 제품들이 시장에서 주류를 이루고 있지만 국내 제품들의 숫자가 늘어나는 가운데 시장의 판도가 국내 업체들 중심으로 바뀔 조짐을 보이고 있다는 것. 더욱이 최근 웹 방화벽 개발의 주요 소스가 오픈되며 국내 업체들의 웹 방화벽 개발 움직임이 탄력을 받고 있다. 한 업체 관계자는 “포화된 국내 보안 시장에서 새로운 차세대 먹거리로 웹 방화벽을 주목하고 있다”며 “기존 방화벽과 IPS 등 자사가 가진 보안 제품의 기능을 활용해 웹 방화벽의 기능과 합쳐 새로운 제품을 내놓으려는 시도가 올 하반기부터 본격화될 것”이라고 전망했다.
웹 방화벽, 국내 업체 중심으로 재편(?)
실제로 시큐아이닷컴은 최근 통합 유해트래픽 차단 솔루션인 ‘NXG IPS 6000-WAF’ 제품을 발표했다. 이 제품은 웹 공격 및 침해사고에 대응할 수 있도록 구현됐으며 IPS 기능 이외에도 웹 방화벽, 안티 바이러스, 이메일 및 OWASP(국제웹보안협회)의 10대 취약점공격 방어에 효과적이라며 시큐아이닷컴은 웹 방화벽과 IPS 통합 시장에 도전한다고 밝혔다.
컨설팅 업체인 인포섹은 파이오링크와 손잡고 지난 2005년 10월 이후 공동 협업으로 웹 보안 스위치 ‘웹프론트(WEBFRPONT)’를 개발했다. 인포섹에서 제품 소스 등을 제공, 개발단계부터 협력했으며 지난달 말에 세일즈 및 마케팅에 관한 정식계약을 체결하고 파이오링크의 총판으로 웹 방화벽 사업을 개시할 방침이다.
인포섹은 제품 개별 판매는 물론 컨설팅 고객들에게도 웹 방화벽을 제안해 시너지를 올릴 계획이다. 모니터랩도 자사의 웹 방화벽으로 지난해 연말부터 한컴기술연구소, 인젠시큐리티서비스와 협력 계약을 맺고 웹 애플리케이션 보안 ASP 서비스 사업을 개시했다.
윈스테크넷도 기존 자사의 IPS 고객들이 웹 방화벽을 추가로 구입하기를 원하거나 IPS 구축시 웹 방화벽도 함께 구축하기를 원하는 고객이 많아 직접 개발 또는 기존 웹 방화벽 업체들과의 제휴를 통해 웹 방화벽 사업에 뛰어들 것을 고려중이라고 알려졌다.
또 시큐어소프트의 보안 사업 부문을 인수해 보안 사업을 개시한 유니포인트(구 우노시스템)도 웹 방화벽의 기능을 방화벽과 IPS에 추가할 계획도 있어 관련 기술에 대해 검토하고 있는 중이라고 밝혔다. 이외에도 기존 방화벽, IPS 등을 영업하는 다수의 업체들이 웹 방화벽을 차기 제품으로 개발 또는 제휴를 추진중이다.
심지어 한 해외 웹 방화벽 업체의 관계자는 “적당한 채널을 구해 국내 웹 방화벽 사업을 활성화시키려고 해도 저마다 자체 제품 개발을 준비하려는 추세라 좋은 채널을 구하기가 어렵다”고 토로했다. 그는 또 “웹 방화벽이 최근 오픈 소스가 돌고 있는데다 애플리케이션단이라 복잡한 로직이 들어가는 것도 아니여서 진입 장벽이 높지 않다. 향후 국내 웹 방화벽 시장은 국내 업체들에 의해 주도될 것으로 보인다”라고 덧붙였다.
하지만 이렇게 국내 업체들이 웹 방화벽 시장에 너도나도 뛰어들다보면 가격 하락과 저가수주 경쟁이 심화될 것은 뻔하다. 또 제품의 품질보다는 외형이나 관리 툴에만 신경쓰고, 제품의 지속적인 업그레이드에는 신경을 쓰지 않는다면 제품의 퀄리티가 낮아질 우려도 있다. 혹자는 결국에는 예전 방화벽 시장에서의 소스 오픈 상황과 비슷하게 진행될 것이라는 전망을 내놓기도 한다.
또 웹 방화벽이 자금 회전율이 빠른 제품이 아닌데다 여러 대가 공급되는 제품도 아니고 전산담당자만으로 구입 결정이 내려지는 것이 아니라 전산, 각종 애플리케이션 서버 담당자, 임원진 등 여러 단계의 검토를 거쳐야하는 제품의 특성 때문에 섣불리 사업을 개시했다가 문을 닫는 경우도 생길 수 있다. 실제로 디지털아키텍트는 美 센트리웨어의 ‘하이브’ 제품을 공급하다가 판매부진으로 웹 방화벽 사업을 중단했다. 아이자이어로보틱스도 기존 파이오링크에서 L7스위치를 공급받아 자사의 추적 기능 등을 탑재해 웹 방화벽을 개발했지만 파이오링크에서 자체 제품이 출시됐고 그간의 판매부진으로 레퍼런스를 하나도 내지 못한 상황에서 웹 방화벽 사업은 개점휴업 상태인 것으로 알려졌다.
이렇게 웹 방화벽 시장의 장밋빛 전망에 이끌려 섣불리 시작했다가 낭패를 보는 경우가 생길 수 있기 때문에 확실한 기술력을 갖추는 것은 필수다. 
올해 최고의 화두 ‘CC인증’
그러나 이런 걱정에도 불구하고 웹 방화벽 사업은 분명 매력적이다. 섣불리 시작하면 실패하겠지만 제대로 된 기술력과 사업력을 갖추고 시작한다면 국내 시장은 물론 해외 진출까지 가능하다. 현재 웹 방화벽 전문 업체는 미국에 약 10여개, 이스라엘에 3개 정도로 소수지만 이미 국내에는 자체 개발한 웹 방화벽 솔루션을 갖춘 기업이 10여 개에 이르고 있다. 따라서 웹 방화벽 사업을 시장 분석과 계획에 따라 집중 육성하면 국내시장은 물론 해외 시장에서 통할 수 있는 능력이 충분하다는 평가다. 따라서 관련 업계는 치밀한 전술과 전략, 그리고 정부의 전폭적인 지원도 절실하다.
한편 본지가 조사한 ‘국내 주요 웹 보안 업체 현황’<표>를 봐도 관련 업체들이 주 타깃으로 첫손에 꼽고 있는 곳이 공공, 금융, 포털 등임을 알 수 있다. 실제 웹 보안제품을 도입한 사이트도 보안상 고객들이 실명을 밝히기를 꺼리지만 공공과 금융 등이 다수를 차지한다. 포털, 게임 등은 아직 대용량 트래픽을 견뎌낼 만한 제품이 없다며 웹 보안 제품의 도입을 망설이는 편이지만 해킹 등 웹 침해사고로 인해 웹 보안 제품을 가장 목말라하는 사이트라는 점에서 관련 업계의 구미를 당기게 하는 고객군이다.
하지만 가장 많은 수요를 보일 것으로 예상되며 트래픽이 적고 설치 환경이 복잡하지 않은 공공 고객이야말로 관련 업체들의 1순위 타깃이다. 이에 관련 업계에서는 인증을 빨리 받는 업체가 공공 시장을 선점할 수 있을 것으로 내다보고 있다. 이들은 국제공통평가인증(CC)인증을 빨리 받기 위해 분주한 행보를 보이는 등 CC인증 확보는 올해 웹 보안 시장의 최대 미션으로 떠올랐다. 특히 정부에서 각 공공 기관에 웹 방화벽 설치에 대한 지침을 내려 공공기관의 웹 방화벽에 대한 필요성은 높지만 CC인증 및 국정원 보안성 심사 등을 받은 제품이 드물어 도입이 지연되고 있다.
아직 웹 방화벽 업체중에 CC인증을 받은 업체는 국내외를 통틀어 거의 없는 상황이다. 하지만 빠르면 올 하반기, 늦어도 내년 상반기경이면 거의 모든 국내 업체들이 CC인증을 획득하고 공공 고객 몰이에 나설 전망이다. 외산업체들은 국정원의 보안성 인증 등으로 국내 공공 시장에 공급할 수 있다는 보장이 없는 상황에서 CC인증을 받는 것은 모험이라며 CC인증에 쉽게 도전하지 않을 듯한 분위기다.
그러나 아직 웹 방화벽에 대한 기준과 사례가 없어 CC인증을 받는 것이 쉽지만은 않다. 특히 웹 방화벽의 성능과 보안 기능이라는 것의 기준이 모호해 저마다 자사 제품이 우수하다고 주장하는 형편이라 적절한 가이드라인이 시급하다는 지적이다. 이에 CC인증은 단순히 인증받은 제품을 공공 기관에 도입하기 위한 수단이 아니라 웹 방화벽에 반드시 필요한 기능과 일정 수준의 품질을 보장할 수 있는 잣대로 활용되도록 세밀한 조사와 체계적인 평가론에 근거해 정해져야한다고 관련업계는 입을 모으고 있다.
또 우리나라가 이제 국제공통평가기준상호인증협정(CCRA)에 가입해 CC인증을 받는 만큼 해외에 나가서도 통용될 수 있는 제품의 성능과 보안 기능에 대한 정확한 검증이 필요하다는 의견이다. 국내 웹 방화벽 제품이 해외에서 자리잡는 시발점이 될 수 있도록 CC인증은 반드시 고객들이 꼭 필요로 하는 기능과 평가 기준에 의해 정립돼야 할 것이다.
공공 시장 ‘내게 맡겨라’
이렇게 불붙은 공공 고객들을 잡기 위한 경쟁에서 선두에 나선 국내 웹 방화벽 업체들은 공공 고객을 하나라도 먼저 확보, 웹 방화벽 시장의 패권을 장악하기 위해 혈안이다. 공공 시장에서 현재 가장 두각을 보이고 있는 업체들은 모니터랩, 펜타시큐리티 등의 국내 업체들이다. 물론 이들 중에 아직 CC인증을 받은 업체가 없기 때문에 향후 CC인증을 먼저 받는 업체가 공공 시장에서의 유리한 고지를 차지할 수 있을 것으로 예상된다. 하지만 현재로서는 국내 업체들 중심으로 조금씩 수요가 올라오고 있는 공공 시장에서 치열한 격전을 벌이고 있다.
모니터랩(대표 이광후)은 자사의 ‘웹 인사이트(WEB INSIGHT) WI-100, WI-500, WI-1000’ 등으로 공공기관과 대기업, 금융권, 게임업체 등을 공략하고 있다. 현재 한국전산원, 용산구청, 서울지방경찰청, 국무조정실, 한국과학기술원, 행자부, ETRI, 매직스 등 약 22개의 고객사를 확보했다. 이와 함께 모니터랩은 지난해 말 한컴기술연구소, 인젠시큐리티서비스 등과 제휴해 개시한 웹 애플리케이션 보안 ASP 서비스 사업에서도 3개 고객사를 확보했다고 밝혔다.
모니터랩 이광후 사장은 “지난해까지 대부분의 고객들이 웹 보안이 필요하긴 하지만 웹 방화벽 제품의 성능이 딸려서 도입하지 않는다는 분위기였다”며 “그러나 이제 기술이 진보하고 있고 고객의 요구를 충족시킬 수 있을 만한 제품들이 나오고 있어 웹 방화벽의 시장 성장은 시간문제”라고 언급했다. 그는 또 “오는 6월경 CC인증 평가 계약을 체결하고 빠르면 연말경 CC인증과 보안성 검사를 받을 수 있을 것으로 보인다”고 덧붙였다.
모니터랩은 지난해 약 2억5천만원의 매출을 올렸으며 올해 약 25억원의 매출을 달성해 시장 점유율 1위의 선두 업체가 되겠다는 목표를 밝혔다. 또한 향후 모니터랩은 웹 방화벽이란 한정적인 제품 영역을 넘어 보안과 가용성을 종합적으로 고려하는 통합 애플리케이션 솔루션 프로바이더가 되는 것이 목표다.
이 사장은 “웹과 애플리케이션의 사용이 늘어가며 보안 뿐만 아니라 가용성에 대한 문제도 커져간다”며 “결국 보안과 가속 기능이 통합돼 웹 가속기와 웹 방화벽을 합친 제품이 기업이 바라는 모델이라고 보고 통합 제품을 개발, 토털 애플리케이션 프로바이더로 거듭날 것”이라고 강조했다.
지난해 초반 웹 보안 게이트웨이 ‘와풀(WAPPLE Secu- rity Gateway)’을 출시한 펜타시큐리티(대표 이석우)는 그간 고객 대상 시연과 총판, 협력사 등과의 효과적인 협업으로 15개사 이상의 고객을 확보했다. 특히 펜타시큐리티가 최근 실시한 고객 사이트의 무료 스캐닝 프로모션이 상당히 반응이 좋아 스캐닝 후 웹 방화벽 도입으로 이어가도록 탄력을 붙인다는 계획이다.
펜타시큐리티 이석우 사장은 “자사의 웹 암호화 제품 ‘아이작 웹’, DB보안 제품 ‘디아모’ 등을 와풀과 연동해 제안하니 고객 반응이 좋다”며 “기존 디아모와 PKI, 웹 구간 암호화 등을 통합해 고객에게 필요한 솔루션을 제공한다는 전략으로 접근하고 있기 때문에 충분히 승산이 있다”고 강조했다. 펜타시큐리티는 이외에도 웹 애플리케이션에 대한 제품들을 추가적으로 계속 마련해갈 방침으로 웹 방화벽과 함께 고객의 구매를 적극 유도해나간다는 계획이다.
펜타시큐리티는 자사의 와플 웹 방화벽이 아직 포털 등 트래픽이 높은 하이엔드 고객에게 접근하기에는 무리가 있지만 주 타깃인 공공 기관에 접근하기에는 충분하다는 판단 아래 상반기까지는 기능, 하반기에는 성능을 향상시킨다는 전략이다. 또 지난해부터 일본 수출을 준비, 올해는 가시적인 성과가 나올 수 있을 것으로 기대하고 있다. 펜타시큐리티는 가능한 빨리 인증을 받아 공공을 중심으로 국내 웹 방화벽 선두 3위 안에 진입하는 것을 목표로 전력을 다할 방침이다.
국내 업체로서 지난 2004년부터 웹 방화벽 ‘아스록(ASROC)’을 개발, 일찌감치 웹 방화벽 사업을 개시해온 듀얼시큐어(대표 양성화)는 선발업체로서의 장점을 살려 정통부, 관세청, 통계청, 강남구청, 한전, 중부발전, 한국철도시설공단, 교육개발원, LG텔레콤 등 약 22개 고객사를 확보하고 있다.
듀얼시큐어 양성화 사장은 “현재 국정원에서 보안성 검토중이고 CC인증의 EL4+를 추진중이기 때문에 다른 업체들보다 빨리 CC인증과 보안성 검토를 동시에 획득, 공공 기관에서 우위를 차지할 수 있을 것”이라며 “인증을 획득하면 어플라이언스 제품으로 공공 기관에 유통의 개념으로 접근, 가능한 많은 고객을 확보하고 금융, 포털, 통신 등 대형 트래픽이 오가는 고객들에게는 호스트기반의 웹 방화벽으로 안정성 위주의 구축을 시도할 계획”이라고 언급했다.
내년 1/4분기에는 네트워크 장비업체와의 협력을 통해 스위치 기반의 웹 방화벽 제품을 개발, 성능을 높이기 위한 로드맵을 시행할 예정이며 오는 4/4분기에는 중국 지사를 설립, 해외진출도 본격화할 계획이다. 일본, 호주, 중국, 남미 등 해외 진출을 준비해온 듀얼시큐어는 지난해부터 협력사와 함께 영문, 일본판 제품을 제작해 해외로드쇼와 제품소개를 병행해 와 올해 해외시장을 위한 발판을 다지고 내년부터는 본격적으로 해외수출을 가시화할 방침이다.
또 현재 듀얼시큐어는 개인정보 유출 방지용 단독 장비를 개발중이며 이를 웹 방화벽과 함께 묶어 공공 기관 등에 제안할 방침이다. 양 사장은 “지난해까지 어플라이언스 제품이 없어서 놓친 고객들이 많았으나 이제 어플라이언스와 호스트 기반의 제품을 모두 갖춰 유연성있는 고객 대응이 가능할 것”이라며 “웹 방화벽 제품에 대한 노하우와 그간 국내 고객들을 통해 얻은 경험을 바탕으로 국내 웹 방화벽 시장의 선두로 자리매김할 것”이라고 강조했다.
성능과 노하우로 시장 리딩 ‘자신’
한편 엔터프라이즈 고객을 대상으로 기존 제품의 안정성과 성능, 보안 기능상의 우위를 앞세워 국내 웹 방화벽 시장을 수성하겠다는 외산 업체들의 각오도 만만치 않다. 특히 외산 제품은 아직 국내 업체들이 쫓아오지 못하는 성능상의 이점으로 엔터프라이즈, 통신, 게임, 포털 등 대용량 트래픽이 오가는 고객들을 집중 공략한다는 계획이다.
싸이버텍홀딩스(대표 김상배)의 ‘임퍼바 시큐어스피어(SecureSphere)’는 美 네트워크 컴퓨팅의 랩테스트에서 1위를 차지한 성능을 바탕으로 국내 웹 방화벽 시장을 적극 공략한다는 계획이다.
싸이버텍홀딩스 기술지원팀 문현욱 팀장은 “시큐어스피어가 성능 및 기능에서 우수하다는 것은 입소문으로 퍼져있었지만 회사 차원의 홍보가 부족했다”며 “영업사원을 통하거나 세미나를 개최하는 등 시큐어스피어의 홍보에 특히 주력할 것”이라고 밝혔다. 또 채널 영업지원을 통한 영업 활성화도 올해 싸이버텍홀딩스의 목표다. 현재 구축돼 있는 채널위주로 웹 보안에 대한 영업 및 기술교육을 실시하고 기존 제품과의 패키징 판매 등 특정 시장 대상의 프로모션 진행으로 웹 방화벽 활성화에 힘쓸 방침이다.
문 팀장은 “지난해에 비해 웹 보안에 대한 문의나 세미나 및 데모 등의 요청과 관심이 고조되고 있는 것으로 보아 올해부터 본격적으로 웹 보안 시장이 열렸다고 확신한다”며 “향후 웹 보안은 네트워크 보안처럼 보안의 기본사항으로 꾸준히 선택되고 성장할 것”이라고 덧붙였다.
싸이버텍홀딩스는 금융, 공공 등 약 7개 고객사를 확보하고 있으며 올해 웹 방화벽을 통해 약 20억원의 매출목표를 달성한다는 계획이다.
웹 보안 전문업체 매그니파이어, 워치파이어 등을 인수하고 웹 방화벽 ‘트래픽쉴드(TrafficShield)’를 출시했던 F5네트웍스(대표 남덕우)는 국내 시장에서 아직까지 기대할만큼의 성공을 거두지는 못했지만 경쟁은 이제부터 시작이라고 언급한다.
F5네트웍스 양경윤 부장은 “웹 방화벽은 네트워크보아 애플리케이션에 대한 커스트마이징과 컨설팅이 필요해 전문 보안 채널을 선정하는데 그간 어려움을 겪었다”며 “기존 빅-IP 등의 판매에 치중해 웹 방화벽 제품에 상대적으로 신경을 쓰지 못했지만 곧 보안 전문 채널과 인력 등을 보충해 웹 방화벽 시장을 리딩할 것”이라고 언급했다.
F5네트웍스는 웹 방화벽 제품인 트래픽쉴드 외에도 애플리케이션 보안 모듈을 탑재한 ‘빅-IP 6400 ASM’이 지난해 연말 출시돼 로드밸런싱, 웹 가속, 웹 방화벽의 3가지 기능을 모두 원하는 고객들에게 좋은 반응을 얻고 있다. 또한 F5네트웍스는 고객의 요구가 점차 통합제품으로 이동함에 따라 전문 웹 방화벽보다 빅-IP 6400 ASM으로 고객을 유도, 고객의 필수 요구사항인 기능과 성능적인 측면에서 고객 만족을 이끌어내 경쟁사와 차별화한다는 전략이다. 향후 이미 결합된 L7스위치와 웹 방화벽위에 SSL VPN까지 올려 F5의 3가지 솔루션을 하나로 통합시킨 제품을 구현, 애플리케이션 레벨의 엔드 투 엔드 솔루션을 제공하는 기업으로 자리매김한다는 전략이다.
‘넷컨티넘(NetContinuum)’의 웹 애플리케이션 방화벽 ‘NC-1000’으로 그간 웹 방화벽 시장을 개척해오던 안철수연구소(대표 김철수)는 올 초 성능이 향상된 ‘NC-2000’ 제품의 출시로 새롭게 웹 방화벽 시장에 탄력을 받고 있다.
신규 출시된 NC-2000이 기존 제품보다 약 4~5배 가량 높은 성능을 보여 고객들의 반응이 좋다는 것.
안철수연구소 솔루션 서비스 유닛 이정훈 과장은 “올 초 성능과 매니지먼트, 통합 관리 등의 기능에 초점을 맞춰 업그레이드된 제품이 나와 고객들에게 좋은 반응을 얻고 있다”며 “성능과 매니지먼트 앞으로 더 많은 개선을 둘 방침”이라고 언급했다.
안연구소는 올해부터 금융 고객들의 관심이 높아져 감에 따라 금융, IPS의 B2C쪽, 제 2금융권 등을 주로 공략할 방침이다. 또 그간 고객을 상대로 웹 방화벽을 구축해보니 네트워크 방화벽과 달라 설치하고 끝나는 것이 아니라 설치 후 제대로 운용시킬 수 있도록 도와줘야한다는 판단 아래 자사의 컨설팅팀과 협의해 웹 컨설팅 등과 장비를 함께 제공할 방침이다.
안연구소는 지금까지 약 30여개의 고객을 확보했으며 넷 컨티넘을 통해 지난해 약 28억원, 올해 약 40억원의 매출을 달성한다는 계획이다.
후발주자 ‘강력 도전’
한편 최근 새롭게 웹 방화벽 제품을 내놓고 기존 업체들에 도전장을 낸 신규 업체들도 속속 늘어나고 있다.
최근 4기가비트, 50000TPS의 고성능 웹 방화벽 ‘웹프론트(WEBFRONT)’를 출시한 파이오링크(대표 이호성)는 대기업, 포털, 금융 등 고성능을 요구하는 하이엔드 고객을 타깃할 방침이다. 또 보안 컨설팅 전문업체인 인포섹과 개발단계부터 공동으로 보안 기능을 높이는 것은 물론 채널계약을 체결, 인포섹의 컨설팅 능력과 결합된 제품 판매도 시너지를 올릴 수 있을 것으로 기대하고 있다.
파이오링크 기획실 조영철 이사는 “올 하반기 CC인증을 체결하고 공공, 금융 등의 인증을 필요로하는 고객들을 적극 공략할 예정이며 또 하반기에 2기가급 스탠더드급 제품을 출시, 제품 라인을 다양화할 방침”이라고 밝혔다. 또 그는 “연내 최소 신뢰할 수 있는 3개 이상의 레퍼런스를 확보하고 내년부터 일본을 시작으로 해외 진출을 준비할 것”이라고 덧붙였다.
또한 파이오링크는 향후 관제서비스, MSS(Management Security Service) 등과의 연계를 통한 보안 서비스 사업모델 개발, UTM 등의 통합 보안 관점의 솔루션으로 사업을 확대하며 웹 애플리케이션에 대한 지속적인 사업 모델을 개발해 특화시켜나간다는 전략이다.
지난해 연말 웹 애플리케이션 보안 제품 ‘엔프로텍트 웹 파이어월(nProtect WebFirewall)’, ‘엔프로텍트 웹 스캔(nProtect WebScan)을 개발한 잉카인터넷(대표 주영흠)은 기존 고객 중심으로 웹 방화벽 고객을 늘릴 방침이다.
잉카인터넷은 스캐너와 웹 방화벽 제품을 모두 보유하고 있어 실시간 적용이 빠르다는 것을 장점으로 꼽는다. 또 잉카인터넷은 차세대 시장을 준비하는 차원에서 엔프로텍트 웹 보안 시리즈와 게임 보안, PMS 등 다양한 제품라인을 준비, 서버용 제품으로 시장을 확대시킨다는 전략이다.
잉카인터넷 솔루션사업본부 정연섭 이사는 “후발주자로서 효과적으로 시장을 넓힐 수 있는 방법은 기존 엔프로텍트 고객을 적극 활용하는 것이라 보고 지방 채널 활성화 등에 힘을 쓰고 있다”며 “아직 레퍼런스를 없지만 올 하반기 CC인증을 체결하고 공공 시장 등을 중심으로 레퍼런스를 늘려갈 것”이라고 밝혔다.
역시 지난해 연말 자사의 IPS ‘레드엑스 IPS’의 시리즈로 웹 애플리케이션 보안 제품인 ‘레드쉴드(RedShield)’를 내놓은 엑스퍼넷(대표 이종경)은 지난 상반기까지 제품의 안정성을 고객에게 입증받는 시기였다며 올 하반기를 포함한 내년 시장에서 승부를 낼 방침이다.
현재 엑스퍼넷은 호스트 기반과 어플라이언스 형태의 제품을 모두 지원하고 있으나 멀티 URL, 트랜스페런트 프록시(Tranparent Proxy)의 기능을 추가 보완해 3/4분기에 완벽한 어플라이언스를 출시할 예정이다. 이를 바탕으로 사이트 특성 및 고객 선호에 따라 호스트 방식이나 어플라이언스를 모두 공급할 수 있는 전문업체로 인정받도록 노력한다는 것.
또한 공공 시장의 안정적인 공급을 위해 어플라이언스 제품 출시 시점에서 CC인증을 받을 계획이다. 엑스퍼넷은 자사 제품외에도 F5네트웍스의 채널로 외산 제품을 원하는 경우 F5네트웍스의 웹 방화벽 제품을 제안할 수도 있어 보다 고객들에게 탄력있는 대응이 가능하다는 장점을 적극 어필할 예정이다.
엑스퍼넷 이종경 사장은 “콘텐츠 네트워킹과 보안 분야의 장점을 살려 웹 보안의 엔지니어 능력, 컨설팅 노하우를 고객들에게 어필할 것”이라며 “자사 개발품부터 외산제품까지 고객의 선택폭을 다양화시키고 여기에 엑스퍼넷 인력의 노하우를 가미시켜 엑스퍼넷과 함께 하면 웹 애플리케이션 보안을 원스톱으로 끝낼 수 있다는 인식을 심어줄 방침”이라고 언급했다.
올초 KISA와 웹 애플리케이션 보안 제품으로 자사의 웹 방화벽 `‘웹스레이(Webs-Ray)’에 대한 평가 인증 계약을 체결, 타 업체보다 발빠르게 공공 시장 수성에 나선 트리니티소프트(대표 김진수)는 공공기관과 온라인 쇼핑몰, 금융 등을 적극 공략할 방침이다.
웹스레이는 타사의 제품과 달리 호스트 기반으로 서버에 직접 임베디드되는 형태의 웹 방화벽 제품이다. 현재 2.0버전이며 이달 이후 3.0버전을 출시할 계획이지만 호스트 형태를 장점으로 내세우는 만큼 어플라이언스 형태의 제품을 개발할 예정은 없다.
트리니티소프트 김진수 사장은 “공통 평가 인증 계약을 타사보다 빠르게 체결, 이를 바탕으로 CC인증을 가능한 한 빨리 받아 구매자들이 믿고 구매할 수 있는 환경을 만들어 놓을 것”이라며 “향후 웹 애플리케이션 보안은 전산실의 인프라적인 요소로 부각, 필수적인 시스템이 될 전망”이라고 강조했다.
또한 트리니티소프트는 플러스기술과 IDC 웹 보안 관제서비스를 개시했으며 이를 통해 중소형 고객들을 늘려갈 방침이다. 또 아이티플러스와 해외부분 판매 계약을 체결, 아이티플러스가 공급하는 각종 IT 인프라솔루션들을 결합해 국내에서 공동영업을 진행하고 미국, 일본과 동남아 지역 시장개척에도 협력해갈 계획이다.
기존 고객 기반으로 시장 확대 ‘자신있다’
국내 웹 방화벽 시장에 일치감치 진입해 상당수 고객을 확보, 선전해 왔지만 본사의 인수, 합병으로 지난해 부침을 겪은 테로스의 총판 삼양데이타시스템과 카바도 총판 STG시큐리티 등은 올해 제품 라인을 정비하고 다시 재도전을 시작한다.
DB전문업체인 프로테그리티에 인수, 합병된 카바도를 국내 공급하고 있는 STG시큐리티(대표 문재철)는 올해 카바도의 웹 방화벽 인터두의 업그레이드 버전인 ‘디파이언스(Defiance) TMS 게이트웨이’를 바탕으로 ‘디파이언스 TMS’ 시리즈를 적극 영업할 계획이다.
디파이언스 TMS 제품은 웹 애플리케이션의 종합적인 위협분석 및 위협 정보와 취약성 정보를 제공, 실시간 대응해 웹 애플리케이션에 대한 전사적 관제 및 대응체계를 구축할 수 있는 웹 전용 TMS 제품이다. 웹 애플리케이션 TMS 게이트웨이와 IDS인 디파이언스 TMS 모니터 등과 함께 제공되는 디파이언스 TMS로 STG시큐리티는 실시간 거래가 일어나는 대형 사이트 등에 접근한다는 계획이다.
STG시큐리티 솔루션 사업본부 손호선 선임은 “디파이언스 TMS 이외에도 기존 인터두, 국산 웹 스캐너인 쿨스캔 등을 묶어 고객이 원하는대로 유연성있게 제공할 수 있는 제품 라인업을 갖췄다”며 “향후 국내 웹 방화벽 업체와의 제휴 등을 통해 국내 웹 방화벽 제품도 라인업에 추가할 계획”이라고 밝혔다.
특히 STG시큐리티는 보안컨설팅 전문회사인데다 국내에서 웹 방화벽 사업을 가장 먼저 시작한 웹 방화벽 1세대 인력을 보유한 노하우를 살려 컨설팅적인 접근을 시도, 고객 웹 애플리케이션 보안의 효율을 높여주는 방향으로 접근한다는 전략이다.
지난해 시트릭스로 인수된 ‘테로스 APS (Application Protection Solution)’ 시리즈를 국내 공급하고 있는 삼양데이타시스템(대표 변수식)은 올 하반기 시트릭스 넷스케일러 시리즈와 통합된 보다 뛰어난 성능의 제품이 출시될 계획이라 이 제품을 중심으로 영업을 강화할 예정이다.
삼양데이타시스템 관계자는 “스위치 기반의 시트릭스 넷스케일러와 결합된 제품이 하반기 출시될 예정이라 스위치 기반의 웹 방화벽 시장으로 새롭게 진입할 계획”이라며 “선택과 집중의 원칙에 따라 우선 대형 시장을 주로 공략하고 SMB 시장은 2007년 상반기 이후에 본격적인 작업에 들어갈 방침”이라고 밝혔다.
체크포인트코리아(대표 조현제)는 웹 애플리케이션 보안을 위한 솔루션 ‘웹 인텔리전스’는 체크포인트 ‘VPN-1 프로’, ‘VPN-1 익스프레스’ 등에 탑재되고 웹 보안게이트웨이 ‘커넥트라(Connectra)’ 등에도 탑재돼 공급되고 있다. 특히 체크포인트는 커넥트라와 같은 게이트웨이에 탑재된 방식을 국내 고객들이 선호함에 따라 웹 인텔리전스를 탑재한 커넥트라의 영업에 박차를 가하고 있다.
그간 세정 등 엔터프라이즈 고객에 제품을 납품한 체크포인트는 기존 체크포인트 고객을 대상으로 DM 및 데모 등을 실시, 고객을 늘려간다는 계획이다. 체크포인트코리아 김성철 차장은 “기존 사용중인 고객들이 1차 타깃”이라며 “왜냐하면 기존 사용 중이던 고객들은 간단한 업그레이드만 거치면 손쉽게 웹 보안 게이트웨이 기능을 활용할 수 있기 때문”이라고 밝혔다.
또 향후 체크포인트는 단일 웹 보안 솔루션이 아닌 통합보안의 측면에서 방화벽, VPN 등 기존 경계보안, IPS와 같은 내부보안 솔루션들과 더불어 완벽한 보안을 제공하는 하나의 뼈대로서 웹 보안에 대한 마케팅을 지속한다는 전략이다.
웹 방화벽만이 웹 보안의 전부가 아니다(?)
한편 웹 방화벽만이 아니라 다른 형태의 제품들로 웹 애플리케이션 보안 시장에 접근하고 있는 업체들도 눈에 띈다. 패닉시큐리티는 웹 스캐너 제품으로 일찌감치 국내 웹 애플리케이션 보안시장을 개척했으며 최근 웹 서버 임베디드 방식의 웹 방화벽을 출시했다.
인터비젠테크놀로지는 美 포티파이테크놀로지로부터 애플리케이션 소스 레벨에서 취약점 분석과 조치가 가능한 솔루션을 들여와 국내 판매하고 있다. ‘포티파이 소스 코드 분석 스위트’는 개발단계에서 안전한 애플리케이션을 개발할 수 있도록 개발자들이 유용하게 쓸 수 있는 솔루션이다.
웹 취약점 스캐너 ‘PS 스캔(Scan) W3B’를 출시, 판매하고 있는 패닉시큐리티(대표 신용재)는 최근 ‘PS 세이프(Safe) W3B’ 웹 방화벽을 출시했다. 스캐너와 연동돼 시너지를 올릴 수 있을 것이라고 기대하고 있는 패닉시큐리티는 1차로 윈도 IIS 용을 출시,통신이나 게임과 같이 IIS 서버가 대규모로 있으면서 보안성 및 속도(성능)이 중요한 곳이 1차 타깃으로 하고 있다. 향후 패닉시큐리티는 웹 방화벽과 스캐너를 활용해 ASP 서비스를 개시하며 중국, 미국을 타깃으로 해외진출을 준비, 해외시장에서 승부를 걸어볼 방침이다.
인터비젠테크놀로지(대표 문성준)의 ‘포티파이 소스 코드 분석 스위트’는 SCA 소스코드 어낼러시스, ST 시큐리티 테스터, 애플리케이션 디펜스의 3가지 제품종류로 라인업돼 있으며 개발팀, QA, 운영팀에서 각기 사용할 수 있다. 인터비젠테크놀로지의 오세관 이사는 “예전에는 애플리케이션이 완료되기 전까지 각 부서에서 관여할 수 없었지만 이 제품을 쓰게 되면 개발단계부터 애플리케이션의 취약성을 점검할 수 있다”며 “금융권에서 포티파이 제품에 많은 관심을 보이고 있어 국민은행, SK텔레콤, 제인은행 등의 레퍼런스를 적극 활용, 금융, 통신 등의 고객을 늘려갈 것”이라고 언급했다.
또 포티파이테크놀로지가 조만간 국내에 지사를 설립할 계획이라 인터비젠테크놀로지에서 지사를 대행할 계획이며, 나아가 아태지역을 한국에서 총괄토록 구성할 계획이다. 
웹 보안, ‘경쟁은 이제부터…’
이렇게 다양한 국내외 업체들이 보안시장의 새로운 블루오션으로 떠오른 웹 애플리케이션 보안 시장을 놓고 오는 2007년 치열한 경쟁을 펼칠 전망이다. 관련업계는 내년이 웹 보안의 본격적인 분수령이 될 것이라며 리딩업체가 결정되고 성장이냐, 포기냐의 갈림길을 걷게 될 것이라고 언급한다.
시장조사 기관인 가트너 그룹은 2006년까지 전 세계 2천대 글로벌 기업의 약 75% 이상이 기존 방화벽을 애플리케이션 방화벽으로 교체할 것으로 예측하고 있다. 또 프로스트 & 설리반의 ‘2005년 세계 웹 애플리케이션 방화벽 시장’에 대한 보고서에 따르면 세계 웹 애플리케이션 방화벽 시장은 지난 2003년 약 2천90만 달러에 이르던 것이 2004년 66.5% 성장해 약 3천4백80만 달러에 달했다고 밝혔다. 세계 웹 방화벽 시장은 2004년부터 오는 2011년까지 매년 약 52.1%씩 성장해 2011년 약 6억5천6백20만 달러에 이를 것으로 프로스트 & 설리반은 내다봤다.
국내의 보안 전문가들은 “오는 2007년부터 향후 2~3년간 국내 웹 보안 시장은 각종 웹 해킹 관련 사고의 증대와 다양한 웹 보안 제품의 등장에 따라 춘추전국시대를 형성할 것”이라며 “그 후 경쟁력과 시장성을 확보한 주요 솔루션을 근간으로 국내 웹 보안 시장이 주도될 것이다. 또한 기존의 대형사이트에서 중소형(SMB)로의 도입이 이행, 2007년 이후 시장 확대가 가속화될 것”이라고 예견하고 있다.
한편 국내에서는 리니지 계정 탈취 사건이나 온라인 게임 사용자의 개인 정보를 빼내는 트로이목마를 유포하기 위해 해커들이 웹사이트를 공격하는 사고 등이 급증하며 이를 방지하기 위해 웹 방화벽을 도입하려는 움직임이 빨라지고 있다. 그러나 최근 해외에서는 웹 방화벽의 용도를 감사(Audit)와 컴플라이언스(compliance) 등으로 이행하고 있는 추세다. 양키그룹에서는 오는 2007년 경에는 회사들이 웹 서버, 데이터베이스 그리고 웹 서버를 보호하면서 애플리케이션 확장성, 성능관리 및 가용성을 제공하는 AAP(Appli-ance Assurance Platform)를 선호하게 될 것으로 전망하고 있다.
美 네트워크컴퓨팅紙에서도 “웹 애플리케이션 방화벽 시장의 가장 큰 동력은 보안이지만 웹 방화벽은 데이터가 손상될 위험을 대폭 줄여주고 이것은 규정 준수와 이어질 수 있다“며 ”웹 애플리케이션은 액세스 기록이나 포렌직, 로그 파일 등으로 공격에 대한 세부 사항들을 밝혀주는 등 규정 준수의 또 하나의 단계로 활용될 수 있다”고 밝히고 있다. 따라서 국내에서도 아직은 웹 침해사고나 공격, 개인정보 보호 등의 이유에서 웹 방화벽을 도입하려는 수요가 늘고 있지만 향후에는 기업의 감사와 컴플라이언스라는 큰 테두리에서 웹 방화벽의 활용도가 높아질 것으로 전망되고 있다.
또한 기업에서 웹 애플리케이션의 활용이 점차 늘어감에 따라 웹 보안과 웹 가속이라는 주제를 따로 떼어놓고 생각할 수 없게 됐다. 아직 웹 방화벽 전문업체와 웹 가속 업체가 분리돼 있지만 시트릭스의 테로스 인수나 F5네트웍스의 워치파이어 인수 등도 향후 웹 가속과 보안을 하나로 묶으려는 전략에서 나온 것이다. 또한 주니퍼네트웍스 등 기존 네트워크 업체들에서도 웹 가속과 보안을 통합해서 제공하려는 로드맵을 속속 실현 중이다. 국내 웹 방화벽 업체인 모니터랩도 향후 웹 가속과 보안 통합 제품 출시를 위해 준비중이라고 밝혔다.
모니터랩의 이광후 사장은 “기업의 입장에서 볼 때 보안자체가 목표가 될 수 없다. 사업의 연속성을 보장하는 수단 및 장치로서 보안이 의미 있는 것이기 때문”이라며 “웹 애플리케이션 보안이 대두되는 것도 기업의 주요 사업수단으로 중요성이 증가되기 때문이다. 그렇다면 보안의 좁은 시각에서 벗어나 기업 고객의 입장에서 웹 애플리케이션을 신뢰할만한 사업수단으로 활용도를 제고시키는 것이 중요하다”고 밝혔다. 또한 그는 “그런 측면에서 기업이 웹 애플리케이션을 안전하고 효율적인 사업수단으로 활용할 수 있도록 지속적으로 기술을 연구하고 제품과 서비스를 제공해야한다”고 덧붙였다.
웹 애플리케이션 방화벽은 이제 단순히 보안을 위한 수많은 보안제품중의 하나가 아니라 기업의 주요 사업수단인 웹 애플리케이션을 보호함으로써 기업의 연속성을 보장하고 수익을 창출할 수 있는 하나의 수단으로 자리잡고 있다.
올해를 지나 내년쯤이면 웹 방화벽의 기준과 성능에 대한 표준이 정해지고 웹 방화벽을 주요 인프라의 하나로 구현하려는 움직임이 더욱 가시화될 전망이다.
성장하고 있는 웹 애플리케이션 보안 솔루션 시장에 관련 업체들의 시장 자체를 확대하기 위한 공조의 노력이 더욱 절실한 시점이다
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
[정보보안,해킹,해커,국제자격증] 웹 애플리케이션 보안 정보보안
# by | 2007/11/28 10:57 | 해킹&보안 | 트랙백 | 덧글(0)
