1. Web Application Firewall의 개요와 필요성
오늘 이야기해 볼 주제는 '클라우드형 웹 방화벽'입니다. 이쪽 종사자 외에는 다들 생소한 개념이실 거 같아 우선 '웹 방화벽'이라는 이름이 붙은 배경에 대해 먼저 말씀드리고자 합니다.
아시겠지만 컴퓨터와 네트워크 사이의 보안을 추구하는 다양한 시스템들이 존재합니다. 당장 떠오르는 것은 백신이실 텐데 여기에서는 컴퓨터-네트워크 사이의 보안을 추구하는 '방화벽'과 같은 것만을 이야기하겠습니다. 말씀드렸다시피 대표적인 것은 방화벽으로, 서로 다른 네트워크를 지나는 데이터를 허용/거부/검열/수정하는 하드웨어나 소프트웨어를 일컫습니다. 방화벽은 신뢰도가 낮은 외부 네트워크와 신뢰도가 높은 내부 네트워크 사이를 지나가는 패킷을, 미리 정한 규칙에 따라 차단하거나 허용하는 기능을 수행합니다. 이때 관리자는 방화벽을 통해 통과시킬 접근과 그렇지 않은 접근들을 Rule Set을 통해서 규정하여야 하며, 이 때 Rule Set은 네트워크의 IP와 Port단위로 각각 다르게 구성됩니다.
방화벽 이외에도 IDS(침입탐지시스템, Intrustion Detection System)와 IPS(침입방지시스템, Intrustion Preventing System)등이 있겠습니다. 둘 다 중요한 개념은 아니니 이런 것이 있다 정도로만 이야기하겠습니다. IDS는 호스트 내 또는 네트워크 인터페이스에 설치하여 시스템에 대한 원치 않은 조작을 탐지하는 역할을 수행합니다. IPS는 침입 탐지 이외 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 솔루션으로, 침입 탐지 기능을 수행하는 모듈이 패킷을 일일이 검사하여 해당 패턴을 분석한 후, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단하는 기능을 가지고 있습니다.
그러나 상기와 같은 방화벽, IDS, IPS 등 중에서 하나만 이용해서는 완벽한 보안을 추구할 수 없습니다. 컴퓨터 네트워크를 구성하는 표준 모델인 OSI 7 Layer를 통해 그 이유를 상세히 살펴보면 다음과 같겠습니다. 우선 OSI(Open System Interconnection reference model) 7 Layer는 ISO에서 개발한 모델로, 컴퓨터 네트워크의 프로토콜 디자인과 통신을 계층별로 나누어 설명한 것입니다. 총 7개의 계층으로 나뉘는데, 1계층(L1)인 Physical Layer부터 7계층(L7)인 Application Layer까지로 구분됩니다.
위의 표를 보다 상세히 설명드리자면, 1계층인 Physical layer는 우리가 눈으로 볼 수 있는 통신 케이블 등을 일컫습니다. 그 위 계층인 data line layer 부터는 하위 계층이 모여서 이루어지는, 점차로 개념적인 상위 계층으로 생각하시면 되겠습니다.
이처럼 각각의 레이어 별로 담당하는 통신 단위가 모두 다르다 보니, 각 레이어마다 유효하게 작용할 수 있는 보안 모듈이 다릅니다. 단순하게 말하자면 3계층인 Network layer는 방화벽, 4계층은 Transport layer는 IDS나 IPS가 담당합니다. 그럴 수 밖에 없는 이유는 하나의 레이어에서는 일괄적으로 하나의 Rule을 정해서 보안을 진행하게 되기 때문입니다.
가령, Network Layer에서 기동하는 일반 방화벽은 80번과 443번 포트를 일괄적으로 열어 두는 것을 rule로 정했는데, 이는 http와 https의 포트 번호에 해당합니다. 따라서 http나 https의 프로토콜을 통해 들어오게 되는 데이터 통신은 일반적인 방화벽에서는 그 세부 내용을 탐지할 수 없게 됩니다. 또한 Transport Layer에서 기동하는 IDS나 IPS의 경우 방화벽과 달리 http, https에 대한 보안능력이 있기는 하나 미흡하며, 역시 https를 포함한 SSL 통신의 경우 암호화된 패킷을 분석할 수 없어 관련 방어 능력이 없습니다. 또한 시그니처 방식(이미 수집된 악성코드의 특징을 분석해서 해당 악성코드의 특징을 요약하는 것)으로만 탐지하므로 지속적인 업데이트가 필요하며 세부 정책 구현이 불가능한 단점은 그대로 존재합니다.
위의 개념에 대해 조야한 비유를 하자면 다음과 같겠습니다. 가령 방화벽이 한글 자모음만을 걸러내는 역할을 수행한다면, 알파벳으로 이루어진 a/b/c 등은 차단할 것이고, 한글 자모음인 ㅂ/ㅏ/ㅂ/ㅗ 등은 통과시킬 것입니다. IDS나 IPS 등이 비속어, 욕설 등을 걸러내는 역할을 수행한다면 위의 단어 또한 걸러낼 겁니다. 그러나 '아래 지정된 계좌번호로 입금하세요'와 같은 피싱 문자는 한글 자모음이고 비속어, 욕설도 아니므로 방화벽과 IDS, IPS를 무난하게 통과할 수 있을 겁니다. 다시 말하자면 이는 비유이고, 실제 동작은 다르므로 참고만 하시면 좋겠습니다.
따라서, 2000년 이후 점차 사용량이 늘어나기 시작한 http나 https를 이용하는 Web단의 해킹 시도를 차단하기 위해 Application Layer에서 동작하는 방화벽이 필요하게 되었습니다. 이것이 오늘 이야기할 Web Application Firewall(이하 WAF, 웹방화벽)이 등장하고 이름이 지어진 배경입니다. 말하자면 기존의 방화벽이 외부로부터 내부망에 대한 침입을 감지하고 차단해 정보 및 자원을 보호하는 역할을 한다면, WAF는 웹 트래픽을 감시하고, 이를 통해 해킹 등의 웹 공격 대응에 특화되었다고 할 수 있겠습니다.
구체적으로 말하자면, 웹 애플리케이션에 최적화된 WAF는 HTTP에 포함된 악의적인 요청 및 의심스러운 응답을 탐지하고 이에 대응할 수 있습니다. 악의적인 요청으로 SQL인젝션, XSS(Cross Site Scripting), 파일 업로드, 무차별 대입 공격 등이 대표적이며, 의심스러운 응답은 파일 위변조, 정보 유출 등을 예로 들 수 있겠습니다. 즉, 위에서 언급한 '아래 지정된 계좌번호로 입금하세요'와 같은 공격에 대응할 수 있는 것입니다.
2. WAF 시장의 성장
국내 WAF 시장은 앞서 말한 것처럼 2000년 이후 점차 웹서비스 활용도가 높아지며 이와 관련된 보안이 필요하다는 인식이 생기면서 형성되기 시작하였습니다. 초기에 파이오링크 등에서 관련 제품이 출시되어 대기업 중심으로 WAF가 도입되었습니다. 2007년경 국내 시장은 100억원 정도에 이르렀으며, 이후 2008년에 조달품목에 WAF가 포함되어 컴플라이언스 대응 방안으로 주목받으면서 급속한 성장을 이루게 됩니다. 생소한 이름과는 달리 국내 시장에서는 15년 가량의 역사를 가진 제품군이 되겠습니다.
그러나 대기업과 공공기관 위주로 컴플라이언스 대응을 위해 도입된 WAF는 다른 분야로 영역을 확대하지 못하였으며, 오탐, 미탐 등 성능 문제가 지속적으로 제기되면서 시장은 침체기에 접어들었습니다. 실제로 업계 관계자들이 ‘시장 초기 WAF 장비는 컴플라이언스 때문에 도입했지만, 성능 등의 문제로 웹 서비스에 상시 적용하지 않는 경우가 많았다’는 평을 내린 바 있습니다. 그 외에 비싼 제품 가격, 전문가 부족 등도 문제점으로 지적된 바 있습니다. 그에 따라 과거의 WAF는 잦은 오탐과 장애, 운영의 복잡성 등이 문제로 제기됐으며 미러링 모드로 구성해 웹 트래픽을 모니터링하다 사고 발생 시에만 분석하는 제한적인 용도로 사용하는 경우가 많았습니다.
그러나 2015년경부터 시장에 변화가 나타나기 시작합니다. 웹 공격, 개인정보 유출사고가 점점 늘어나고, 개인정보 유출 시 막대한 과징금 또는 대규모 소송에 휘말릴 수 있다는 점이 부각되면서 WAF에 대한 수요가 늘기 시작한 것입니다. 더불어 머신러닝 등 새로운 기술이 접목돼 성능상의 이슈를 보완한 차세대 WAF와, 클라우드 환경에서 사용할 수 있는 서비스형 보안(SECaaS) 형태의 솔루션이 등장하면서 시장이 확대 됩니다. 아래 그래프를 보시면 2012~2015년까지 횡보하던 국내 시장이 2016년부터 점차 커지는 모습을 보실 수 있겠습니다.
초기와는 달리 2017년에 KISA가 조사한 결과, WAF의 업종별 매출 비중은 일반기업이 49%로 가장 큰 비중을 보였고, 공공(33%), 금융(18%) 분야가 그 뒤를 이었습니다. 국내 대표적인 WAF 공급업체는 펜타시큐리티시스템, 모니터랩, 파이오링크 등이 있으며, 국내 시장에 들어온 글로벌 기업으로는 F5 네트웍스, 포티넷, 임퍼바, 아카마이, 라임라이트 네트웍스 등이 있습니다. 국내 시장에서는 국내 기업이 시장을 장악하고 있는 편인데, 업계 관계자들의 말을 종합하면 국내 기업의 점유율은 약 90%로 추정됩니다. 이와 같이 국산 솔루션의 점유율이 높은 이유는 사용 환경에 맞춘 커스터마이징을 지원하고, 국내 기업에 맞는 보고 기능을 제공하기 때문으로 추측됩니다.
실제 국내 업체의 해외 위상에 대해 살펴 본 내용은 다음과 같습니다. 프로스트&설리반에서 2015년에 발표한 아시아 태평양의 WAF 시장에 관한 자료에서 국내 기업 중 펜타시큐리티가 유일하게 M/S와 성장율이 우수한 업체로 등재된 바 있습니다. 또한 Gartner가 몇몇 특정한 기술 산업에 대해 1-2 년마다 새롭게 갱신하는 매직 쿼드런트 보고서 2017에 따르면, WAF의 리더 업체로는 임퍼바, F5 네트웍스, 아카마이가 있으며, 국내 기업으로는 펜타시큐리티가 유일하게 등재되어 있습니다.
시장의 성장률에 대해서는, 글로벌 시장의 연평균 성장률은 20%에 달하는 것으로 보여집니다. 아시아 시장은 연평균 27%로 글로벌 시장 대비 빠르게 성장하고 있으며, 그 중에서도 일본 시장은 30%의 성장률을 보이고 있습니다. 일본 시장의 빠른 성장률에 대해서는 뒤에서 다시 언급하겠습니다.
3. WAF 산업의 사업모델
웹방화벽을 사용하는 고객은 크게 두 부류로 구분할 수 있으며, 이에 따라 각기 다른 사업모델을 적용할 수 있습니다. 우선 WAF를 직접 구축해 운영하거나 전문 보안 관제 업체에 운영을 위탁하는 경우로 주로 대기업이 여기에 해당합니다. 이 경우는 기존의 방화벽 사업과 마찬가지로 웹방화벽 HW 기기를 구매하거나 렌탈하여 구축하게 됩니다.
두 번째는 서비스형 WAF를 이용하는 경우로, 이 서비스는 비싼 WAF 장비를 구입할 수 없는 중소 기업이 주로 이용하게 됩니다. 서비스 업체가 WAF를 구축한 웹 보안 존을 구성하고 고객사를 입주시켜 서비스를 대행하는 방식 또는 고객사가 비교적 저렴한 유/무료 소프트웨어형 WAF를 설치해 서비스를 이용하는 경우가 있겠습니다.
개인정보보호법 강화로 기업들이 WAF의 필요성을 인식하고 있으나 보안전문가 없이는 직접 WAF를 운영하기 어려워 구축형 대비 저렴한 비용으로 사용할 수 있는 서비스형 WAF의 수요가 늘어나고 있는 추세입니다. 글로벌 시장에서 서비스형 WAF의 비중을 약 20%로 추정하고 있습니다. 아직까지는 구축형 장비가 시장의 주축을 이루고 있지만, 무게 중심이 서서히 서비스형 WAF로 이전하고 있다는 것이 업계의 공통적인 시각입니다. 기업들이 기존 온프레미스 환경에서 클라우드 환경으로 이전하면서 서비스형 WAF의 수요 증가는 자연스러운 현상으로 보여집니다.
클라우드 환경으로 이전 시에, AWS 등 클라우드 사업자가 제공하는 WAF 서비스도 고려하지만, 아직은 전문적인 보안 기업의 서비스형 WAF를 선택하는 추세로 알려져 있습니다. 클라우드 사업자들은 보안 전문 업체가 아니므로, 보안을 위한 껍데기인 툴만 제공하고 보안 정책(룰셋)은 사용자들이 세팅을 하는 형태이기 때문입니다. 따라서 사용자들이 보안에 대해 잘 알지 못하는 경우 현실적으로 사용이 어렵다는 평이 있습니다. 업계의 평에 따르자면 조금 과장해서 말하면 온프레미스 장비를 구입하여 직접 구축하는 거나, 클라우드 사업자의 WAF 서비스를 이용하는 것이나 난이도 차이가 크게 나지 않는 정도라고 합니다. 즉, 사용방법이 복잡하고 직접 룰셋 커스터마이징 등을 운영해야 함, 세부적인 룰셋을 공개하지 않으며 기본적인 룰셋만 제공함, WAF 이용료+룰셋 비용을 별도로 부과하기 때문에 비용 예측이 모호함, 사업자 디펜던시가 있다는 점들이 단점이 될 수 있겠습니다.
또한 국내의 경우 WAF가 타국 대비하여 빠르게 발달하여 초기에 하드웨어형 WAF가 시장을 선점한 결과 타국 대비하여 WAF 서비스의 발달이 더뎠던 것이 사실입니다. 그러나 클라우드 전환에 따른 WAF 수요와 기존 WAF 장비의 노후화로 인하여 서비스형 WAF의 점유율이 빠르게 늘어나고 있습니다. 한국인터넷진흥원이 서비스형 보안 활성화 사업 등을 추진하는 등 공공기관들이 클라우드 활성화에 나서고 있어 시장은 점차 확대될 것으로 예상됩니다. 반면에 앞서 언급한 일본의 경우 WAF의 시장 발달이 더뎠던 편이어서 하드웨어형 WAF가 거의 깔려있지 않았습니다. 따라서 일본의 서비스형 WAF 시장 발달이 다른 선진국 대비해서 빠른 편입니다.
서비스형 WAF는 사용량에 따른 오토스케일링, 저렴한 비용, 실시간 업데이트 지원 등 클라우드의 장점이 그대로 적용됩니다. 특히 웹 서비스 특성 상 단발적으로 트래픽이 몰리는 현상이 발생할 수 있는데, 이 경우 WAF를 온프레미스로 구축한다면 최대 트래픽을 기준으로 장비를 구매해야 하기 때문에 구축비용이 과도하게 높아지는 단점이 있습니다. 하지만 클라우드 서비스의 장점인 오토스케일링을 이용한다면, 트래픽이 높아지는 시기에만 용량을 증설해 효율적인 운영이 가능하며, 또한 실시간 업데이트를 통해 최신 공격에도 대응할 수 있다는 장점이 있겠습니다.
4. 마치며..
서비스형 WAF, 즉 클라우드형 웹 방화벽 시장은 이제 점차 개화하고 있는 시기로 판단됩니다. 웹방화벽의 태생적 한계점을 성능 개선으로 극복한 것과, 클라우드 활성화가 맞물려서 클라우드형 웹 방화벽의 수요는 빠르게 늘어갈 것으로 보입니다.
사실 보안 솔루션 사업은 고객사 관점에서 보았을 때 타 IT 산업 대비하여 고객사에서 가시적으로 매출과 연계되지 않는 지출을 발생시키는 사업입니다. 특히 과거 웹방화벽은 고객사가 대기업과 공공기관에 한정되어 있어 매출 성장에는 한계가 있었습니다. 그러나 클라우드형 웹방화벽의 과금 특성 상 과거보다 소규모의 업체 또한 잠재적인 고객사가 될 수 있습니다. 또한 웹방화벽의 성능 개선과 동시에 개인정보 유출 시 막대한 과징금 또는 소송에 휘말릴 수 있다는 점이 부각되면서, 웹방화벽의 도입이 단순한 지출이 아닌 당연히 필요한 고정비로 인지되고 있어 수요가 자연스럽게 증가하리라 예상됩니다.