웹 방화벽 시장「국산 VS 외산 춘추전국」개막

웹 방화벽 제품이 국내에 상륙한 지도 만 2년이 흘렀다. 아직은 초기 시장으로, 올해까지는 제품이 알려지고 있는 인식 단계나 도입기라는 시각이 지배적이다. 이에 내년부터는 웹 방화벽 시장이 성장가도를 달릴 것이란 게 업계 관계자들의 예측이자 '희망사항'이다. 최근 잇따른 웹 해킹 사건으로 웹 방화벽에 대한 관심이 부쩍 높아진 게 그 근거다. 하지만 제품 테스트에서 도입 결정까지 오랜 시간이 걸릴 뿐 아니라, 실제 솔루션 운영이 녹록치 않아 담당자들이 제품을 선뜻 구매하지 못하고 있는 것 또한 엄연한 현실이다. 성능과 기능 등 제품 개선도 해결할 숙제다. 웹 방화벽 시장의 앞날을 조망해본다. 최근 정부는 공공기관에 의무적으로 웹 보안 솔루션을 도입하도록 사실상 제도화해 내년도 공공 부문 시장 수요가 올해에 이어 더욱 탄력을 받을 것으로 전망된다. 공공기관, 웹 보안 솔루션 도입 '의무화' 실제로 지난 8월 말 실시된 을지훈련에서 웹 보안 솔루션 도입 여부가 새로운 평가 항목으로 추가됐다. 이에 따라 정부부처나 공기업 같은 해당 기관들이 관련 업체들한테 부랴부랴 데모 장비를 빌려달라도 요청한 적이 있었다. 뿐만 아니라 행자부 주관의 모의해킹 세미나가 열렸는가 하면, 지난 11월 중순에도 국회 모의해킹까지 올해 들어서면 세 차례 관련 행사가 있었다. F5네트웍스 코리아의 이광직 이사는 "을지훈련 당시 40여 개 기관에서 데모 장비를 빌려달라고 요청했으며, 이중 2~3곳은 바로 구매했고, 나머지 기관도 추경 예산을 편성해 올해 안으로 도입할 계획이 있고, 내년도 예산에 제품 구입 비용을 반영해 도입하겠다고 구두로 계약한 기관들도 10여 곳 된다"고 설명했다. 한편, 올해 일부 부서나 소규모로 도입한 고객들도 내년부터는 구매 물량이 좀더 늘어난 본 사업이 발주할 것으로 보인다. 정보통신부는 올해 소규모로 웹 방화벽 제품을 도입한 데 이어, 내년부터 대단위 물량을 발주할 것으로 전해지고 있다. LG텔레콤 역시 올해에 이어 추가 물량이 계속 나올 것으로 보인다. 이밖에 한국전산원도 올해에 이어 10대 정도 제품을 추가로 구매할 계획인 것으로 알려져 있으며, 한국정보보호진흥원도 지난번 2대를 도입한 데 이어 추가로 2대를 더 구입할 예정이다.내년 웹 방화벽 시장 '100억 원대 안팎' 국내에서 웹 방화벽이 관심사로 떠오른 건 2년여 전부터 부쩍 늘어난 웹 해킹 사건의 여파로 인해서다. 사이버독도 해킹 사건을 비롯해 여러 정부기관이나 기업들의 홈페이지 해킹, 심지어 연이어 터진 인터넷뱅킹 사건은 웹 방화벽의 필요성을 부채질했다.최근 들어 웹 해킹 사건이 더욱 급증하면서 관련 시장이 성장가도를 달릴 것이란 예측은 분명하다. 수요처도 일단은 공공기관을 중심으로 확산되겠지만, 내년 하반기부터는 금융기관, 포털, 온라인 쇼핑몰 등도 웹 보안 솔루션의 주요 공략 대상으로 부각될 것으로 보인다. 물론 금융권이나 포털, 온라인 쇼핑몰은 트래픽이 많고 전산 환경이 크리티컬해서 제품의 신뢰성이 검증될 때까지 다소 도입이 늦춰지거나 소규모 도입에 그칠 것으로 판단된다.이런 정황들을 토대로 추정해볼 때, 내년도 국내 웹 방화벽 시장은 100억 원 안팎의 규모를 형성할 것으로 전망된다. 이는 올해 시장보다 두 배 가량 성장할 것이란 얘기다. 국산 업체들 '진출 가속화' 이처럼 올해를 기점으로 웹 보안 시장의 성장 잠재력이 커질 것으로 판단한 국산 업체들이 속속 대열에 합류하기 시작해 눈길을 끈다. 먼저 그 첫 테이프를 끊은 주인공은 듀얼시큐어코리아(www.dualsecure.co.kr)다. 지난해 4월 설립돼 현재까지 15개 고객에 웹 방화벽 제품(ASROC)을 납품했다. 뒤이어 모니터랩과 아이자이어로보틱스, 트리니티소프트, 리베로정보기술 등 웹 방화벽 전문 업체들이 생겼다. 뿐만 아니라 기존 보안 업체 중 웹 방화벽 신제품을 내놓고 이 시장에 뛰어든 주자들도 있다. 잉카인터넷과 펜타시큐리티, 패닉시큐리티 등이 대표적인 예다.한편, 대다수 외산 업체들은 F5네트웍스 코리아를 제외하곤 국내 총판들과 손잡고 진출해 있는 상황이다. 국내에 처음 웹 방화벽 솔루션을 들여온 곳은 보안 컨설팅 업체인 STG시큐리티(www.stgsecurity.com). 이 업체는 2003년 초 이스라엘의 카바도(KavaDo)와 총판 계약을 맺고 '인터도(InterDo)'라는 웹 방화벽 제품을 소개했다. 최근 카바도가 미국 DB 보안 업체인 프로테그리티(www.protegrity.com)한테 인수됐으나 국내 영업권은 변함없이 STG시큐리티가 맡는 것으로 얘기됐다. 뒤이어 같은 해 12월 삼양데이타시스템(http://teros.syds.com)은 미국의 테로스(Teros)와 총판 계약을 맺으면서 국내 웹 애플리케이션 보안 시장의 선두 그룹을 형성했다. 한편 지난 10월 말, 테로스는 시트릭스 시스템즈에 인수돼 앞서 인수됐던 넷스케일러의 사업부문 아래로 들어갔다.이어 한국후지쯔가 생텀의 총판으로 나섰고, 안철수연구소(www.ahnlab.com)도 넷컨티넘의 총판 역할을 맡으면서 가세했다. 그리고 올해 들어 이스라엘의 임퍼바(Imperva)라는 업체가 싸이버텍홀딩스(www.cybertek.co.kr)를 총판으로 삼아 국내에 진출했다. 이중 생텀은 와치파이어한테 인수됐다가 F5네트웍스(www.f5.com)가 올해 4월 말 와치파이어(www.watchfire.com)의 생텀 제품(앱쉴드)과 기술만을 다시 인수했다. 이에 따라 F5네트웍스는 지난해 매그니파이어(제품명: 트래픽쉴드) 인수에 이어 생텀까지 손안에 넣게 됐다.내년도 국산 VS 외산 '접전' 예상이처럼 국산 업체들이 속속 진입하면서 향후 2~3년간 국내 웹 방화벽 시장은 춘추전국 시대를 방불케 할 것으로 전망된다. 일각에서는 아직 성능과 기능, 안정성 등 제품 완성도 측면에서 국산 제품이 외산을 따라가려면 좀더 시간이 걸릴 것이란 게 업계 관계자들의 한결같은 답변이다. 하지만 이런 주장에 대해 국산 제품의 성능도 크게 뒤떨어지지 않는다고 반박하고 나선 이가 있다. 국산 업체의 맏형격인 듀얼시큐어 코리아의 양성화 사장이 그 주인공이다.양성화 사장은 "제품 성능은 국산이든, 외산이든 도토리 키재기다. 웹 방화벽 제품 특성상 설치 과정에서 커스터마이징 능력과 신속한 대응 체제가 외려 수주의 관건"이라며, "외산 업체들이 약할 수밖에 없는 이런 부분을 앞세워 공략할 것"이라고 힘주어 말했다.듀얼시큐어 코리아는 기존 호스트 기반의 소프트웨어 제품 외에도 11월 중순께 프록시 모드를 지원하는 어플라이언스 형태의 신제품을 내놓고 외산 업체들과의 진검 승부를 준비하고 있다. 국산 보안 인증 추진 … 외산 업체 '치명타'연이은 국산 업체들의 웹 보안 시장 진출 가속화로 인해 내년엔 보안 인증 문제가 화두로 떠오를 전망이다.다행히 아직까지는 웹 보안 시장은 CC 인증이나 국가정보원의 보안성 검토 같은 제품의 자격 요건을 요구하지 않고 있다. 하지만 공공 부문에서 웹 취약성에 대한 경고가 잦아지고 있고, 공공기관의 웹 보안 제품 도입이 사실상 의무화되어 양상이 달라질 것으로 보인다.공공기관에 적용되는 보안 제품의 필수 조건인 CC 인증은 물론, 국정원의 보안성 검토가 내년부터 발효될 가능성이 크다. 그럴 경우, 외산 제품들은 공공기관에 납품하는 길이 가로막힐 수 있다. 이에 따라 인증 문제가 뜨거운 감자로 부상하기 전에 외산 업체들이 공공시장을 장악하고자 시장 확장에 박차를 가할 것으로 예상된다. 실제로 듀얼시큐어 코리아는 이미 자사 웹 보안 제품의 국정원의 보안성 검토필을 확보하고자 심사를 신청해놓은 상태다. 이에 따라 다른 국산 업체들도 제품의 완성도가 높아지면 보안성 검토필을 받고자 인증 신청이 뒤를 이을 것은 뻔하다.관리 편의성 '미흡'현재로선 매년 웹 방화벽 시장이 얼마만큼 성장할지 예측할 순 없지만, 앞날이 장밋빛인 건 분명하다. 하지만 한편으론 초기 시장이다 보니 아직 해결할 과제들도 있다. 먼저 시장 활성화의 발목을 잡는 요인은 웹 방화벽 솔루션의 관리 편의성이 부족하다는 점이다. 웹 방화벽 제품은 네트워크 보안 장비에 비해 정책 설정이 훨씬 복잡하다. 이는 외부와의 서비스 제공 통로를 위해 마련된 80포트라는 개방된 웹 환경의 특성 때문이다. STG시큐리티 전략사업본부의 김양욱 이사는 "웹 방화벽을 관리하려면 많은 자원이 투입될 수밖에 없다. 제품 관리가 만만치 않다는 사실을 고객 관리자들도 알고 도입을 머뭇거리고 있다"며, "웹 방화벽 제품 특성이 아이러니하게도 시장 확산의 걸림돌로 작용한 셈"이라고 털어놨다. 실제로 대부분 보안 운영자들은 웹 방화벽 제품을 도입, 운영할 경우 기존 환경이 바뀌는 데 대해 상당히 고민하고 있다. 특히 웹 보안 솔루션은 DNS와 웹, DB와의 연동이 불가피해 업체들로서도 설치 과정이 까다로워 큰 골치거리다. 싸이버텍홀딩스 한명호 과장은 "아직까지도 많은 담당자들은 좀더 손쉽게 구축할 수 있는 웹 보안 솔루션을 찾고 있다. 이런 상황에서 기존 구성 환경의 변경이 필요없는 트랜스패런트(TP) 모드 지원이 웹 방화벽 제품의 필수 조건으로 부각될 것으로 전망된다"고 내다봤다.제품 완성도와 인지도 '개선은 숙제' 아울러 웹 방화벽 제품의 안정성과 성능, 보안 기능에서 개선할 점도 남아 있다. 먼저 보안 제품의 숙명적인 한계점인 성능 문제다. 웹 방화벽은 애플리케이션 계층(L7)까지 보안 기능을 제공해야 하고 웹 환경이란 두 가지 특성상 성능(속도) 문제가 무엇보다 중요한 이슈다. 웹 보안 제품의 도입으로 웹 서버, 즉 웹서비스의 속도 저하가 발생해서는 안 되기 때문이다. 특히 우리나라처럼 네트워크 인프라가 광대역화돼 있고, 유해 트래픽이 많은 환경에서는 더더욱 성능이 제품 선정에서 다른 요소보다 우선순위이자 제품의 선결 조건이 된다. 다음으로 웹 방화벽 제품은 성능과 항상 상충되는 높은 수준의 보안 기능을 확실히 지원해야 한다. 성능만을 앞세우려고 보안 기능의 수준이 형편없다면 그건 보안 제품으로선 기본이 안 된 셈이다. 실제로 네트워크 해킹과는 달리 웹 해킹 공격은 그 방법과 수단이 천차만별이다. 따라서 웹 방화벽은 좀더 복잡한 고도의 해킹 시도로부터 웹 서버를 보호해야 하는 게 원래의 몫이다. 성능과 보안성을 갖췄다면 웹 방화벽의 또 다른 개선 사항은 안정성 제고다. 제품의 신뢰성은 여느 정보시스템 분야를 막론하고 반드시 요구되는 필수 조건이다. 네트워크 보안 제품과는 달리, 대다수 웹 보안 솔루션들이 개발된 지 얼마 되지 않아 제품의 안정성 검증이 현재로선 큰 이슈다. 이는 대형 사이트가 나오지 않은 한 개선되기 힘든 점이다. 외산 제품들도 국내 대규모 인프라 환경에 맞게 커스터마이징되는 과정에서 기능들이 상당히 개선되고 이를 통해 제품의 신뢰도가 높아지는 건 부인할 수 없는 사실이다.제품의 성능과 보안성, 그리고 안정성은 벤더가 해결해야 할 숙제다. 정작 중요한 문제인 제품에 대한 인식 확산은 국내 채널들이 풀어야 할 과제다. 아무리 제품이 좋다 한들 고객이 제품의 개념도 명확히 인식하고 못하고 도입의 필요성을 깨닫지 못한다면 그 제품은 무용지물이다. 싸이버텍홀딩스 한명호 과장은 "고객 이해도를 높이기 위한 마케팅 노력이 절실한 상황이다. 웹 보안에 대한 국내 고객의 이해도가 여전히 낮은 상태다. 고객은 기존에 도입한 네트워크 보안 솔루션으로 모든 보안 문제가 해결될 것으로 여기고 있으며, 웹 보안 제품의 필요성을 체감하지 못하고 있다"며, "따라서 세미나나 교육 등을 통해 이런 잘못된 인식을 바꿔 웹 보안 제품의 도입에 당위성을 실어줘야 할 필요가 있다"고 지적했다. @