전통적인 방화벽은 네트워크 진입/진출 지점에서 트래픽을 검사하는 보안 장비다. 가상 사설 네트워크(VPN) 및 암호화 기능을 제공한다. 방화벽은 상태, 포트, 프로토콜 별로 트래픽을 감시하고, 통과하는 트래픽의 흐름을 제어한다. 전통적인 방화벽에서 고급 보안 기능은 방화벽 플랫폼과 별개인 외부 기기 및 서비스에 의해 제공되는 것이 보통이다.
차세대 방화벽이란
차세대 방화벽(Next-Generation FireWalls, NGFW)은 전통적인 방화벽과 같은 기능을 제공하고, 아울러 딥 패킷 검사(Deep Packet Inspection, DPI), 통합 침입 보호(Integrated Intrusion Protection, IIP), 웹 필터링(Web Filtering), 안티바이러스, 안티-멀웨어, SSL 및 SSH 트래픽 검사 등의 추가 기능을 제공한다. 이들은 모두 실시간 위협 검출 및 격리에 주력한다.이들 추가 기능은 차세대 방화벽(NGFW) 플랫폼에 통합되고, 일반적으로 단일 콘솔에서 관리할 수 있다. 모두가 같은 업체에 의해 제공되므로, 유지 관리가 더 쉽고, 업체 지원이 필요할 때 더 편리하다.
기본 방화벽 기능은 NGFW 시장에서 판매되는 모든 제품에 기본적이지만, 방화벽은 더는 데이터센터에만 설치되는 기기가 아니다. 즉 클라우드의 도입으로 물리적 기기를 넘어서는 기능이 가능해졌다. 가상화 기기, 서비스형 방화벽(FireWall as a Service, FWaaS), 컨테이너화 된 방화벽 등이 대표적이다.
차세대 방화벽 업체의 로드맵에 등장하는 SASE
보안 액세스 서비스 엣지(Secure Access Service Edge, SASE)는 새롭게 등장한 서비스 모델이다. WAN 최적화 및 기타 보안 서비스, 예를 들어 보안 웹 게이트웨이(Secure Web Gateway, SWG), 제로 트러스트 네트워크 액세스(Zero Trust Network Access, ZTNA) 등을 클라우드를 기반으로 통합해 사용자가 언제 어느 곳에 있든지 중단 없는 액세스를 제공한다.일부 NGFW 업체는 자사 제품에 이들 기능 모음(SASE)을 통합하기 시작했다. SASE의 보편화까지는 아직 시간이 더 걸리겠지만, NGFW 업체의 로드맵에는 SASE가 포함돼 있다.
차세대 방화벽 시장은 수십 억 달러 규모다. 상위 4개 업체를 무작위로 열거하면 팔로 알토 네트웍스(Palo Alto Networks), 포티넷(Fortinet), 시스코(Cisco), 체크 포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)다. IDC에 따르면 이들이 시장의 64% 가량을 차지한다. 나머지를 주니퍼 네트웍스(Juniper Networks), 소닉월(SonicWall), 소포스(Sophos) 등이 나눠 갖고 있다.
여기서는 가트너, IDC 등의 전문 분석 그룹의 보고서에 근거해 상위 NGFW 업체를 분석하고 이들의 장점과 단점을 살펴본다.
팔로 알토 네트웍스
- 장점 : 광범위한 제품군, 통합된 관리
- 단점 : 비싼 가격
팔로 알토 네트웍스는 광범위한 NGFW 기능을 제공한다. 이들은 하드웨어 기반(PA 시리즈), 버추얼(VM 시리즈), FWaaS(프리즈마 액세스), 컨테이너화 된(CN 시리즈) 제품에 일괄적으로 내장된다.
이들 제품은 모두 같은 파노라마(Panorama) 소프트웨어를 통해 관리되고, 가입형 서비스로 사물인터넷(IoT) 보안, 기업 데이터 손실 방지(Data Loss Prevention, DLP), 서비스형 소프트웨어(SaaS) 보안, 첨단 URL 필터링, 위협 예방 및 DNS 보안을 제공한다. 회사의 와일드파이어 멀웨어 어낼리시스 엔진(WildFire Malware Analysis Engine)은 검출된 위협을 샌드박스에 보관할 수 있다.
팔로 알토 네트웍스는 다수의 보안 요구를 위한 통합된 단일 솔루션을 ‘단일 창’을 통해 제공한다. 이는 장점이자 단점인데, 시장에서 가격이 가장 비싼 제품 중 하나다. 또한, SD-WAN 제품을 별도의 라이선스로 구매해야 하는데, 다른 업체는 이 라이선스가 기본 오퍼링에 포함돼 있다. 또 한가지 유의할 점은 팔로 알토 네트웍스는 파노라마에서 클라우드 기반 방화벽 관리자를 제공하지 않는다. 대신 클라이언트에서 플러그-인을 설치해야 한다.
포티넷
- 장점 : 강력한 자체 개발 제품 계열, 통합형 관리
- 단점 : 글로벌 팝(Global Pop) 부재
포티넷의 NGFW 제품 계열인 포티게이트(FortiGate)는 하드웨어, 가상 기기, FWaaS (FortiSASE) 등의 방식으로 이용할 수 있다. 포티매니저(FortiManager) 및 포티게이트 클라우드(FortiGate Cloud) 제품은 중앙식 관리 플랫폼을 제공한다. 이들 제품은 보안 이메일 게이트웨이(SEG), 웹 애플리케이션 및 API 보호(WAAP), 네트워크 접근 관리(NAC), ID 및 액세스 관리(IAM), 서비스형 보안 업무 센터(SOC) 등의 기능을 제공하고, 아울러 SASE 및 제로 트러스트 네트워크 액세스(Zero Trust Network Access, ZTNA) 제품도 있다.
포티넷은 기업 고객의 네트워크 운영 센터(NOC)와 포티넷 패브릭 관리 센터(Fabric Management Center)의 SOC 운영 사이의 통합을 제공한다. 팔로 알토 와일드파이어 시스템과 마찬가지로, 포티넷은 엔드포인트 검출 및 대응(Endpoint Detection and Response, EDR) 시스템을 제공하고, 기업 환경 내에 존재하는 위협을 검출한 후 분석을 위해 샌드박스에 보관하는 방식으로 확산을 저지한다.
또한 포티넷는 포티게이트(FortiGate) 제품을 지점 사무소 라우터의 위치에서 사용될 수 있도록 추진 중이다. 이렇게 되면 원격 사무소 네트워크의 무선 액세스 포인트와 포티넷 스위치의 관리를 같은 포티매니저(FortiManager) 관리 인터페이스에서 할 수 있다.
포티넷은 전문 컨테이너 방화벽이 없고, 배포된 플러그-인을 통한 기본 관리 기능이 필요하다. 또한 클라우드 포인트 오브 프리젠스(Points of Presence, PoP)의 출시와 팝의 지리적 다양성에서 다른 업체에 미치지 못하는 경향이 있다.
시스코
- 장점 : 광범위한 제품 오퍼링
- 단점 : 너무 광범위함
시스코는 침입 방지, 첨단 악성코드 보호, 클라우드-기반 샌드박싱, URL 필터링, 엔드포인트 보호, 웹 게이트웨이 보호, SEG 보안, 네트워크 트래픽 분석, 네트워크 액세스 제어, 클라우드 액세스 보안 브로커(Cloud Access Security Broker, CASB)를 제공하고, CASB는 다른 회사가 클라우드에서 호스팅하는 서비스를 시스코 시큐어 파이어월(Cisco Secure Firewall), 시스코 시큐어 워크로드(Cisco Secure Workload), 메라키 MX(Meraki MX) 시리즈 제품을 통해 보호한다.
FWaaSS를 위한 엄브렐라 시큐어 인터넷 게이트웨이(Umbrella Secure Internet Gateway), 온-프레미스 기기를 위한 시스코 파이어월 매니지먼트 센터(Cisco Firewall Management Center), 클라우드 기반의 솔루션을 위한 시스코 디펜스 오케스트레이터(Cisco Defense Orchestrator)를 통해 중앙식 관리를 제공하고, 여기에 하나의 멀티-클라우드 관리 및 제어 제품이 추가된다.
시큐어엑스(SecureX) 확장 검출 및 대응(XDR) 플랫폼은 추가 비용 없이 위협을 검출하고 수색하고 치유한다. 아울러 시스코는 스노트(Snort) 오픈-소스 침입 검출 시스템/침입 방지 시스템(IDS/IPS)을 통해 강화된 서명 세트(signature set)를 제공한다.
시스코는 단일 플랫폼 접근법 대신 이용 사례별로 다른 방화벽 제품 계열을 제공한다. 또한, 엄브렐라 제품은 통합형 SASE를 제공하지 않는다. 시스코의 독립형 CASB인 클라우드락(Cloudlock) 등의 추가 제품과 멜라키 제품을 통해 SD-WAN을 별도로 구매해야 한다.
체크 포인트 소프트웨어 테크놀로지스
- 장점 : 전문 보안 솔루션
- 단점 : 통합 SD-WAN의 부재
체크 포인트는 공격을 방지하고 차단하는 데 주력한다. 이들은 하드웨어 기기(Quantum), 가상 기기, 그리고 클라우드가드(CloudGuard) 브랜드 하의 클라우드 보안 제품을 제공한다. 또한 보안 액세스 서비스 엣지(Secure Access Service Edge, SASE) 솔루션의 일부로 FWaaS 제품(Harmony)을 제공한다.
체크 포인트는 온-프레미스(퀀텀 시큐리티 매니지먼트(Quantum Security Management)) 및 클라우드에서 호스팅 되는 중앙식 관리 및 모니터링 포털(Potal)을 제공하고, 인피니티 SOC(Infinity SOC) 제품은 보안 오케스트레이션, 자동화, 대응(SOAR) 오퍼링으로 구성된다. 또한, 클라우드가드(CloudGuard)는 클라우드 보안을 담당한다.
체크 포인트는 SD-WAN 솔루션을 제공하지 않지만, 대신 파트너와 협력해 이 급속히 성장 중인 시장에서 솔루션을 제공한다. 컨테이너 제품은 응용 프로그램 제어 체계가 없다.
주니퍼
- 장점 : 고급 위협 검출
- 단점 : FWaaS 및 SASE의 도입이 느림
주니퍼는 SRX 시리즈 서비스 게이트웨이(SRX Series Services Gataways)를 하드웨어 기기, 가상 기기(vSRX) 및 컨테이너(cSRX) 형태로 제공한다. vSRX는 고객의 자체 하이퍼바이저, AWS, 애저, 구글, IBM 클라우드, 오라클 클라우드에서 호스팅할 수 있다. 또한, 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM), 분산 서비스 거부(DDoS) 완화 및 위협 인텔리전스, 첨단 위협 검출 기능 및 사물인터넷 보안을 제공한다.
아울러 산업 제어 시스템(ICS)과 감독 제어 및 데이터 획득(SCADA) 환경을 위해 파트너십을 맺고 있다. SCADA 환경은 주니퍼 자체의 위협 방지 서비스와 서드 파티로부터 정보를 수집해 새 위협이 출현할 때 방화벽이 이에 적응할 수 있도록 한다. 주니퍼는 FWaaS 또는 SASE의 후발주자였다. 그동안 네트워크에 주력했다는 점을 보안 제품을 보면 알 수 있다. 가트너는 주니퍼를 NGFW 시장의 틈새 업체로 간주한다.
소닉월
- 장점 : 고급 제품
- 단점 : FWaaS, 컨테이너 결여
소닉월의 제품은 3가지 하드웨어 기기 계열인 TZ, NSa, NSsp 시리즈와 가상 기기 방화벽인 NSv 시리즈 등이다. NSv 제품은 고객의 자체 하이퍼바이저에서 호스팅할 수 있고, 아니라면 아마존 및 애저에서도 쓸 수 있다. 또한, 소닉월은 통합 EDR, SEG, ZTNA, CASB 기능, 그리고 SD-WAN 워크플로우를 제공해 소닉월 클라우드 엣지(SonicWall Cloud Edge) 제품의 브랜치 배치를 단순화한다.
소닉월 클라우드 앱 시큐리티(SonicWall Cloud App Security) 제품은 SaaS 애플리케이션을 위한 CASB 기능을 처리하고, 이 때 마이크로소프트365 및 구글 워크스페이스, 박스 및 드롭박스에 집중한다. 네트워크 시큐리티 매니저(Network Security Manager)는 소닉월 스위치(SonicWall Switch), 소닉월 액세스 포인트(SonicWall Access Point), 소닉월 넥스트-젠 엔드포인트(SonicWall Next-Gen Endpoints)를 중앙에서 관리한다. 소닉월은 컨테이너화 된 방화벽, FWaaS, ID 기반 제품이 없다.
소포스
- 장점 : 관리형 위협 대응
- 단점 : FWaaS 또는 컨테이너가 없음
소포스는 소포스 파이어월 하드웨어(XGS 시리즈 및 SD-RED), 클라우드 보안 태세 관리(SCPM) 제품(Cloud Optix), 엔드포인트 및 서버 보호(Intercept X), 그리고 EDR 및 ZTNA를 위한 제품 등을 보유하고 있다. 매니지드 스렛 리스폰스(Managed Threat Response) 제품은 중앙 관리 포탈을 통해 관리형 서비스 SOC 기능을 제공한다(Sophos Central).
소포스는 FWaaS나 컨테이너화 된 방화벽을 제공하지 않는다. CSPM 제품은 서비스형 인프라(IaaS)를 전적으로 활용하지 않기 때문에 방화벽 정책 규칙의 구현이 더 어렵다.
결론 : 차세대 방화벽 구입 시 전면적인 제품 평가 필요
오늘날 네트워크 보안은 악의적 행위자의 공격과 랜섬웨어 공격에 결정적이다. 따라서 네트워크 임원은 NGFW 제품을 인프라로 도입하기 전에 전면적인 평가를 하는 것이 매우 중요하다. 미리 꼼꼼하게 비교하면 도입 이후 갑작스러운 사태로 회사에 뛰어나가지 않고 편안한 수면으로 보상받을 것이다.editor@itworld.co.kr