[특집:정보보호]침입탐지시스템

　◇인젠 `네오와쳐@ESM`

　인젠(대표 임병동 http://www.inzen.com)은 보안솔루션 전문업체로 네트워크 기반 침입탐지시스템인 ‘네오와쳐@ESM’과 호스트 기반 침입탐지시스템인 ‘네오가드@ESM’ 및 기가비트 침입탐지시스템(IDS) ‘네오와쳐@ESM 포 기가’가 대표작이다.

　인젠의 IDS는 미국 ICSA의 인증을 획득한 데 이어 중국 공안부 인증, 국내 국가정보원의 K4 인증, 일본 후지쯔 인증 등을 획득했으며 조달청 우수제품으로 선정된 바 있다. 또한 세계보안표준인 CVE 호환성을 인정받는 등 기술력에 있어서 높은 평가를 받고 있다.

　인젠의 고객은 재정경제부·경찰청·정보통신부·국민건강보험공단·국민연금관리공단·근로복지공단·한국산업인력공단·건강보험심사평가원 등 주요 공공기관, 농협중앙회·한미은행·외환은행·서울증권·서울은행·우리금융정보시스템·제일은행·국민은행·제일투자증권·제일투자신탁운용 등 금융권을 포함해 600여곳이 넘는다.

　대표작인 네오와쳐@ESM은 네트워크 공격신호를 감시하다가 수상한 움직임이 발견되면 이를 해당 네트워크 관리자에게 경고해준다. 지난 1월 25일에 발생한 인터넷 대란에서도 고객사 네트워크의 웜바이러스 감염을 즉각 탐지해 피해를 줄이는 데 일익을 담당했다.

　또한 업그레이드 과정을 거쳐 알려지지 않은 침입을 탐지하고 있으며 발생되는 이벤트간의 상호연관관계를 분석하여 침입을 탐지하는 기능까지 추가해 지능화되는데다 다양한 네트워크 장비에 대한 연동으로 추후 접근을 차단하는 등 IDS의 가장 큰 취약점으로 지적되는 침입대응 부분까지 모두 완벽하게 처리한다는 평가다.

　특히 광대역폭 처리능력과 함께 탐지기술 측면에서 비정상행위 탐지 대응과 함께 뛰어난 도스(DoS) 탐지 및 대응기능을 갖췄다는 평가다. 이 외에도 확장 용이성, 수용성, 고도의 분산성, 실시간 탐지 대응, 탐지결과 전파, 상호 연동, 안전성 등이 장점으로 꼽힌다.

　

　◇윈스테크넷 ‘스나이퍼 ESM’

　윈스테크넷(대표 김대연 http://www.wins21.com)은 IDS 전문업체로 지난해 IDS시장에서만 매출 69억원, 영업이익 13억원을 달성했다.

　윈스테크넷의 주력제품은 네트워크 IDS로 여러대의 IDS와 타 보안시스템 및 네트워크 트래픽을 통합관리할 수 있는 ‘스타이퍼’ 시리즈다. 스나이퍼 제품군은 현재 국내 관공서·금융권·통신사·대기업·지방자치단체·학내망 등 다양한 네트워크 환경에서 500개 이상이 운용중이며 국정원 K4·K2 인증과 보안성 승인, 중국 공안부 인증 등을 획득해 안정성을 입증받고 있다. 지난해 행자부 행정정보 보호용 시스템으로 조달등록됐고 국무총리상·정통부장관상·중기특위원장상 등 다양한 수상실적을 거둬 기술력에 대한 외부평가를 만족하는 시장경쟁력이 큰 제품이다.

　스나이퍼 ESM은 국내 대형 통신서비스업체의 백본망과 국가 전산망 및 대기업 전산시스템 등 네트워크 규모가 크고 복잡한 환경에서 여러대의 IDS와 기타 제품을 통합관리함으로써 IDS의 효율성을 높여주는 제품이다.

　스나이퍼 IDS는 기본적으로 네트워크 패킷을 분석해 해킹이나 비정상적인 사용여부를 탐지하고 즉각 대응할 수 있게 한다. 로그에 기록되는 모든 패킷 정보는 해킹 발생시 원인규명의 근거가 되므로 네트워크 관리에 핵심 툴로 사용된다. 최근 발생한 ‘인터넷 대란’의 주범인 슬래머 웜바이러스의 경우에 대해서도 탐지내역 분석을 통해 파악할 수 있다.

　특히 스나이퍼의 기가비트 버전인 스나이퍼 기가는 2001년 데이콤을 시작으로 KT·데이콤·행자부·SK텔레콤·LG투자증권·대신증권·굿모닝증권 등에 설치돼 활발히 운용중이다. 인텔의 64비트 아이테니엄 프로세서(IA-64)를 기반으로 인텔과 공동개발한 기가비트 IDS ‘스나이퍼-IA’는 지난해 말 하나로통신과 데이콤에 납품되기도 했다.

　이 회사는 올해 탐지와 동시에 자동차단이 가능한 능동형 네트워크 보안솔루션 ‘스나이퍼-X(가칭)’를 출시하는 한편 네트워크 기반의 정보보호 분야로 사업영역을 확장하고 중국과 동남아 지역 등 해외진출도 가속화할 계획이다.

　◇펜타시큐리티시스템 ‘사이렌’

　정보보호 전문기업 펜타시큐리티시스템(대표 이석우 http://www.pentasecurity.com)의 IDS 제품인 사이렌은 98년 8월 개발된 국내 최초의 상용 IDS로 꼽힌다.

　사이렌은 행자부·정통부·외무부 등 주요 정부 부처를 포함한 공공기관과 국민은행·삼성증권 등 금융기관, 기업체, 학교 등에 대규모로 설치·운영되고 있으며 기존 IDS시장에서 가장 많은 800여 카피를 구축하는 등 이미 수많은 고객을 보유한 제품이다.

　최신 버전인 사이렌 3.0의 최대 장점은 네트워크 기반과 호스트 기반 IDS를 함께 구현해, 하나의 모델만을 적용하거나 양 모델을 함께 사용할 수 있는 최초의 하이브리드 타입이라는 점. 2001년 9월 국가정보원과 한국정보보호진흥원(KISA)에서 시행하는 IDS 인증 평가에서 국내 1호로 K4 등급을 획득했다.

　펜타시큐리티시스템은 IDS의 핵심인 탐지엔진을 자체 개발해 국내 특허를 출원했으며 대부분의 국내외 방화벽 및 ESM 등의 보안솔루션들과 기술적 연동이 가능한 장점을 지니고 있다. 제품 설치에 있어서도 폭 넓은 노하우를 바탕으로 고객의 네트워크 환경과 시스템에 맞춘 가장 이상적인 솔루션 구성을 제공하는 것으로 이미 시장에 정평이 나 있다.

　지난해 7월 펜타는 하드웨어 기반의 기가비트 IDS인 ‘사이렌 XG’를 발표했다. 사이렌 XG는 3.2기가비트 네트워크 속도까지 완벽하게 지원해 현재까지 국내외 IDS 제품 중 단연 최고 성능을 보유하고 있어 기가급의 대용량 트래픽 네트워크망을 갖고 있는 통신 및 금융, 학교 등에서 많은 관심을 보이고 있다.

　이 회사는 올해 전반적인 IT시장 침체에도 불구하고 시장여력이 있는 공공시장에 집중할 것이며, 최근 서버 보안을 위한 호스트 기반 IDS 구매고객이 증가하는 데 따라 이 제품에 주력할 계획이다.

　　

　◇정보보호기술 ‘TESS’

　정보보호기술(대표 민병태 http://www.infosec.co.kr)은 IDS와 취약성정보제공서비스를 운영하는 정보보호 전문기업이다. 또 이 회사의 주력제품인 IDS ‘TESS’는 국내외에서 최고의 권위를 자랑하는 인증을 획득함으로써 그 우수성을 이미 검증받았다.

　 K4 인증(2002년 2월)를 비롯해 세계 최대의 방화벽 업체 체크포인트의 ‘Firewall-1’과의 연동성 등을 입증한 OPSEC 인증(2001년 10월), 24시간 실시간 테스트를 통과한 제품에만 주어지는 ICSA 인증(2002년 8월), 중국내의 공공기관 및 관계기관에서 인정하는 공안인증(2002년 12월) 및 보밀국인증(2002년 12월) 등이 그것이다.

　또한 IDS의 효과를 극대화하기 위해 여러 취약성 정보서비스업체와 기술제휴를 맺어 세계 각국에서 수집·분석된 해킹 패턴을 공급받아 실시간으로 고객 서버를 자동 업데이트해준다.

　특히 TESS 3.5 버전은 침입탐지 및 대응기능을 수행할 뿐만 아니라 네트워크 모니터링 기능이 강화돼 네트워크 관리자들이 더욱 손쉽게 시스템을 운영할 수 있다. 실시간 트래픽·프로토콜·서비스 등을 분석할 수 있어 내부 네트워크 시스템의 효율적인 운영관리 및 이상징후 탐지가 가능하다는 것이 최대 장점이다.

　이미 TESS 기가비트의 경우 데이콤 초고속국가망, 두루넷 백본망, 한국전산원 KIX망 등에서 안정적으로 운영중이다.

　한편 정보보호기술은 사이버 공격 대응시스템을 개발중이며 이미 운영중인 TESS 기가비트 IDS센서에 네트워크 감시기능 및 IP 이상증후 감지기능을 통합한 ‘네트워크 서베일런스 시스템(Surveilance System)’을 개발한 데 이어 오는 3월 말에는 ‘사이버공격 대응시스템’을 버전 4.0에 포함시켜 출시할 예정이다.

　

　◇한국ISS ‘리얼시큐어 네트워크 센서(RealSecure Network Sensor)’

　한국ISS(대표 권영석 http://www.korea.iss.net)는 침입탐지 및 취약점 점검 솔루션 분야에서 세계 1위의 기업이자 전세계를 대상으로 보안관제서비스를 제공하는 최대 규모의 보안관리서비스 제공업체인 ISS의 한국지사다.

　ISS는 PC에서부터 서버, 네트워크에 이르는 종합적인 침입탐지 및 방어제품과 유무선 네트워크, 서버 및 데이터베이스의 취약점을 점검할 수 있는 제품 라인업을 모두 갖췄다.

　최근에는 자사의 다양한 제품을 통합관리해 보안관리의 효율을 극대화 할 수 있는 지능형 제품을 공급하고 있으며 전세계 150여명의 보안전문가로 구성된 취약점 분석팀 ‘X-Force’를 통해 자사의 모든 제품에 대한 최상의 업데이트를 제공하고 있다.

　지난 1월 25일 인터넷 대란의 원인이었던 슬래머웜(SQL Slammer)의 경우 이미 지난해 9월에 업데이트판을 배포해 주목받았다.

　주요 제품으로는 3년 연속 세계시장 점유율 50%를 기록하고 있는 IDS인 리얼시큐어 네트워크 센서(RealSecure Network Sensor)가 대표적이다. 국내에서는 IDS의 K4 인증제 시행 후 도입이 주춤했으나 뛰어난 탐지성능과 지원시스템으로 기업고객을 중심으로 점차 고객층을 넓히고 있다.

　리얼시큐어 7.0에 탑재된 침입탐지엔진은 가장 진보된 레벨의 프로토콜 분석능력을 보유하고 있어 일반적인 침입탐지엔진이 HTTP나 FTP 등의 통신 포트가 80번이나 21번 등과 같이 미리 설정된 값을 벗어날 경우 기능을 수행하지 못하는 것과는 달리 임의의 포트를 이용한 공격까지 탐지할 수 있다. 또한 알려지지 않은 공격에 대한 대처능력도 뛰어나 코드레드나 님다가 처음 발견됐을 때도 효과적인 탐지기능을 보여줬다.

　ISS는 올 하반기에 차기 버전인 8.0을 출시하면서 완벽한 차단기능을 제공하는 네트워크 침입방어시스템(IPS)으로 업그레이드할 계획이다.

　

　◇조은시큐리티 ‘Cypollo-N’

　조은시큐리티(대표 최성백 http://www.joeunsecurity.com)는 정보보호 솔루션 전문기업으로 네트워크 기반 IDS ‘Cypollo-N’과 호스트 서버 전용 IDS ‘Cypollo-H’ 등이 대표작이다.

　 Cypollo-N은 국가정보원에서 발급하는 K4 인증을 획득한 제품으로 네트워크 안팎에서 발생하는 모든 침입행위를 실시간으로 분석하고 탐지해 다양한 방법으로 관리자에게 통보함으로써 침입유형에 따라 효과적으로 대처할 수 있도록 도와준다.

　또한 다양한 네트워크 환경을 지원할 수 있도록 통합형 및 분산형으로 제품을 구성하고 자바 기반의 웹 인터페이스 및 관리자 게시판 기능을 제공해 다양성과 편의성을 제공한다.

　Cypollo-H는 고객의 신상명세가 기록된 데이터베이스 서버 및 각종 서비스 서버에서 해킹에 의해 자료가 유출되는 것을 방지한다. 커널 레벨의 감사데이터를 체계적이고 정형화된 분석방법에 의해 실시간으로 분석해 불법적인 침입여부를 판단하고 관리자에게 통보한다.

　이밖에도 서버 보안에 해당되는 기술을 한단계 업그레이드해 고객이 운영중인 서버의 용도별 특성에 따라 보안기능모듈을 선택적으로 채택한 맞춤형 서버 보안시스템 ‘Cypollo-CSSS’를 개발해 제품화를 진행중이다.

　조은시큐리티는 이르면 4월중 차세대 보안솔루션으로 관심이 집중되고 있는 IPS 솔루션을 선보여 기존 보안솔루션이 해결하기 힘들었던 비정상적 행위를 사전에 방지할 수 있도록 할 계획이다.

　<정소영기자 syjung@etnews.co.kr>