UTM 보안장비는 한 가지 이상의 보안기능 수행이 가능한 시스템으로 방화벽, VPN, IPS, 안티바이러스 기능의 통합위협관리 시스템을 의미합니다. UTM의 주요기능 및 NGFW (차세대 방화벽)과 차이점에 대해 자세히 알아보겠습니다.
UTM 보안장비
도입배경
외부의 다양한 위협에 대비하기 위해서는 그만큼 여러 가지 보안 솔루션이 필요합니다. 하지만 이를 각각 구매하기에는 비용과 중복투자의 비효율이 발생합니다.
| 필요성 | 설명 |
| 비용 절감 | 다양한 보안장비의 구매 및 유지보수 비용의 증가 |
| 보안위협 증가 | 공격 트렌드의 빠른 변화에 빠른 대응이 가능한 통합 솔루션 필요 |
| 다양한 유형의 공격 | 애플리케이션, DB, 내부망 해킹 등의 다양한 공격유형에 대응 필요 |
UTM은 실력이 검증되고 빠른 업데이트를 지원하는 솔루션 도입 시 매일 진화하는 다양한 공격에 비용 효율적으로 대응이 가능한 장점이 있습니다. 그럼 구체적으로 UTM 솔루션의 구성과 수행하는 주요 기능에 대해서 정리해보겠습니다.
UTM 구성도
아래는 UTM의 개념을 보여주는 구성도 입니다. 상위에는 바이러스 탐지, 스팸메일 필터 등의 애플리케이션 보안을 담당하고, 그 아래 SSL 및 방화벽 IPS, VPN 등의 보안 장비 기능을 통합하는 구성입니다.
이런 통합 구성은 장비의 유지 보수 리소스를 줄여주고 빠른 대응이 가능한 이점도 있지만, 다양한 기능을 통합했기에 자칫 성능이 저하될 가능성도 있어 장비의 선택도 중요합니다.
다양한 기능을 가지고 있지만 실제 장비는 위의 그림과 같이 하나의 기기로 구성됩니다.
주요 기능
앞서 설명해 드린 구성도를 조금 더 자세히 알아보겠습니다. 업체의 솔루션 마다 기능은 조금씩 다르며 점차 다양한 기능이 더 통합되어 가는 추세입니다.
1. 방화벽 기능: 외부 공격의 1차 방어선
외부의 공공망으로 부터 내부망으로 연결되는 접점에 설치되는 1차 방어선입니다. 방어와 동시에 내외부의 네트워크 흐름은 방해하지 않도록 다음과 같은 주요 기능을 가집니다.
- 접근제어: 패킷 필터링, 상태기반, 애플리케이션 레벨의 패킷을 분석하는 Proxy 방식 등으로 구분합니다.
- 감사추적 기능: 특정 포트나 패킷의 허용 여부, 외부 트래픽의 모니터링, 관리 사용자의 접근 등을 로깅 및 사후 추적이 가능합니다.
- 사용자 인증: 허가된 객체나 사용자만 접근이 가능하도록 VPN, OTP, 토큰 등을 이용해 인증을 수행합니다.
2. VPN 기능: 터널링 기법을 통한 가상의 전용선 효과
VPN은 적은 비용으로 넓은 범위의 가상 사설망 네트워크를 구축할 수 있다는 측면에서 효율적이며 확장성도 뛰어난 장점이 있습니다.
인증, 터널링, 암호화 및 키관리 기술을 이용하며, 구현방식에 따라 IPSec, SSL, L2F, L2TP, PPTP, MPLS 기술등을 활용합니다.
3. IPS 기능: 침입탐지시스템
보통 일반적인 방화벽이 탐지하기 어려운 유형의 악의적인 트래픽을 탐지하는 기능입니다. 기준은 호스트 IP 주소, TCP/UDP 포트번호, 사용자 인증에 기반을 둡니다.
- 호스트기반: 설치된 호스트의 모든 활동을 감지하는 에이전트로 구성
- 네트워크기반: 패킷 흐름을 캡처하고 내용을 분석 (포트 미러링, 네트워크 탭 사용)
4. 안티바이러스 및 스팸 필터링 기능
SMTP 인증, SPF, SIDF 등의 인증을 통해 발송단계에서 부터 스팸을 차단하거나 특정포트의 차단 및 발송량의 제한을 두는 방식등의 방법으로 스팸을 걸러낼 수 있습니다.
바이러스 필터링의 경우 최근에는 악성코드, 피싱, 트로이목마, 웜 등의 검출기능까지 포함하여 제공이 되는 경우도 많아지고 있습니다.
5. DDoS 공격차단 기능
보통 서버의 리소스를 소진해 동작을 방해하려는 목적으로 이루어지는 DDoS 공격은TCP SYN flooding, UDP/ICMP flooding, TCP/SSL connection flooding 등 다양한 공격유형이 있습니다.
이에 대해 별도의 Anti-DDoS 시스템을 설치하거나 UTM의 기능을 통해 소스 IP별 임계치 설정, 쿠키에 대한 응답여부 등을 체크하여 공격의 차단이 가능합니다.
NGFW 차세대 방화벽과 차이점
한 장비에서 다양한 서비스를 제공한다는 이점으로 UTM 솔루션을 도입합니다. 이에 대응하는 유사 솔루션으로 NGFW 차세대 방화벽이 있습니다.
기능상 비슷해 보이는 두 제품의 차이점을 한번 정리해보겠습니다.
| UTM 통합위협관리 | NGFW 차세대방화벽 | |
| 기능구성 | 방화벽 + IPS + IPSec VPN + 안티바이러스 + 스팸/웹 필터링 기능의 통합 | UTM 기능 + 애플리케이션제어 + 사용자기반제어 + DLP + SSL VPN + APT 공격방어 기능 등 |
| 정보가시성 | 정보 판단분석은 관리자의 역량에 따라 차이가 있음 | 일정 부분 자동분석 형태로 관리자 판단에 용이한 형태로 제공 |
| 트래픽제어 | IP, 포트 기반 제어 (정적)Layer 4까지 제어 | 애플리케이션 사용자 기반의 동작제어 가능Layer 7까지 제어 |
| 주요 사용자 | 가성비 및 ROI 관점의 중소기업 타겟 | 대규모, 고성능 처리가 필요한 엔터프라이즈 타겟 |
일반적으로 NGFW(차세대 방화벽)은 사용자 편의성을 증가시키고, DLP, SSL VPN, APT 공격방어 기능 등을 추가한 시스템입니다. UTM에 비해 성능이 좋은 만큼 가격 또한 높은 엔터프라이즈급 솔루션으로 평가합니다.
이에 비해 UTM은 주로 가성비과 ROI를 중요시하는 중소기업에서 많이 채용합니다. 따라서 두 제품은 경쟁제품이라기 보다 주요 사용군과 요구 시장이 분리되는 형태의 솔루션으로 보는 것이 좋겠습니다.
따라서 위의 차이점을 기준으로 적합한 제품을 선택하는데 참고하시기 바랍니다. 주요 UTM 솔루션 업체는 다음과 같습니다.
- 포티세이트 UTM
- AhnLab 트러스트가드
- 케이에스솔루션 UTM XN 시스템즈
- 윈스테크넷 스나이퍼 AF
이상으로 UTM 보안장비 주요기능 및 NGFW 차세대 방화벽과 차이점에 대해서 알아보았습니다.