UTM과 NGFW

hi2li·2026년 6월 18일

network

목록 보기
17/18

개요

기업 네트워크를 보호하기 위해서는 방화벽, IPS, VPN, 악성코드 탐지 등 다양한 보안 기능이 필요하다.

초기에는 이러한 기능을 각각 별도의 장비로 운영했지만 관리 복잡성과 비용 문제가 발생하였다.

이를 해결하기 위해 UTM(Unified Threat Management)이 등장했으며, 이후 애플리케이션 식별과 사용자 기반 정책을 지원하기 위해 NGFW(Next Generation Firewall)가 발전하게 되었다.

이번 글에서는 UTM과 NGFW의 개념, 등장 배경, 차이점을 알아본다.



보안 장비가 분리되어 있던 시절

초기의 기업 네트워크는 각 기능별로 별도의 장비를 사용하였다.

Firewall
IPS
VPN
Anti Virus
Web Filter

각 장비는 전문성이 높았지만 관리해야 할 장비 수가 많아지고 정책 관리가 복잡해지는 문제가 있었다.



UTM의 등장

UTM이란?

UTM(Unified Threat Management)은 여러 보안 기능을 하나의 장비에 통합한 보안 솔루션이다.

UTM
├ Firewall
├ IPS
├ VPN
├ Anti Virus
└ Web Filtering

관리자는 하나의 장비에서 대부분의 보안 정책을 관리할 수 있게 되었다.



UTM의 장점

  • 관리 편의성 향상
  • 장비 수 감소
  • 구축 비용 절감
  • 통합 정책 관리



UTM의 한계

  • 단일 장애점(SPOF, single point of failure ) : UTM이 죽어버리면 모든 기능들이 전부 불가능해지기 때문
  • 트래픽 증가 시 성능 저하 : 많은 기능이 있기 때문에 검사해야할 데이터가 폭증하기 때문
  • 애플리케이션 단위 제어 어려움 : IP주소와 포트번호, url주소 위주로 판단하기 때문
  • 암호화 트래픽 분석 한계 : 별도의 SSL/TLS 복호화 기능이 없는 경우 HTTPS 내부 트래픽 분석이 어렵다.

UTM은 왜 애플리케이션 제어가 어려울까?

  • 예를 들어 다음과 같은 서비스들은 모두 HTTPS (TCP 443)를 사용한다. 
TCP 443
 ├ Google Search
 ├ Google Docs
 ├ Google Drive
 └ Google Meet
  • UTM은 일반적으로 IP주소, 포트번호, URL주소를 기반으로 동작하기 때문에 "google.com 허용/차단" 과같은 정책을 적용할 수 있다.
  • 하지만 검사하는 정보가 제한되어있기 때문에 "도메인 내부에서 사용되는 세부 서비스나 기능"까지는 구분하기 어렵다.
  • 예를 들어 아래와 같은 경우는 UTM이 식별하기 어렵다. 
Google Search 허용
Google Docs 허용
Google Drive 업로드 차단
  • 왜냐하면 UTM은 "google.com"수준까지는 식별할 수 있지만, 사용자가 Google 내부에서 어떤 애플리케이션이나 기능을 사용하는지까지 분석하지 못하기 때문이다.



NGFW의 등장

UTM의 한계를 극복하기 위해 등장한 장비가 NGFW(Next Generation Firewall)이다.

NGFW는 기존 방화벽 기능에 더해 사용자와 애플리케이션을 인식하고, 암호화된 트래픽까지 분석할 수 있다.

  • NGFW는 DPI (Deep Packet Inspection)와 애플리케이션 식별 기능을 이용하여 세부 서비스 까지 구분할 수 있다.
  • 즉, UTM이 "어디로 접속하는가"를 중심으로 판단했다면, NGFW는 "무엇을 사용하는가"를 중심으로 판단한다.



NGFW의 주요 기능

애플리케이션 제어

TCP 443
  ↓
HTTPS
  ↓
Google
  ↓
"Google Drive" (실제 애플리케이션까지 식별)

포트 번호가 아닌 실제 애플리케이션을 식별한다.


사용자 기반 정책

개발팀은 허용
인사팀은 차단

위와 같이 사용자 단위 접근 제어가 가능하다.


IPS 통합

침입 탐지 및 차단 기능을 내장한다.


SSL/TLS Inspection

암호화된 트래픽 내부까지 검사할 수 있다.



UTM과 NGFW 비교

구분UTMNGFW
목적기능 통합고도화된 트래픽 분석 및 제어
애플리케이션 인식제한적가능
사용자 기반 정책제한적가능
SSL Inspection제한적가능
IPS 통합가능가능
보안 수준중간높음



실제 기업 환경

최근 기업 환경에서는 UTM보다 NGFW를 사용하는 경우가 많다.

특히 클라우드, SaaS, 원격근무 환경에서는 애플리케이션과 사용자 중심의 정책이 중요하기 때문이다.

다만 중소기업 환경에서는 비용과 관리 편의성 때문에 UTM이 여전히 사용되고 있다.



한 줄 정리

UTM은 기능 통합에 초점을 맞춘 보안 장비이고, NGFW는 애플리케이션과 사용자를 식별하여 보다 세밀한 보안 정책을 적용할 수 있는 차세대 방화벽이다.

profile
hi2li
Easy come , Easy go
이전 포스트

Overlay Network 와 Underlay Network

다음 포스트

HTTP와 HTTPS

0개의 댓글