이 시각 주요 뉴스

여백

네트워크 보안의 시작과 끝, 방화벽

기능 확장과 지능화, 고성능화 통해 끊임없는 진화
신동윤 기자l승인2018.02.09 09:38:06l수정2018.02.09 09:46

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동윤 기자] 네트워크 보안의 핵심이자, 가장 많은 비중을 차지하는 방화벽은 외부로부터의 불법적인 침입을 막는 것을 기본적인 목적으로 하고 있다. 특히 네트워크에 연결되지 않고는 아무 것도 할 수 없는 현재와 같은 상황에서 방화벽의 중요성은 더욱 강조되고 있으며, 네트워크 사용 환경의 변화와 공격 기법의 변화에 대응하기 위해 끊임없이 진화해 나가고 있다.

방화벽(Firewall)의 원래 뜻은 불이 났을 때 더 이상 불이 번지지 않도록 격리하는 벽을 말한다. 하지만 IT 분야에서 방화벽이라고 하면, 네트워크 라우터에 연결된 랙마운트 장비, 혹은 윈도우에 내장된 보안 기능을 먼저 생각할 것이다. 아니 이제는 오히려 원래 방화벽이라는 말은 방화셔터 등 다른 용어가 차지하고, 방화벽이라고 하면, IT 보안 장비로써의 방화벽을 먼저 생각하는 것이 오히려 일반적인 상황이다.
방화벽은 네트워크를 통해 오가는 트래픽을 모니터링하고 제어하는 보안 시스템이다. 방화벽이라고 부르는 이유는 외부의 신뢰할 수 없는 네트워크와 내부의 신뢰할 수 있는 네트워크를 서로 분리하고, 외부의 신뢰할 수 없는 트래픽이 내부로 침입하는 것을 차단하는 역할을 하기 때문이다.

초기 컴퓨터는 네트워킹을 고려하지 않고 단독으로 동작하도록 구성됐었지만, 최근에는 네트워크나 인터넷에 연결되지 않은 컴퓨터는 특수한 용도의 일부를 제외하고는 찾아볼 수 없는 것이 현실이다. 또한 해킹이나 불법적인 침입은 이런 외부와 연결된 네트워크를 통해 대부분이 이뤄지고 있다.

방화벽은 이런 신뢰할 수 없는 외부와의 신뢰할 수 있는 내부의 경계에 위치하면서 외부의 침입으로부터 내부의 자원과 시스템을 보호하는 역할을 한다.

일반적인 방화벽의 구성

정리하자면, 방화벽은 허가된 접근, 서비스, 사용자만을 통과시키는 정책을 수립해 외부망으로부터 내부망을 보호하는 것을 주요 목적으로 하며, 제공하는 주요 기능으로는 접근 통제(Access Control), 주소 변환(Network Address Translation), 인증(Authentication), 감사 기록/추적기능(Logging/Auditing) 등이다.

특히 감사 기록/추적 기능의 경우는 공격을 받았을 경우 이를 파악하고 해결책을 제시하기 위한 중요한 근거가 되기 때문에 매우 중요한 기능 중 하나다.

가장 기본적인 보안 시스템으로써 확고한 자리를 잡고 있는 방화벽은 내부와 외부 사이를 오가는 거의 모든 트래픽이 집중될 뿐 아니라, 필연적으로 외부에 일정부분 공개되기 때문에 자체적으로도 높은 보안 수준을 유지해야 함은 물론이고, 충분한 성능과 안전성을 제공해야만 한다.

네트워크 보안을 대표하는 장비이면서 가장 오래된 네트워크 보안 솔루션으로 대부분의 기업 네트워크나 데이터센터 등에 기본적으로 적용되고 있다. 방화벽은 다양한 기능으로 구현되며, 각각의 서버나 PC 탑재된 운영체제의 기본 보안 기능으로, 또 별도의 어플라이언스로도 사용되며, 라우터나 스위치에 내장되고, 심지어 공유기에도 기본 보안 기능으로 탑재되기도 한다.

패킷 필터링 중심의 1세대 방화벽

방화벽은 초기 패킷 필터링(Packet Filtering)에서 시작했다. 라우터를 통해 내부 네트워크와 외부 네트워크 사이를 오가는 패킷의 네트워크 어드레스와 포트를 모니터링해 이를 통과시킬 것인지, 아니면 거부하거나 폐기할 것인지를 결정하는 것이다. 이런 패킷 필터링에 대한 기초는 1988년 DEC(Digital Equipment Corporation)에서 개발됐으며, 이후 AT&T의 벨연구소에서 패킷 필터링에 대한 연구를 지속해 패킷 필터링에 기반한 방화벽 아키텍처를 개발했다.

이처럼 패킷 필터링에 기반한 방화벽을 1세대 방화벽이라고 하며, 사전에 정의된 정책에 따라 패킷을 필터링하는 역할을 하며, 기본적으로 정책에 부합할 경우 전송을 허용하고, 그렇지 않을 경우 패킷을 걸러내면서 ICMP(Internet Control Message Protocol)를 통해 권고하거나, 혹은 폐기하는 등의 작업을 수행한다.

패킷 필터링은 IP 주소나 포트 번호, 프로토콜을 기반으로 접속을 허용하거나 거부하는 가장 기본적인 방화벽 기술이다. 일반적으로 발신지 주소(Source Address)나 목적지 주소(Destination Address) 그리고 포트 번호를 이용해 트래픽을 제어한다.

패킷 필터링은 OSI 7 모델 중 주로 3~4 계층에서 수행되므로 구현하기가 쉽고 속도가 빠르다는 장점이 있으나, 보안 정책과 네트워크 세그먼트의 수가 증가할수록 성능 저하가 발생할 수 있으며, 어플리케이션 페이로드(Payload)에 대한 제어가 불가능하다는 단점이 있다. 이외에도 일반 사용자가 직접 규칙을 설정하기는 어려우며, 잘 알려진 패킷 유형으로 우회에 들어오는 공격에 대해서는 대응할 수 없다는 약점이 있다.

스테이트풀 인스펙션으로 진화한 2세대 방화벽

이런 문제를 해결하기 위해 등장한 것이 2세대 방화벽으로, 2세대 방화벽의 개발 또한 AT&T의 벨연구소가 큰 공헌을 한다. 1990년 벨연구소에서 서킷 레벨 게이트웨이(Circuit-Level Gateway)라고 부르는 2세대 방화벽을 개발했다. 이는 기존에 패킷 단위로 모니터링하던 구조에서 벗어나 세션 단위로 검사하는 방화벽으로 스테이트풀 패킷 인스펙션(Stateful Packet Inspection)이라는 기능을 핵심으로 내세우고 있다.

여기서 말하는 세션은 네트워크 각 노드가 통신을 위해 만드는 논리적인 통신 선로로, 이 선로를 통해 패킷을 주고 받는다고 생각하면 된다. 따라서 2세대 방화벽은 1세대 방화벽에 비해 패킷에 대한 더 많은 정보는 물론이고, 단순히 패킷 속의 정보뿐 아니라 세션의 생성에서 종료까지 오가는 패킷을 별도로 모니터링할 수 있기 때문에 각각의 세션에 대한 정책을 수립하면, 개별적인 패킷에 대해 신경쓰지 않아도 된다는 점에서 보다 강력한 보안 기능을 제공한다.

이 방식은 패킷 필터링과 애플리케이션 프록시(Application Proxy) 방식을 상호 보완한 기술로 네트워크와 데이터링크 계층 사이에서 동작하는 인스펙션 엔진(Inspection Engine)이 상위 계층 정보를 바탕으로 접근 제어를 수행해 세션 연결부터 종료까지 기록된 접속 트랜잭션 정보를 기반으로 처리하므로 빠른 성능 제공이 가능하다는 장점을 갖고 있다.

하지만 2세대 방화벽조차도 미리 설정된 정책에 따라 모니터링과 제어를 하기 때문에 정책이 많아질수록 성능 저하가 발생할 우려가 있으며, 일반 사용자가 정책을 관리하기에는 어렵다는 기존 1세대 방화벽의 단점을 그대로 갖고 있다.

또한 DDoS(Distributed Denial of Service)와 같은 대규모 공격은 수천, 수만개의 세션을 생성하기 때문에 각각의 세션에 대한 모니터링을 수행해야 하는 2세대 방화벽은 성능의 저하 혹은 무력화될 수 있으며, 이로 인해 전체 외부 연결이 단절될 수도 있다.

애플리케이션까지 감시 영역 확장한 3세대 방화벽

현재는 맥아피에 인수된 TIS(Trusted Information System)에서 1994년 선보인 건틀릿 파이어월(Gauntlet Firewall)에서 처음 시작된 3세대 방화벽은 다른 말로 애플리케이션 방화벽(Application Layer Firewall)이라고도 부르며, IPS(Intrusion Prevention System), UTM(Unified Threat Management), WAF(Web Application Firewall) 등이 이에 해당한다.

이는 애플리케이션과 프로토콜에 대한 이해를 통해 허가받지 않은 애플리케이션이나 서비스를 확인하고 제어할 수 있으며, 심지어 잘 알려진 프로토콜이나 포트를 통해 유입되는 패킷의 비정상적인 행동까지도 확인할 수 있다. 이런 애플리케이션 방화벽은 패킷의 내용을 검사하는 것은 물론, 애플리케이션에 어떤 영향을 주는 지까지 확인할 수 있다.

또한 애플리케이션 방화벽은 기존의 IP 주소나 MAC 주소와 같은 이해하거나 기억하기 난해한 기준으로 정책을 수립하는 것에서 벗어나 사용자에게 친숙한 사용자 이름이나 도메인 주소, 애플리케이션의 이름 등을 통해 정책을 수립할 수 있기 때문에, 접근성이 좋을 뿐 아니라, 좀 더 세밀하고 명확한 정책을 수립할 수도 있다.
2012년 이후 NGFW(Next Generation FireWall)이라는 새로운 명칭이 등장하기 시작했는데, 이는 기본적으로 3세대 방화벽의 애플리케이션 스택 검사 기능을 확장하고 더 깊숙이 볼 수 있도록 강화한 것이다.

현재 가트너는 NGFW를 ▲스테이트풀 인스펙션과 같은 표준 방화벽 기능 ▲통합 침입방지 기능 ▲위험한 애플리케이션을 식별하고 차단하기 위한 애플리케이션 인식 및 제어기능 ▲향후 정보 피드를 포함하기 위한 업그레이드 경로 ▲진화하는 보안 위협에 대응하기 위한 기술 등을 포함해야 한다고 정의하고 있다.

방화벽의 주요 기술별 모니터링 영역

네트워크 보안에서 엔드포인트 보안까지

방화벽은 주로 두가지 형태, 네트워크 기반 방화벽과 호스트 기반 방화벽으로 구분된다. 네트워크 기반 방화벽은 LAN이나 WAN, 인트라넷의 게이트웨이 구간에 위치하며, 일반적인 범용 서버에 소프트웨어 형태로 탑재되거나, 혹은 전용 하드웨어 어플라이언스에 탑재된다.

호스트 기반 방화벽은 각 네트워크 노드에 위치하며, 주로 운영체제의 일부 서비스로 동작해, 일반적인 방화벽이 네트워크 보안을 담당한다면, 주로 엔드포인트 보안을 담당한다. 대표적인 경우가 윈도우의 방화벽 기능이다. 이는 사용자의 동의를 구하지 않고 외부와 통신을 시도하는 애플리케이션을 확인하고 사용자에게 보고하거나 차단하는 역할을 한다.

두가지 방식은 일장 일단이 있으나 네트워크 기반 방화벽의 경우 방화벽이 무력화되거나 다운될 경우 외부 네트워크 전체가 차단되는 SPOF(Single Point of Failure)로 동작할 수 있다는 것이다. 또한 호스트 기반 방식의 경우, 방화벽이 제대로 설정되지 않은 노드는 무방비 상태가 된다는 것이다. 대부분의 경우, 두가지 방화벽을 동시에 사용하는 경우가 많다.

#보안#방화벽#파이어월#firewall#NGFW#WAF#UTM#IPS

신동윤 기자  dyshin@techworld.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동윤 기자의 다른기사 보기
기사 댓글
첫번째 댓글을 남겨주세요.
0 / 최대 400byte

숫자를 입력해주세요

욕설등 인신공격성 글은 삭제합니다.
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .