'Windows 방화벽에서 이 앱의 일부 기능을 차단했습니다' 인터넷을 하다 보면 한 번쯤 이런 보안 경고창과 마주하게 된다. 프로그램이 제대로 작동하지 않거나 외부와의 통신이 원활하지 않을 때 우리는 매번 제어판에 들어가 번거로이 방화벽 사용을 해제해야 한다. 평소에는 제 존재를 드러내지 않다가 중요한 순간 나타나서 내 일을 방해하는 방화벽, 과연 우리에게 꼭 필요할까?
네트워크 문지기, 방화벽
방화벽은 본래 불이 번지는 것을 막기 위해 세운 벽을 의미한다. 인터넷에 접목해 그 의미를 빗대보면 인터넷에서 발생하는 네트워크 보안 사고가 확대되는 것을 막고 이로부터 격리하는 역할로 볼 수 있다. 최근 코로나19 확산으로 재택근무가 늘고, 인터넷을 통해 대부분의 일을 처리하게 되면서 해킹과 바이러스의 위협은 증가하고 있다. 그 어느 때보다 보안이 중요시되고 있는 요즘, 이제 사람들은 소방의 의미보다 IT 보안 장비인 방화벽을 먼저 떠올리게 됐다.
방화벽은 흔히 현관문에 비유된다. 집 안과 밖에서 침입자를 막아주는 현관문처럼, 방화벽은 내외부 네트워크 상호 간 영향을 차단해 불법 침입과 정보 유출을 방지한다. 외부 네트워크로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다.
기본적으로 방화벽은 6만 5천여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 일부 포트만을 열어두는 방식으로 방어 대책을 취한다. 포트는 네트워크로 데이터가 이동하는 통로를 의미하는데, 통신 포트뿐 아니라 외부에서 내부로 접근하는 IP 주소나 특정 프로그램도 접근/거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정은 접근 제어 목록에 포함돼 일괄적으로 적용된다.
이 밖에도 방화벽은 사용자 인증, 감사 및 로그, 네트워크 주소 변환, 프록시 기능 등의 기능을 수행하고 있다.
패킷 필터링에 기반한 1세대 방화벽
방화벽은 인터넷이 사용되던 초기인 1980년대부터 본격적으로 도입됐다. 초기에는 네트워크 장비 중 하나인 라우터(Router)가 방화벽 역할을 했으며, 이후 외부 공격 형태가 다양하게 변화함에 따라 방화벽 기술도 그에 맞춰 진화했다.
1세대 방화벽은 패킷 필터링(Packet Filtering)에 기초한다. 패킷은 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송 단위를 의미하며 외부로부터 들어오는 패킷의 형태를 분석해 필터링하고 사전에 설정해 둔 보안 정책에 부합할 경우 통과시키고 그렇지 않으면 패킷을 걸러내면서 폐기하는 등의 작업을 수행한다.
패킷 필터링은 운용이 쉽다는 장점이 있으나, 네트워크 내 모든 패킷을 대상으로 검사를 수행해야 해 과부하로 인한 처리 지연 현상이 발생하는 등 안정성이 취약하다. 또 일반 사용자가 직접 규칙을 설정하기 어렵고, 잘 알려진 패킷 유형으로 우회해 들어오는 공격에 대해서는 대응할 수 없다는 단점이 있다.
발전한 상태 분석형 2세대 방화벽
이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 상태 분석형(Stateful inspection) 방화벽이 등장했다. 기존 패킷 단위로 모니터링하던 구조에서 벗어나 세션(Session) 단위로 검사하는 방식으로, 세션은 네트워크 각 노드가 통신을 위해 만드는 논리적인 통신 선로를 의미한다. 선로를 통해 패킷을 주고받게 되면서 2세대 방화벽은 1세대 방화벽보다 패킷에 대한 더 많은 정보를 모니터링 할 수 있게 됐다. 또 단순히 패킷 속의 정보뿐 아니라 세션의 생성에서 종료까지 오가는 패킷을 별도로 관리할 수 있으므로, 각각의 세션에 대한 정책을 수립하면 개별 패킷에 신경 쓰지 않아도 된다.
하지만 2세대 방화벽도 미리 설정된 정책에 따라 제어ㆍ모니터링 하므로 정책이 많아질수록 성능 저하가 발생할 우려가 있으며, 일반 사용자가 정책을 관리하기에는 어렵다는 단점이 있다. 또한 DDoS(Distributed Denial of Service)와 같은 대규모 공격은 수천, 수만 개의 세션을 생성하기 때문에 각각의 세션에 대한 모니터링을 수행해야 하는 2세대 방화벽은 성능의 저하 혹은 무력화될 수 있으며, 과부하로 전체 외부 연결과 단절될 수도 있다.
세밀한 애플리케이션 3세대 방화벽
3세대 방화벽은 애플리케이션 방화벽(Application Layer Firewall)이라고도 부르며, IPS(Intrusion Prevention System), UTM(Unified Threat Management), WAF(Web Application Firewall) 등이 이에 해당한다.
애플리케이션과 프로토콜에 대한 이해를 통해 허가받지 않은 애플리케이션이나 서비스를 확인하고 제어할 수 있고, 심지어 잘 알려진 프로토콜이나 포트를 통해 유입되는 패킷의 비정상적인 행동까지도 확인할 수 있다. 애플리케이션 방화벽은 패킷 내용을 검사하는 것은 물론, 애플리케이션에 어떤 영향을 주는 지까지 확인할 수 있다.
아울러 애플리케이션 방화벽은 기존의 IP 주소처럼 이해하거나 기억하기 난해한 기준으로 정책을 수립하는 것에서 벗어나 사용자에게 친숙한 사용자 이름이나 도메인 주소, 애플리케이션의 이름으로 정책을 수립할 수 있어 세밀하고 정확한 정책을 수립할 수 있다.
차세대 방화벽의 등장
그러나 침입자에 대한 알람 미수행, 내부자 보안 침해 문제, 바이러스 공격 등과 같은 한계점은 여전했다. 이에 따라 2012년 이후 NGFW(Next Generation FireWall)이라는 새로운 방화벽이 등장했다.
차세대 방화벽은 포트, 프로토콜을 검사하는 기존 방화벽뿐만 아니라 애플리케이션 레벨의 검사를 하고, 침입을 차단하는 앱 레벨의 개별 관리가 가능한 보안 솔루션이다. 과거 별도의 기기를 통해 처리하던 기능 중 상당수가 현재는 차세대 방화벽으로 녹아들었다. 애플리케이션 통제와 사용자별 계정 정보를 식별해 접근 및 차단 기능을 부여하고 샌드박스 기능을 추가해 이상 패턴을 가상 공간에서 먼저 실행하고 안전한 패킷만을 내부 사용자에게 전달할 수 있다. 최근에는 클라우드 환경의 다양한 위협 정보를 단순 접근 제어할 뿐 아니라 분산된 보안 기능을 하나로 통합한 보안 서비스 플랫폼 역할도 하고 있다.
이외에도 차세대 방화벽은 애플리케이션 식별 및 제어, 실시간 SSL 세션 해독, 고성능 보안 기능,알려지지 않은 위협 대응, URL 필터링 등과 같은 임무를 수행한다.
생활 속 방화벽 수칙
한 보안 전문가는 “업무에 필요한 각종 자료가 많아질수록 이러한 정보를 쉽게 얻으려는 해킹이나 바이러스의 위협이 증가하는 것이 현실이다. 특히 공용으로 사용되고 있는 PC라면 이러한 정보를 안전하게 지키기 위해 방화벽은 필수이며 개인용으로 사용되고 있는 PC도 예외일 수 없다. 정부기관을 비롯해 모든 기업, 단체에서부터 개인까지 보안의 중요성과 방화벽의 중요성을 인식하고 올바르게 사용해야 하는 등 구성원 개인의 보안 의식 제고가 절실하다”고 전하며 보안과 방화벽 사용 설정에 대한 중요성을 강조했다.
특정 프로그램을 설치하면 인터넷 연결에 앞서 방화벽 설정 해제 여부를 묻곤 하는데, 해당 프로그램이 보안상으로 확실히 안전하다고 판단되지 않는 경우 방화벽 설정을 해제하지 않는 것이 바람직하다. 아울러 주기적으로 Windows 방화벽 설정 상태를 확인해 불필요하거나 출처 불명의 프로그램 유입이 허용돼 있지 않도록 해야 한다. 또 네트워크 연결이 필요한 프로그램이 작동하지 않는다면 Windows 방화벽 설정 확인 후 해당 네트워크 조직의 관리자에게 문의해야 할 것이다.
