90년대 중반부터 불기 시작한 인터넷 열풍은 이제 우리 생활의 일부가 됐다. 국내의 인프라 구축 역시 인터넷의 성장과 더불어 고도화를 거듭해 물리적인 수준은 어느 정도 완료된 상태다. 이제는 ‘보다 많이, 보다 빠르게’라는 단순 확장 개념에서 ‘보다 정확히, 보다 확실히’라는 질적 확장 개념으로 네트워크 구축 양상이 변모하고 있는 것이다.
하지만 최근 일고 있는 사설망에서 공중망으로의 마이그레이션은 대기업, 서비스 사업자 및 통신사업자에게 새로운 과제를 안겨주었다. ‘보다 빠르고, 보다 정확히, 그리고 가장 안정적으로’ 데이터 이동을 수반해야 한다는 점이다. 지금 대부분의 기업들은 네트워크 발전속도와 견줄 만큼 빠르고, 공중망을 사설망처럼 사용할 수 있을 만큼 확실한 보안솔루션의 등장을 기다리고 있다. 그리고 그것은 방화벽을 시작으로 침입탐지시스템(IDS), 안티바이러스로 확산되면서, 서서히 윤곽을 드러내고 있는 중이다.
보안솔루션 데이터 처리속도 “더 이상 미룰 수 없다”
인터넷 상거래에 주력하고 있는 기업들이 최근 겪고 있는 새로운 방식의 보안 침해 사례는 공용 IP 기반 네트워크 상에서 비즈니스 크리티컬 애플리케이션을 운영하는데 따른 취약점을 여실히 드러내고 있다. 이는 현재의 방화벽 기술이 모든 기업들에게 최일선의 방어 수단으로서 절대적인 역할을 담당하고 있지만, 지속적으로 증가하는 다양한 외부 공격의 위협으로부터 기업을 보호하거나 애플리케이션의 가용성 및 성능을 보장하기에는 아직 부족하다는 것을 여실히 보여준다.
대부분의 방화벽은 패킷 필터링 기술을 사용해 소스 어드레스, 수신지 어드레스, 애플리케이션, 프로토콜, 소스 포트 번호 또는 수신지 포트 번호 등과 같은 패킷의 TCP/IP 헤더 내에 포함된 정보를 토대로 수신 패킷을 승인하거나 거부한다. 여기에 최근에는 패킷을 더욱 상세히 분석하고 상세한 애플리케이션 트래픽 분석을 제공할 수 있도록 지원하는 인텔리전스 기능을 통해 한 차원 높은 수준의 보안을 지원한다. 하지만 이와 같은 시도는 결과적으로 네트워크 대기시간 지연이라는 문제를 야기한다.
예를 들어 플로우가 정상 트래픽인지 여부를 판단하기 위해서는 인텔리전트 방화벽이 네트워크로 들어오는 각 패킷의 엔트리를 지원하거나 차단하기 위해 일련의 수신 패킷을 순서대로 분석해야 한다. 이는 방화벽의 서버 프로세서를 손상시킬 수 있다. 만약 방화벽이 5개 또는 6개의 패킷이 배열된 후 각 패킷에 대한 해당 수신지를 결정해야 하는 경우, 네트워크 대기시간은 500∼600% 정도 증가하게 된다. 이러한 트래픽 플로우 지체는 오늘날 고속 왠(WAN) 환경이 제공하는 보다 높아진 대역폭에 악영향을 미친다.
네트워크 트래픽이 주로 소규모 패킷으로 구성되어 있는 경우 총 T3 회선(45Mbps)에 가까운 속도에서 오늘날의 방화벽은 이에 부합하는 처리 성능을 지원하지 못한다. 랜(LAN) 속도 및 인터넷 링크 속도를 100Mbps 이상으로 증가시킬 경우에는 플로우를 지원하기 위해서는 보안 필터링 플랫폼의 속도를 높여야 한다.
대부분의 기존 IDS 역시 방화벽과 유사한 한계에 봉착해 있다. 기존 IDS로는 네트워크 침입자 데이터를 포착해 이를 안전한 위치로 경로를 재지정함으로써 범죄 수사를 위한 분석을 수행할 수 없다. 이러한 능력은 네트워크 침입 패턴을 파악하고 향후 공격을 방지하는데 막대한 영향을 미친다.
안티바이러스도 예외는 아니다. 님다나 코드레드처럼 웹 트래픽을 통해 유입되는 웜 성격의 해킹 툴이 증가하면서, 안티바이러스 게이트웨이에 대한 요구가 급증하고 있기 때문이다. 메일 서버나 데스크탑용 안티바이러스의 경우 속도보다는 정확성을 요구하지만, 안티바이러스 게이트웨이는 필연적으로 속도 개선 노력이 뒤따라야만 한다. 이처럼 오늘날 네트워크 보안 담당자들은 네트워크를 보호하고 동시에 네트워크 성능 및 가용성을 유지시켜야 하는 매우 중요한 과제를 안고 있다.
로드 밸런싱 장비, 트래픽 분산 ‘일등공신’
현재 이러한 문제를 해결하기 위해 가장 널리 사용되고 있는 방식은 L4 스위치나 로드 밸런싱 장비와 같은 네트워크 성능 향상 솔루션을 보안서버의 앞단과 뒷단에 배치하는 방법이다. 즉 네트워크 성능 향상 솔루션은 트래픽을 분산시켜 보안 시스템의 병목현상을 제거하는 역할을 하고, 보안솔루션은 고유의 역할을 수행함으로써 보안성과 트래픽 문제를 동시에 해결하는 것이다.
최근에는 보안시스템만을 위한 네트워크 성능 향상 전용장비까지 출시되고 있다. 탑레이어네트웍스나 라드웨어로 대표되는 보안시스템 전용 로드 밸런싱 장비는 보안 솔루션에 최적화된 환경을 제공한다는 점에서 최근 고객에게 크게 어필하고 있다.
먼저 탑레이어의 ‘어택미티게이터’라는 장비를 살펴보자. 이 제품은 최일선에 위치한 방화벽에 공격이 닿기 전에 차단함으로써 방화벽은 고유의 역할을 수행할 수 있으며, 전체 네트워크는 공격으로부터 피해를 입지 않기 때문에 궁극적으로 네트워크를 보호하는 동시에 성능 및 가용성을 높일 수 있다. 특히 이 제품은 대부분의 기업들이 기존 방화벽 및 네트워크 장비 아키텍처에 엄청난 비용을 투자하고 있다는 점을 고려하면 적은 비용으로 최대의 보안성 및 성능을 보장하는 셈이다.
라드웨어의 인텔리전트 애플리케이션 스위치 역시 크게 다르지 않다. 이 제품은 기본적으로 로드 밸런싱 기능을 제공하는 동시에 네트워크 바이러스에 대한 차단, 특정 포트 트래픽 양을 보장하는 QoS(Quality of Service), ToS(Type of Service) 등의 기능도 보장한다. 특히 DOS 쉴드라는 기능은 해킹 공격 차단은 물론, 사용자 정의에 의해 특정 패턴에 대해서도 자유로운 설정이 가능해 보안성을 크게 향상시킨다. 이 제품을 단순히 L4 스위치가 아닌 통합 보안 스위치, 혹은 트래픽 관리 스위치라고 부르는 것도 이러한 이유에서다.
이와 같은 장비들이 주로 방화벽 구성에 사용된다면, 침입탐지서버를 위한 밸런싱 전용 장비도 있다. 보통 스위치 한 대를 연결하여 사용하는 경우 스위치와 IDS 서버간의 링크 속도는 10/100Mbps이다. 외부에서 1Gbps의 트래픽이 들어오는 경우 한 대의 침입탐지시스템으로는 최대 100Mbps의 트래픽에 대해서만 침입탐지 여부를 확인할 수 있다. 즉 일부 트래픽에 대한 샘플링 정도에 그치게 되는 경우가 대부분이며, 샘플링 트래픽에 대한 해킹 정보가 포함되어 있지 않으면 네트워크는 해킹 당할 위협에 크게 노출되는 것이다.
하지만 동시에 여러 개의 침입탐지시스템을 사용하면 그만큼 침입탐지율을 높일 수 있으므로 보안을 강화할 수 있다. 이와 같은 IDS 로드 밸런싱 장비는 보통 여러 가지의 침입탐지서버들을 연결하여 침입탐지율을 높여주는 역할을 한다. 이러한 제품이 여타 로드 밸런싱 기술과 차별화되는 점은 패킷 별로 분산하는 것이 아니라 ‘플로우(flow)’ 단위(세션 단위)로 침입 탐지 서버에 골고루 분산시켜 준다는 점이다. 즉 호스트-네트워크간에 ‘대화’ 전체를 던져줌으로써 침입탐지시스템이 침입 여부를 제대로 분석할 수 있으며, 그 대화가 악의적인지 여부를 판단하는 것이다. 탑레이어의 ‘IDS 밸런서’는 대표적인 IDS 로드 밸런싱 제품이다.