방화벽을 포함한 주요 정보보호 수단들은 오늘날의 해킹 침입에 대응하여 내부 네트워크를 효율적으로 방어하기 어렵다. 그 이유는 TCP/IP의 보안 취약성, O/S 코드 사이즈의 대형 및 불안정성, 애플리케이션 소프트웨어의 버그, 과부하 공격에 대한 근본적인 해결책 미비, 설정 및 구성 오류라는 5가지의 보안상 문제가 여전히 기술적인 한계로 남아있기 때문이다. 현재로서 최상급의 보안은 신뢰된 네트워크를 인터넷과 분리된 상태로 유지시키는 것이다. 그 기술이 바로 네트워크 분리 기술(에어 갭)이다. <편집자>

은행, 정부 그리고 의료 분야에서 일하는 관리자는 정부의 레인보우 시리즈(Rainbow Series), 영국 표준 7799 또는 HIPAA에 따라, 국내 규정으로는 군(軍) 전산보안지침, 국가보안지침 등에 따라 민감한 데이터를 보호해야만 한다. 네트워크 분리(에어 갭, Air Gap) 기술은 관리자에게 중요한 데이터가 인터넷을 통하여 전달될 때 데이터에 대한 신뢰성, 무결성, 가용성을 확신하도록 하는 융통성을 제공한다.

이 기술은 현재 존재하는 방화벽, 침입탐지시스템(IDS) 또는 안티바이러스 등과 같은 보안 시스템을 대체하는 것이 아니라 ‘또 다른 차원의 방어’ 전략에 있어서의 새로운 보안 방법을 제공한다. 이러한 기술은 해외 유수의 네트워크 또는 보안 전문지에서 보안에 대한 새로운 접근 방법으로 다루어지고 있다. 새로운 보안 기술인 에어 갭 기술의 소개에 앞서, 먼저 현존하는 보안 기술의 문제점에 대해 알아보자.

현존하는 보안 기술의 5 가지 문제점

오늘날 해킹공격에 대한 대부분의 주요 정보보호 수단은 패킷 필터링이나 애플리케이션 게이트웨이에 기반하고 있다. 그러한 정보보호 수단의 기본 모델은 하나의 컴퓨터에 여러 계층의 소프트웨어와 두 개의 네트워크 인터페이스 카드(NICs)를 갖는 형태이다. 이러한 모델은(패킷 필터링 방화벽 또는 라우터) 외부 세계와, 신뢰된 네트워크인 내부 네트워크 사이를 논리적으로 분리시킨다.

이러한 모델은 대개 다섯 계층의 소프트웨어에 의존하고 있다. 첫째로 바이오스(Bios, 보통 프로그램이 가능한 하드웨어 장치), 둘째로는 디바이스 드라이버이며, 셋째로는 데이터 통신 소프트웨어이며, 넷째로는 운영체제이고, 마지막으로는 응용 프로그램 계층이다. 응용 프로그램은 대개 방화벽과 같은 보안을 위한 응용 프로그램이다.

많은 기관들의 네트워크가 사설 네트워크에서 공중 네트워크로 변화하였고, 또 인터넷이 주요 사업의 기회로 활용됨에 따라, 네트워크 보안 문제를 해결하기 위하여 앞서 언급한 다섯 계층의 보안 소프트웨어 구조는 약 6여 년 전에 처음 나타나기 시작했다. 그러한 솔루션들은 보안의 많은 문제를 해결하지만, 더 이상 기업들에게 알맞은 수준의 보안을 제공하기 어렵다는 것이 지속적으로 증명되고 있다. 방화벽을 포함한 주요 정보보호 수단들이 오늘날의 해킹 침입에 대응하여 내부 네트워크를 효율적으로 방어하지 못하는 다섯 가지 주요 기술적 한계 및 이유는 아래와 같다.

TCP/IP의 보안 취약성

TCP/IP는 서로 상이한 네트워크를 연결하고 데이터 전송을 보장하기 때문에 인터넷에서 가장 널리 사용하는 통신 플랫폼이다. TCP/IP는 경로에 상관없이 전송을 보장한다는 취지에서 냉전 시대에 만들어졌다. 예를 들어, 만약 주요 전송 경로가 망가졌다면 데이터는 다른 경로를 취할 수 있도록 되어 있다. TCP/IP의 설계 당시에는 보안이 주요 이슈가 아니었다. 따라서 TCP/IP는 현재까지 많은 보안 취약점을 내포하고 있다. 해커들은 RFC 등의 알려진 정보를 이용하여 이러한 보안 취약점을 찾아 해킹에 이용하고 있다.

패킷 헤더를 이용한 많은 공격 중 일부는 라우팅 정보에 기반한 공격이다. TCP/IP 스트림은 텔넷(Telnet), 세션 인 세션, IP 스푸핑(Spoofing), TCP 일련 번호 추정 공격, ICMP 공격 및 FTP의 라우팅(TCP의 상위 계층 프로토콜) 등과 같은 공격에 이용됨으로써 신뢰된 네트워크를 보안위협에 노출시킬 위험을 내포하고 있다.

불행히도 설계 당시의 시각은 데이터가 목적지로 확실하게 전송되는 것뿐이었다. 소스 IP 주소와 어디에서 왔는지에 대한 신뢰성을 확인하기 위하여 만들어진 제어 방법이 없었다. 이것이 바로 TCP/IP 취약성을 해결하는 데 있어 가장 어려운 문제이다.

해커들은 주로 이 점을 악용한다. 해커는 데이터를 가로채기 위한 스니퍼를 이용하여 트래픽을 조사하고 TCP 시퀀스 번호를 예측한 다음 자신의 데이터 스트림을 삽입하기 위하여 라우팅과 인증 과정을 변경한다. 모리스(Morris) 웜은 이러한 접근 방법을 사용하였고, 케빈 미트닉(Kevin Mitnick) 등의 해커들은 이런 기술을 아주 성공적으로 이용하였으며, 이후에는 서비스 거부(DoS) 공격 등에 지속적으로 이용되고 있다.