분리(Gap) 기술을 이용한 여러 가지 제품 중 현재 6가지 우수한 제품들을 살펴보면 다음과 같다. 웨일(Whale)의 ‘이갭(e-Gap)’, 스피어헤드(SpearHead)에서 만든 ‘넷갭(NetGAP)’, 볼테르(Voltaire)의 ‘투인원피씨(2-in-1 PC)’과 ‘투인원넷(2-in-1 NET)’, 아울(Owl)에서 만든 ‘보안 파일 전송 시스템(Secure Directory File Transfer System)’, RVT의 ‘스탑잇(Stop-It)’, 그리고 마지막으로 마켓센트럴(Market Central)에서 만든 ‘시큐어 스위치(Secure Switch)’ 등이 있다.
국내업체의 분리 기술은 볼테르의 제품과 유사한 네트워크 전환 장치가 주종을 이루며 자체 개발 또는 볼테르와 공동 개발했으며, TTEC, 에프네트(F-net), 오에스윈테크, 투모아넷 등이 있다.
위에서 언급한 각각의 업체에서 만든 제품은 서로 다른 해결책을 제공한다. 대부분 업체의 각 제품 사이에는 근본적인 차이가 있기 때문에 제품간의 직접적인 비교는 어렵다. 그러나 한 가지 의미는 네트워크 분리(Air Gap) 보안 기술에 속한 제품들을 가지고, 그 기능과 구조를 설명하는 것은 의미가 있다. 각 제품의 기능 및 구조가 전체 분리 기술을 이해하기 위한 자료는 될 수 없으며, 각 업체에 자료를 요청하기 이전에 참고적인 연구와 이해의 목적으로만 활용될 수 있다.
웨일의 ‘이갭(e-Gap)’
이갭은 양단의 서버 사이에서 ‘분리된 공간(gap)’을 만들어 주는 하드웨어 장비이다. 양단의 서버는 서로 다른 네트워크에 연결되어 있으며 분리된 공간으로만 연결될 수 있다. 각 서버는 자신의 네트워크에서 다른 네트워크로의 데이터 전송 게이트웨이 역할을 하도록 설정되어 있으며, 네트워크간에 트래픽을 분리된 공간을 통해 전송한다.
이갭은 아날로그 스위치와 프로그램이 불가능한 SCSI 기반의 메모리 뱅크로 구성되어 있는 장치이다. 이갭 장비의 인터페이스는 간단하고 유용하다. 스위치는 하나의 호스트에서 다른 호스트로 연결하도록 설계되어 있지만 동시에 연결되지는 않는다. 또한 제대로 동작하는지 확인하기 위한 단락 회로 탐지 기능을 제공한다. 결과적으로, 이갭은 하나의 네트워크에 연결해 기다리고 있는 정보를 읽은 다음, 스위칭을 하여 다른 네트워크로 보낸다. 이론적으로 130Mbps의 전송 속도로 네트워크 사이에 자료를 전송한다.
그 밖에 양단 서버에 설치되는 클라이언트 소프트웨어는 분리된 공간을 통해 자료가 통과하기 전에 자료에 대한 컨텐츠 조사를 수행한다. 컨텐츠 조사는 애플리케이션에 따라 다르며, 잘못된 URL과 CGI, 또는 의심스러운 헤더와 버퍼 오버플로우(overflow)와 같은 예외적인 사항을 조사하도록 설정할 수 있다.
TCP 연결은 양단의 서버에서 단절되고, 모든 프로토콜 계층은 세션이 종료될 때 끊어진다. 이 기능은 분리된 공간의 양단 서버에 완전한 네트워크 연결이 존재하지 않음을 보증한다. 또한 네트워크 프로토콜의 약점에 기인한 공격이 분리된 공간을 통과할 수 없음을 의미한다.
복잡한 문제 해결에 해답 제시
이갭은 네트워크와 네트워크 사이에 정보를 전달하기 위한 특정 애플리케이션 ‘셔틀’ 소프트웨어를 사용한다. 현재 웨일은 ‘트랜잭션 셔틀’과 ‘파일 셔틀’을 제공할 뿐만 아니라, 사용자 요구에 따른 셔틀을 만들기 위한 소프트웨어 개발자 킷(Kit)도 제공한다.
트랜잭션 셔틀은 전자상거래용 웹 서버를 위하여 설계됐다. 비록 실제 웹 컨텐츠가 외부에 놓여 있지 않더라도, 전자상거래 웹 서버는 외부 세계에 연결되어 있는 외부 호스트일 경우가 많다. 외부 서버가 받은 ‘요청’은 분리된 공간을 통과하기 전에, 프로토콜 정보가 제거된다. 내부 서버는 분리된 공간을 통과한 ‘요청’을 받아(필요에 따라 복호화도 하며) 조사하게 된다. 내부 네트워크에서 안전하게 저장된 ‘응답’이 만들어지고 분리된 공간을 통하여 외부 네트워크로 다시 전송된다.
‘요청’의 결과로 받은 ‘응답’ 정보가 실제로 외부 서버로 도착했다는 것을 사용자가 알 수 있는 방법이 없다. 이유는 이갭 소프트웨어가 내부 주소 정보를 숨기기 위하여 HTML을 재작성하기 때문에 가능하다. 그 결과 사용자는, 여러 가지 가능한 공격을 막고 ‘가상 사설 애플리케이션’을 제공하는 백엔드 전자상거래 시스템에 직접 접속할 수 없게 된다.
트랜잭션 셔틀은 또한 내부 네트워크에 있는 특정 시스템으로 사업 파트너가 접근하도록 하는데 사용될 수 있다. 관리하는데 어려움이 있고 실제로 필요한 것 이상의 권한을 제공할 수도 있는 기존의 내부 네트워크 접근 방법에 비하여 좀 더 확실한 대안이 될 수 있다.
반면 파일 셔틀은 지속적으로 특정 디렉토리에 새로운 파일 등을 관찰함으로써 동작한다. 외부에서 새로운 파일이 추가될 때, 파일이 분해되어 분리된 공간을 통과하여 전송된 다음 임시 격리 구역에서 조립되고 조사된다. 만약 파일이 깨끗하다고 판단되면 내부 호스트의 최종 목적지로 전송된다. 내부에서 외부 네트워크로 파일을 보내는 절차는, 파일이 내부 호스트에서 조사되는 절차만 제외하면, 데이터가 내부로 들어올 때와 마찬가지로 동작한다.
