데스크탑 방화벽은 두 가지 목적을 위한 것인데, 우선 이들은 들어오고 나가는 트래픽에 대한 액세스 제어를 설정할 수 있게 해줌으로써 트로이전이 네트워크에 침투할 수 있는 가능성을 제한한다. 예를 들어 많은 데스크탑 방화벽들이 인터넷에 접속할 수 있는 프로그램을 지정할 수 있게 해주고 있다. 하지만, 이런 방화벽들은 사용자가 적법한 것이건 악성이건 프로그램을 설치 및 실행하는 것을 막지 못한다. 트로이전이 c:/winnt를 삭제하려 한다면, 데스크탑 방화벽은 이것을 막지 못할 것이다.
두 번째로, 데스크탑 방화벽은 내부 사용자를 서로로부터 보호해준다. 불만이 많은 직원이라면 지불 시스템을 해킹해서, 회사 전체에 경영진의 봉급이 실린 메시지를 보내려 할 수도 있다. 모든 서브넷이나 노드의 앞에 전통적인 방화벽을 설치해서 문제를 해결할 수도 있겠지만, 이 방법은 복잡하고 관리하기가 어렵다.
결정해야 할 것들
데스크탑 방화벽을 선택하기 전에, 소비자 등급의 모델이 필요한지, 기업 등급의 모델이 필요한지를 먼저 결정해야 한다. 두 가지 모두 유사한 보안 기능을 제공하긴 하지만, 기업 등급 방화벽에는 집중화된 관리와 정책 배포가 추가돼 있다. 인포익스프레스(InfoExpress), 사이버전 네트웍스(Sybergen Networks) 및 시큐리태(Securitae Corp.) 등에서 모두 집중식으로 관리되는 방화벽을 판매하고 있다. ISS(Internet Security Solutions) 및 존랩스(ZoneLabs)와 같은 업체들은 기업 및 소비자 버전 제품을 모두 제공하고 있다.
사용자 수가 얼마 되지 않거나, 자신의 기계만을 위한 방화벽이 필요하다면, 소비자 등급 방화벽이 맞을 것이다. 하지만, 이 사실은 반드시 기억해야 한다. 엔드유저는 절대 방화벽 설정을 바꿀 수 있는 권한을 가져서는 안 된다. 대부분의 집중식 관리 제품들이 정책을 잠글 수 있는 수단을 제공한다. 예를 들어, ISS의 블랙ICE PC 프로텍션(BlackICE PC Pretection)은 GUI 없이 제품을 설치할 수 있게 해준다.
일부 방화벽은 정책을 오버라이딩(overriding)할 수 있게 해준다. 씨게이트 테크놀로지즈(Sygate Technologies)의 씨게이트 시큐어 엔터프라이즈 솔루션(Sygate Secure Enterprise Solution)은 개별적인 사용자를 위해 예외를 만들 수 있게 해준다. 인포익스프레스(InfoExpress)의 제품과 같은 제품들은 사용자가 포트를 열거나 방화벽 기능을 끌 필요가 있을 때 사용자에게 줄 수 있는 오버라이드 패스워드를 제공하고 있다. 이런 특수한 환경은 반드시 관리자의 승인을 필요로 한다.
일단 방화벽이 배치되면 엔드유저가 받아야 할 정보가 얼마나 되는지를 결정할 필요가 있다. 모든 가능한 공격에 대해 경보를 받아야 하는가, 아니면 어둠 속에 이들을 남겨둬야 하는가.
예를 들어, 한 때 사용했던 존랩스 존알람(ZoneAlarm) 방화벽은 내 라우터가 내 기계를 핑하려 하고 있다고 말해주기도 했다. 글쎄... 보안을 위협하는 틈이 방어되고 있다는 사실은 물론 기쁘다. 하지만 대학 캠퍼스에서 많은 경보들은 ‘당신의 SNMP 기반 네트워크 관리 소프트웨어가 내 AOL 계정을 해킹했다’고 고발하는 학생들이 걸어대는 엄청난 양의 전화와 똑같은 결과를 가져올 수 있다. 무엇보다도 사용 통보는 심각한 위협으로 제한하는 것이 중요하다.
고려해야 할 다른 두 가지 사항이 있다. 대부분의 기업 등급 방화벽들은 로그 파일을 위한 데이터베이스를 필요로 한다. MS SQL이나 오라클의 라이선스와 전문가가 있는가? 별도의 데이터베이스 서버가 필요한가, 아니면 정책 서버에서 데이터베이스를 가동할 수 있는가?
또한, 이런 제품들은 가격이 매우 다양하다. 대다수 업체들이 불확실한 규모를 기준으로 가격을 매기고 있으며, 대량 구매시에는 할인혜택을 제공한다. 아마도 관리 서버용으로도 별도의 비용을 물어야 할 것이다. 그리고, 유지보수, 사용자 교육 및 지원에 대해서도 예산을 책정해둘 필요가 있다.
| √ 기능 체크 리스트
데스크탑 방화벽을 비교할 때는, 다음 기능을 갖춘 제품을 찾아야 한다.
1) 사용자들이 변경을 할 수 없도록 하는 정책 보고 기능 |
애플리케이션 제어
일부 데스크탑 방화벽들은 포트/IP 차폐 기능만을 제공하지만, 좋은 제품들은 트로이전을 잡을 수 있도록 추가적인 애플리케이션 제어도 또한 제공한다. 트로이전은 비열하다. 이들은 포트 80으로 HTTP가 있는 원격 서버에 데이터를 보내거나 다른 일반적인 인터넷 프로토콜들 중 어떤 것이든 이용할 수 있으며, 이는 곧 포트 차폐 기능만으로는 충분치 못하다는 것을 의미한다. 애플리케이션 제어 기능이 있으면, 어떤 프로그램이 네트워크 액세스를 허가 받는지를 정할 수 있다. 이 기능이 있는 제품은 보통 어떤 형태의 애플리케이션 통합 테스팅도 함께 제공한다.
예를 들어, 암호화되지 않은 실행파일의 MD5 체크섬이 데스크탑 방화벽으로 공급된다고 가정하자. 사용자가 프로그램의 변경된 버전을 돌리려 할 경우(해킹 트로이전이나 iexplore.exe에 들어 있는 바이러스), 체크섬은 맞지 않을 것이며 방화벽이 프로그램 액세스를 거부할 것이다. 그러나 이 기능은 관리적인 문제를 야기할 수 있다는 점에 유의하라. 승인된 프로그램 목록과 체크섬을 관리할 필요가 있을 것이다.
일부 데스크탑 방화벽은 더 많은 애플리케이션 제어 및 파일 통합 기능들을 제공한다. 예를 들어, 인포익스프레스의 사이버아모르(CyborArmor)는 프로그램 스포닝(spawning)을 제어할 수 있게 해주기 때문에, 아웃룩이 아니라 유도라에서 돌릴 때 실행할 배치 스크립트(batch script)를 세팅할 수 있다.
하지만 애플리케이션 제어 기능이 있다 하더라도 트로이전은 DLL이나 가동 프로세스에 침투할 수 있다. DLL 무결성 점검은 다음에 넘어야 할 큰 벽이며, 업체들은 현재 이 기능을 작업 중이다.
보안 스위트
데스크탑 방화벽은 바이러스나 악성 코드가 손상을 입히는 것을 보호해주지 못하며, 부적합 코드를 제거하지도 않을 것이다. 감염 예방과 청소를 위해서는 안티바이러스 소프트웨어가 필요하며, 데이터를 안전하게 전송하기 위해서는 VPN이 필요하다. 하지만 세 가지 종류의 제품을 모두 셋업 및 관리하는 일은 세 개의 독립된 관리 플랫폼을 필요로 하는 큰 일이 될 수 있다. 이를 위해 다행히도 일부 업체들이 방화벽과 VPN, 안티바이러스 제품이 통합된 스위트를 만들어내고 있다.
기업 인수 바람과 제품 개발에 하나의(one-size-fitz-all) 방식을 적용시키는 업체들을 반영하듯, 보안에도 통합의 물결이 거세지고 있다. 보다 저렴한 가격에 더 많은 기능을 얻을 수는 있겠지만, 각각의 구성요소가 그 부문에서 최고의 것은 아닐지도 모른다. 하지만 데스크탑 보호 부문에서 다중 기능성을 향한 적당하고 지능적인 움직임을 어느 정도 우리는 목격하고 있다.
예를 들어, F-시큐어(F-Secure)는 방화벽과 안티바이러스 프로그램을 하나의 인터페이스에서 관리할 수 있게 해주는 스위트를 만들고 있다. 그리고 인포익스프레스(InfoExpress)의 제품은 VPN 터널이 수립됐을 때 이를 감지하며, 이에 따라 자신의 방화벽 정책을 바꾼다. 체크포인트 소프트웨어 테크놀로지즈는 자사의 VPN 클라이언트에 개인용 방화벽을 번들시켰다. 이러한 통합은 향후 큰 차별화 요소가 될 것이다.(dataNet)
