데스크톱 방화벽 제품별 평가
상태바
데스크톱 방화벽 제품별 평가
  • Network Computing
  • 승인 2003.04.24 00:00
  • 댓글 0
이 기사를 공유합니다

경계선 방어의 첨병 … 중앙 서버가 보안 정책 지시
방어·관리·통합 능력 평가 … 씨게이트 ‘시큐어 엔터프라이즈’ 최고
중국의 만리장성은 최고의 경계 장벽이었다. 징기스칸이 그 곳에 가기 전까지는... 많은 네트워크 보안 팀은 여전히 벽을 쌓는 데만 전념하고 있지만 유목민들은 이미 문 앞에 와 있으며, 경계선이 확장되고 있기 때문에 이런 방어는 실패할 수밖에 없다. 네트워크의 경계선에 박혀 있는 데스크톱과 랩톱들에는 본질적인 취약성이 있으며, 이런 종단 지점들을 방어해주는 것이 바로 데스크톱 방화벽이다.

네트워크는 방화벽을 포함하고 있는 건물에 국한돼 있지 않다. 원격 다이얼인 사용자, VPN 사용자, 위성 사무소, 파트너, 공급자, 고정돼 있지 않은 액세스 포인트를 가진 무선랜, 그리고 서비스 사업자 등 이 모든 것들이 네트워크의 가상 경계선을 확장시킨다.

따라서 보안은 네트워크의 모든 자산까지 확장돼야 한다. 포괄적인 네트워크 보안에는 보호 하드웨어와 소프트웨어 계층이 필요하다. 데스크톱 방화벽은 체르노빌 같은 바이러스로부터 당신을 보호해주지 못할 것이다. 이 방화벽은 바이러스 스캐너의 기능을 대체할 수 있으며, 안티바이러스 프로그램이 방화벽의 필요를 대신할 수 있는 것도 아니다. 궁극적으로 말하자면, 데스크톱 방화벽, 안티바이러스 소프트웨어, 호스트 침입 탐지 및 VPN 툴을 모두 병기고 안에 갖추고 있어야 한다.

보안, 네트워크 모든 자산까지 확장돼야

데스크톱 방화벽은 틈을 메우는 역할을 하는 애플리케이션들로, 기계에 들어오거나 기계를 떠나는 모든 데이터를 가로채서 점검한다. 트래픽은 IP 어드레스나 포트, 혹은 애플리케이션에 따라 차단될 수 있다. 각각의 데스크톱 방화벽은 사용자 OS에 상주하기 때문에 어떤 애플리케이션이 네트워크 액세스를 시도하는지를 감지 및 파악할 수 있다.

이번 리뷰를 위해 테스트했던 중앙 관리 방화벽에서는 중앙 서버가 보안 정책을 지시한다. 각각의 클라이언트는 서버에 정책 파일을 다운로드하도록 질의하고 상황 보고서를 업로드한다.

이번에 테스트한 제품들은 인터넷 시큐리티 시스템즈(Internet Security Systems), 시큐리태(Securitae), 씨게이트 테크놀로지즈(Sygate Technologies), 시만텍(Symantec) 및 존 랩스(Zone Labs)의 방화벽이었다. 이전 데스크톱 방화벽 리뷰에서 에디터즈 초이스 상을 수상했던 인포익스프레스(InfoExpress)도 초대했지만, 테스트 기간이 이 제품의 새 버전 베타테스트 기간과 겹친다는 이유로 참가를 거부했다.

이런 방화벽 제품에서는 중앙 관리 서버와 엔드유저 데스크톱 클라이언트가 직접적이고 완벽하게 서로 얽혀 있으며, 단 서버에 있는 이름은 클라이언트 소프트웨어에 있는 서버에 있는 이름과 서로 다르다(예를 들어 ISS의 ICE캡 매니저와 리얼시큐어 데스크톱).

이번 리뷰에서는 마이크로소프트 윈도 시스템만을 테스트했다. 모든 OS에 취약성이 있긴 하지만, 비 윈도/인텔 플랫폼에 있는 악성 프로그램들의 수는 상대적으로 볼 때 얼마 되지 않기 때문이다. 윈도는 미국에 있는 데스크톱의 90% 이상을 차지하고 있으며, 따라서 더 목표물이 되기가 쉽다.

테스트 베드에서는 관리 서버와 클라이언트 스테이션으로 윈도 2000을 돌리는 600MHz 펜티엄 컴퓨터를 사용했으며, 필요에 따라 관리 서버에 마이크로소프트 SQL 2000을 설치하기도 했다.

늘어나는 관리 시간

테스트한 모든 제품들은 MD5 해시(hash)나 지문을 계산함으로써 변경, 혹은 겹쳐쓰기(overwritting) 된 애플리케이션으로부터 네트워크를 보호해준다. 론칭되고 있는 애플리케이션에 서버에서 지시한 것과는 다른 해시가 있다면, 이 애플리케이션에게는 네트워크 액세스가 거부된다. 여기서 감염된 인터넷 프로그램(바이러스나 트로이에)과 이름이 바뀐 애플리케이션들(iexplorer.exe로 가장한 트로이 목마 등)은 붉은 깃발을 올려 보낼 것이다.

테스트한 제품들 중 네 개는(시만텍의 클라이언트 시큐리티를 제외하고) 또한 컴포넌트 제어 기능을 제공한다. 이는 즉 이들이 제어 능력을 역시 트로이 목마들이 공격할 수 있는 .DLL과 기타 라이브러리 파일들까지 확장시켰다는 얘기다. 라이브러리는 윈도 .DLL 파일과 같이 애플리케이션이 액세스하고자 하는 기능을 포함하고 있는 컴파일링된 코드의 작은 파일이다. 방화벽은 애플리케이션에 대해 하는 것과 마찬가지로 각 라이브러리의 MD5 해시를 계산한다.

관리자는 보안 정책의 일부로 허가된 애플리케이션과 라이브러리 및 MD5 목록을 만들며, 이런 목록과 해시를 컴파일링 및 유지보수하는 데는 막대한 시간 투자가 필요하다.

차단 능력 테스트

데스크톱의 최대 고려사항은 방어이기 때문에, 우리는 두 개의 프로그램, 즉 파이어홀(FireHole)과 투릭키(TooLeaky)를 이용해서 각 방화벽의 애플리케이션 차단 능력에 도전을 하고 테스트를 했다. 이런 프로그램들은 DLL과 윈도 고리를 인터넷 익스플로러에 끼움으로써 작동한다. 파이어홀과 투릭키는 우리가 컴포넌트 제어 기능을 작동시킬 때까지 각 방화벽을 통과했다. 분명 애플리케이션 제어는 네트워크를 보호하기에는 역부족이다.

시만텍의 시큐리티 센터(Security Center)는 이 두 개의 트로이 목마를 막는 데 실패했다. 시만텍 제품에는 트로이 목마 확산을 감지하고 제거할 수 있는 안티바이러스 프로그램이 포함돼 있지만 이 솔루션은 사전 예방 차원이 아니라 사후 대처 차원이다.

테스트한 모든 제품에는 많은 관리 시간이 필요했기 때문에 TCO를 줄이는 데는 사용이 간편한 사양 관리 인터페이스가 필수다. 예를 들어 다단계식 관리는 사용자 그룹용의 어드민(admin)을 만들고 책임을 위임할 수 있게 해준다. 이런 기능을 사용하면 잠재적 공격에 대한 로그를 감시하기 위한 어드민과 어카운팅 그룹을 관리하기 위한 또 다른 어드민을 만들 수 있다. 우리는 또한 관리 서버의 고 가용성과 부하조절 능력을 검토해보았다. 시큐리태 CDMS, 시만텍 시큐리티 센터, 그리고 씨게이트 매니지먼트 서버는 고 가용성을 갖추고 있다.

하드웨어와 소프트웨어 층이 너무 많기 때문에, 보안 네트워크는 모든 것을 함께 연결해주는 제대로 된 툴이 없이는 엉망진창이 될 수 있다. 우리는 써드 파티 보안 제품에 대한 지원, 다양한 정책 및 네트워크, 그리고 디렉토리 서비스 등을 기반으로 제품의 통합 능력을 평가해 보았으며, 씨게이트 매니지먼트 서버가 이 분야에서 가장 뛰어난 통합 능력을 보여주었다.

이와 마찬가지로, 로케이션을 기반으로 다중 정책을 설정할 수 있는 능력 또한 이점이 된다. 우리는 이것을 통합 문제로 고려했는데, 그 이유는 다중 정책이 네트워크를 돌아다니는 사용자나 VPN이 가동 중일 때 특정 포트/프로그램으로의 액세스를 필요로 하는 사용자들에게 영향을 미치기 때문이다. 씨게이트 매니지먼트 서버에서는 테스트한 어떤 프로그램들에서보다도 더 쉽게 다중 정책을 만들어낼 수 있다. 이것은 기업 네트워크나 VPN에서, 그리고 무선을 사용하는 사람들을 위해 별도의 정책을 만들고 싶을 때 유용하다.

디렉토리 서비스에 대해서는 제품이 액티브 디렉토리(Active Directory), LDAP, 래디우스(RADIUS) 및 NT 도메인에서 사용자와 그룹 정보를 지원하는지 여부를 테스트했다. 이 분야에서는 존 랩스의 인티그리티(Integrity)가 뛰어났다.

보고 기능은 신이 주신 선물이 될 수도 있고, 아니면 공격자를 찾는 데 완전히 무용지물일 수도 있다. 인터넷은 적대적인 장소며 매 초마다 취약점을 찾는 수백만 건의 스캔이 행해지고 있다. 인터넷상의 취약점에 대한 간단한 스윕(sweep)은 이들을 추적하는 게 소용없을 만큼 충분히 자주 일어나고 있다. 하지만 스캔이 불만 있는 직원에 의해 랜 안에서 이루어지고 있는지를 아는 것은 가능하다. 우리는 사용 가능한 보고, 필터링 데이터 및 프리젠테이션 수를 기준으로 각 제품의 보고 능력을 평가해 보았다.

마지막으로 가격은 언제나 중요하긴 하지만 모든 업체들이 거의 비슷한 정가를 제시하고 있어 배점 비중을 많이 두지 않았다.

이런 모든 요소들을 고려한 후 우리는 씨게이트 시큐어 엔터프라이즈 3.0에게 에디터즈 초이스를 수상했다. 이 제품은 보호, 관리 및 통합 작업을 가장 균형 있게 잘 해냈다. 다른 제품들은 각자 최소한 한 부문에서 모자랐으며, 다방면에 걸친 씨게이트의 우수성에 근접하지 못했다.

[REPORT CARD] 데스크톱 방화벽 제품별 최종 평가
테스트
씨게이트
시큐어 엔터프라이즈 3.0
존 랩스
인티그리티 2.0
ISS
리얼시큐어 데스크톱 프로텍트 3.5
시큐리태
CMDS 2.2
시만텍
시큐리티 센터
방어(35%)4.554.552.5
관리(25%)43.53.523
통합(20%)5313.52
보고(15%)32521
가격(5%)3.53343
총 평균
4.203.683.553.452.33
평가
B+B-B-C+D
A≥4.3, B≥3.5, C≥2.5, D≥1.5, F<1.5
A~C등급은 범위 내에 +,- 포함 총 평균과 비중 점수는 0~5 범위 기준

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.