[차세대 네트워크 보안②] 능동적 방화벽
상태바
[차세대 네트워크 보안②] 능동적 방화벽
  • 권혁범 기자
  • 승인 2003.09.16 00:00
  • 댓글 0
이 기사를 공유합니다

Part 2. 능동적 방화벽

“보다 영리하고, 지능적이고, 능동적인 방화벽이 필요하다”
IPS 기능 추가형 방화벽 대세 … 처리 속도 보장이 관건

스마트 방화벽, 인텔리전트 방화벽, 능동적 방화벽 등 차세대 방화벽을 일컫는 이름이 한 두개가 아니다. 하지만 이러한 방화벽들의 일관된 특징은 기존 방화벽이 갖고 있는 맹점을 극복할 수 있는 ‘신기능’이 추가됐다는 점이다. 단순 패킷 필터링이 아니라 애플리케이션 레벨의 보안을 구현하는 기술이 가장 대표적이다. 현재 전 세계 방화벽 시장은 이처럼 세대교체형 방화벽들이 점차 대세를 이뤄가는 중이다.

트래픽 처리 속도가 곧 매출액 성장 속도를 의미하던 방화벽 시장이 새로운 전환기를 맞고 있다. 업체간 속도 경쟁으로 퍼포먼스 차이가 거의 없어지면서, 다시 ‘신기술’로 포커스가 이동하고 있는 것.

이와 같은 변화에는 최근 침입방지시스템(IPS), 네트워크 분리(Air Gap) 솔루션 등 능동형 보안 솔루션의 등장도 적지 않은 영향을 끼친 것으로 풀이된다. 이들은 방화벽이 1차 차단막으로서의 역할을 충실히 하지 못했기 때문에, 보다 안전하고 능동적인 보안솔루션을 도입해야 한다고 강조하고 있다. 즉 성능 보완 없이는 방화벽은 무용지물이라는 게 이들의 주장인 셈이다.

방화벽이 필요 없다(?)

대부분의 방화벽은 패킷 필터링 기술을 사용해 소스 어드레스, 수신지 어드레스, 애플리케이션, 프로토콜, 소스 포트 번호 또는 수신지 포트 번호 등과 같은 패킷의 ICP/IP 헤더 내에 포함된 정보를 토대로 수신 패킷을 승인하거나 거부한다. 따라서 정상 사용을 위장한 공격 등의 침입은 차단하지 못한다. 방화벽의 특성상 서비스 제공을 위해 특정 채널을 오픈해 두는 것 역시 자주 지적 받는 부분이다. 엄청난 피해를 유발시킨 님다(Nimda), 코드레드, SQL 웜 등은 방화벽의 오픈 채널을 통해 공격을 감행한 대표적인 웜이다.

보다 많은 공격을 오판 없이 정확하게 탐지해 내고자 등장한 IDS를 연동시킨다면 이러한 문제를 해결할 수 있지 않을까? 물론 방화벽/IDS 통합 제품은 적지 않은 위력을 발휘한다. 하지만 그 역시 한계가 있다.

우선 반응 시간이 문제다. IDS가 침입을 탐지한 뒤 방화벽에 신호를 보내는 시간보다 언제나 침입 패킷이 해당 서버에 도달하는 시간이 빠르기 때문에 모든 조치는 사후에 행해진다. 반응 방식 역시 문제가 많다. IDS의 반응은 경고와 연결 차단(reset) 등이 있지만, 지속적인 비연결형 공격과 다수의 공격자로부터 연결형 공격이 들어오는 것은 방화벽과 해당 호스트에 DoS(서비스 거부) 공격을 하는 것과 같은 효과를 나타낼 수 있으며, 방화벽의 잦은 룰 업데이트로 인해 방화벽의 성능이 저하될 수 있는 것이다.

반응 후 룰 업데이트에 대한 문제도 자주 지적 받는 부분이다. 공격자의 IP를 막는 룰을 방화벽에 업데이트하고 난 후 그 룰을 언제 제거할 것인지에 대한 결정을 할 수 없고, 공격자의 IP가 거짓이라면 정상 사용자의 접속을 방해할 수 있기 때문이다.

애플리케이션 보안을 책임져라

그렇다고 방화벽을 완전히 떼어내 버릴 수도 없는 노릇이다. 해답은 오히려 가까운 곳에 있다. ‘적을 알고 나를 알면 백전백승(知彼知己면 百戰百勝)’이라는 격언처럼 최근 발생 빈도가 크게 높아진 ‘정교한 형태의 애플리케이션 레벨 공격’을 막을 수 있도록 방화벽을 개선시키는 것이다.

美 연방수사국(FBI)과 세계적인 정보보안 인증 및 교육기관인 SANS(SysAdmin, Audit, Network, Security)의 합작품인 ‘가장 크리티컬한 인터넷 취약점 20가지(Top 20 Most Critical Internet Vulnerabilities)’에 의하면 CERT(Computer Emergency Response Team)에 집계된 침해사고 중 웹이나 이메일과 관련된 애플리케이션 레벨 공격이 2002년 한 해 8만건이 넘는 것으로 조사됐다. 해커들은 지난 1월 25일 문제가 된 슬래머를 비롯해 코드레드, 님다와 같은 애플리케이션의 취약점을 공격한 정교한 형태의 공격 기법을 개발하는 데에 흥미를 갖고 있는 것으로 알려졌다.

이와 같이 해커 및 침해 사고의 유형 및 방법의 변화에 따라, 기존의 엔터프라이즈 방화벽도 마찬가지로 기존의 단순한 네트워크 레벨 접근 제어(Access Control)뿐만 아니라 애플리케이션 관련 보안도 제공해야 한다는 것이 보안전문가들은 공통된 의견이다. 실제로 최근 겪고 있는 새로운 방식의 보안 침해 사례는 공용 IP 기반 네트워크 상에서 비즈니스 크리티컬 애플리케이션을 운영하는데 따른 취약점을 여실히 드러내고 있다. 이는 현재의 방화벽 기술이 모든 기업들에게 최일선의 방어 수단으로서 절대적인 역할을 담당하고 있지만, 지속적으로 증가하는 다양한 외부 공격의 위협으로부터 기업을 보호하거나 애플리케이션의 가용성 및 성능을 보장하기에는 아직 부족하다는 것을 여실히 보여준다.

메타그룹의 애널리스트인 마크 보챠드(Mark Bouchard)는 “대부분의 기업들은 네트워크 기반의 공격을 차단하는데 치중하고 있지만, 이는 애플리케이션 기반의 공격을 차단하는 데에는 역부족이다. 따라서 벤더와 사용자 모두는 애플리케이션에 기반한 보안에 좀 더 중점을 둬야 한다”고 지적했다.

또 그는 “이러한 문제를 해결하기 위해서는 방화벽에 직접적으로 애플리케이션 관련 정보를 통합시켜 애플리케이션 레벨의 보안을 구현할 수 있도록 해야 한다. 그렇게 되면 해당 고객은 별도의 제품을 구입 및 설치하지 않으면서도 보안을 향상시킬 수 있다”고 덧붙였다.

체크포인트, 방화벽에 ‘다계층 보안’ 개념 접목

이에 따라 패킷을 더욱 상세히 분석하고, 자세한 애플리케이션 트래픽 분석을 제공할 수 있도록 지원하는 지능화된 기능을 통해 한 차원 높은 수준의 보안을 지원하는 방화벽이 최근 동향이다. 예전 같으면 네트워크 대기시간 지연이라는 문제를 야기시켰겠지만, 현재 시장에 나와있는 대부분의 고성능 방화벽은 이와 같은 네트워크 트래픽 문제를 해결하고도 남을 만큼의 높은 퍼포먼스를 자랑한다. 일례로 넷스크린은 이미 12Gbps 방화벽과 6Gbps VPN 성능까지 지원 가능한 제품까지 내놓은 상태다. 즉, 이제는 성능보다 신기술에서 앞서 있는 업체가 향후 방화벽 시장을 주도하게 되는 셈이다.

현재 방화벽의 지능화에 가장 적극적으로 나서고 있는 업체는 다름 아닌 체크포인트다. 체크포인트는 하드웨어 성능은 노키아, 노텔네트웍스와 같은 제휴사에게 맡기고, 자사는 보다 향상된 신기술 구현에 전념하고 있다. 그 결과 체크포인트는 올 상반기 ‘NGAI(Next Generation with Application Intelligence)’를 시장에 선보였다.

체크포인트의 ‘NGAI’는 특허기술인 스테이트풀 인스펙션이라는 엔진에 애플리케이션을 담당할 수 있는 기능, 쉽게 말하면 침입방지 패턴(현재로서는 50여개)을 탑재시킨 ‘다계층 보안(Multi-layer Security)’제품이다. 따라서 사용자 및 시스템에 대한 강력한 접근 제어를 제공할 뿐 아니라, 만약 접근 제어를 통과했다 하더라도 해당 트래픽이 애플리케이션 및 해당 데이터를 추가적으로 침해하는 것을 차단한다. 이 밖에 중앙 콘솔을 통한 관리 방안까지 제공함으로써 다계층보안(Multi-layer Security)을 보장한다.

이 제품과 관련해 체크포인트는 노텔네트웍스를 핵심 파트너로 선택했다. NGAI가 탑재된 노텔의 알테온 스위치드 파이어월은 디렉터와 엑셀러레이터로 구성되는데, 모든 트래픽은 디렉터(리눅스 서버)를 거치며, 비정상적인 데이터가 발견되면 엑셀러레이터(스위치)에서 차단하게 된다. 실제 NGAI 소프트웨어는 리눅스 서버에 올려지며, 버퍼만 스위치에 올라가는 형식이다.

이처럼 경쟁사보다 한 발 앞서 시장 흐름을 주도한 덕분에 체크포인트는 벌써 GM 대우와 문화방송을 고객으로 확보하는 등 상승세를 타고 있다. GM 대우는 안전한 인트라넷 보안을 위해 NGAI를 적용시켜 L4 스위치를 통한 방화벽 로드 밸런싱과 백업 기능을 구현했다. 문화방송의 경우 자사 직원의 재택 통신 및 인터넷 접근에 대한 보안 강화를 위해 인터넷망에 NGAI를 구축, 자체 클러스터링을 통한 로드 밸런싱과 백업 기능을 가동시켰다. 특히 문화방송의 경우 인트라넷 사용자의 웹 접근시 웹 브라우저 및 미디어 플레이어와 같은 프로그램이 외부 사이트로부터 공격의 도구로 사용될 수 있는 악의적인 공격을 사전에 차단할 수 있게 돼 내부 인트라넷 보호가 크게 강화됐다는 평가를 받고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.