[차세대 네트워크 보안③] 시큐리티 임베디드 스위치
상태바
[차세대 네트워크 보안③] 시큐리티 임베디드 스위치
  • 권혁범 기자
  • 승인 2003.11.05 00:00
  • 댓글 0
이 기사를 공유합니다

방화벽, 안티 바이러스, OS/애플리케이션 패치, VPN, IDS가 모두 설치돼 있다면 상당히 견고한 방어벽을 쌓았다고 할 수 있다. 하지만 이러한 각각의 보안 솔루션은 저마다 취약점을 갖고 있다. 결국 기존의 보안 시스템의 조합만으로는 갈수록 복잡해지는 공격에 여전히 노출되어 있는 셈이다.

알려진 혹은 알려지지 않은 침입이나 시스템의 악의적인 영향을 줄 수 있는 모든 조건을 실시간으로 자동 방어할 수 있는 능동형 보안 솔루션이 필요한 이유는 바로 여기에 있다. 현재 전 세계 보안 시장은 IPS와 같은 능동형 보안 솔루션으로 무게중심이 옮겨가고 있으며, 동시에 다양한 보안 기능을 한 번에 구현할 수 있는 통합형 보안 솔루션이 성장을 이끌어가고 있다. 이에 본지에서는 9월과 10월 2개월에 걸쳐 새로운 보안 패러다임을 진단하고자 한다.

Part 3. 시큐리티 임베디드 스위치

“보다 강력한 N/W 보안을 원한다면 스위치를 활용하라”
L4/L7 스위치 하나면 외부 침입 차단 … ‘백본 스위치+보안 모듈’로 내부 보안 해결

로드 밸런싱 솔루션으로 활용되던 L4/L7 스위치가 보안과 성능 문제를 동시에 해결하는 능동형 통합 솔루션으로 재창조되고 있다. 백본 스위치(혹은 라우터)도 보안 모듈(VPN, 방화벽, SSL, 콘텐츠 스위칭, 네트워크 분석, IDS 등)과 결합하면서 내부 보안의 해결사로 등장했다. 이제 더 이상 스위치와 보안은 뗄래야 뗄 수 없는 지경에 이르렀다. 시큐리티 임베디드 스위치 제품은 벌써부터 전체 보안 시장의 다크호스로 지목되고 있다.

년대 말 DoS(서비스 거부) 공격이 등장하면서 네트워크는 사이버 공격의 토대는 물론, 심지어 공격을 증식시키는 매개체가 되고 있는 게 현실이다. 그 결과 보안 공격 건수가 크게 증가했으며, 그 복잡성도 갈수록 심화되고 있다. CERT(컴퓨터 비상 대응팀, Computer Emergency Response Team) 보고서에 따르면, 보안 공격 발생 건수는 지난 2000년 1천756건에서 2002년 8만2천94건으로 증가해 2년만에 무려 277% 이상 증가한 것으로 나타났다. 뿐만 아니라 2003년 1/4분기 총 발생 건수는 4만2천586건으로 집계돼 이와 같은 증가 추세는 더욱 뚜렷해지는 양상이다.

네트워크 공격 수위 심각

정보 자산에 대한 공격이 결코 어제오늘의 일은 아니지만, 네트워크는 그러한 공격이 더욱 확산되는데 결정적인 역할을 할 수밖에 없다. 네트워크는 그 본질적인 특성상 공격의 툴로 이용되기에 매우 좋은 조건을 갖추고 있기 때문이다.

익명성은 가장 대표적이다. 오늘날 네트워크 영역 전반에 걸쳐 공격자는 익명성을 유지할 수 있어, 호스트와 네트워크 경계 전반에 걸쳐 공격자를 철저하게 추적하는데 엄청난 장애가 된다. 사이버 공격자는 익명성을 유지하기 위해 분산 시스템의 수 백, 심지어는 수 만개의 호스트로 공격에 참여하기 때문에 적시에 ‘근본적인 원인’을 정확히 파악하기란 대단히 어렵다.

네트워크의 도달성(reachability)과 연결성(connectivity)도 공격자에게는 매우 유용하다. 이 특성으로 인해 침입자는 수 백 개의 호스트 시스템을 사용해 공격 타깃을 집중 공략한 후, 공격에 참여할 수 있는 시스템을 증식시킨다. 게다가 공격자는 단 한 곳의 취약 지점을 발견하기만 해도 전체 시스템을 위협하고 손상시킬 수도 있다.

하지만 이와 같은 네트워크의 취약점은 현재 시중에 출시된 네트워크 보안 솔루션으로 충분히 방어가 가능하다. 가장 대표적인 네트워크 보안 솔루션인 방화벽만 보더라도, 패킷 필터링 기술을 사용해 소스 어드레스, 수신지 어드레스, 애플리케이션, 프로토콜, 소스 포트 번호 또는 수신지 포트 번호 등과 같은 패킷의 ICP/IP 헤더 내에 포함된 정보를 토대로 수신 패킷을 승인하거나 거부한다. 여기에 최근에는 패킷을 더욱 상세히 분석하고 상세한 애플리케이션 트래픽 분석을 제공할 수 있도록 지원하는 인텔리전트 기능을 통해 한 차원 높은 수준의 보안을 지원한다.

만약 방화벽의 취약점을 이용해 내부망에 접근하려는 공격자가 있다면 침입방지시스템(IPS)으로 걸러낼 수 있고, 이메일을 통해 바이러스 웜을 유포하고자 한다면 콘텐츠 필터링 솔루션을 통해 접근을 차단할 수도 있다. 즉 다양한 네트워크 공격을 차단할 수단은 이미 주위에 충분히 있는 셈이다.

약효 확실해도 느리면 소용없다(?)

보다 강력한 성능을 제공하는 보안 솔루션을 공격이 예상되는 길목마다 배치해 놓는다면 완벽한 보안을 확보할 수는 있겠지만, 이와 같은 시도는 결과적으로 네트워크 대기 시간 지연이라는 문제를 야기한다.

예를 들어 플로우가 정상 트래픽인지 여부를 판단하기 위해서는 인텔리전트 방화벽이 네트워크로 들어오는 각 패킷의 엔트리를 지원하거나 차단하기 위해 일련의 수신 패킷을 순서대로 분석해야 한다. 이는 방화벽의 서버 프로세서를 손상시킬 수 있다. 만약 방화벽이 5개 또는 6개의 패킷이 배열된 후 각 패킷에 대한 해당 수신지를 결정해야 하는 경우, 네트워크 대기시간은 500∼600% 정도 증가하게 된다. 이러한 트래픽 플로우 지체는 오늘날 고속 왠(WAN) 환경이 제공하는 보다 높아진 대역폭에 악영향을 미치게 된다.

네트워크 트래픽이 주로 소규모 패킷으로 구성되어 있는 경우 총 T3 회선(45Mbps)에 가까운 속도에서 오늘날의 방화벽은 이에 부합하는 처리 성능을 지원하지 못한다. 랜(LAN) 속도 및 인터넷 링크 속도를 100Mbps 이상으로 증가시킬 경우에는 플로우를 지원하기 위해서는 보안 필터링 플랫폼의 속도를 높여야 한다.

대부분의 기존 IDS 역시 방화벽과 유사한 한계에 봉착해 있다. 기존 IDS로는 네트워크 침입자 데이터를 포착해 이를 안전한 위치로 경로를 재지정함으로써 범죄 수사를 위한 분석을 수행할 수 없다. 이러한 능력은 네트워크 침입 패턴을 파악하고 향후 공격을 방지하는데 막대한 영향을 미친다.

안티바이러스도 예외는 아니다. 님다나 코드레드처럼 웹 트래픽을 통해 유입되는 웜 성격의 해킹 툴이 증가하면서, 안티바이러스 게이트웨이에 대한 요구가 급증하고 있기 때문이다. 메일 서버나 데스크탑용 안티바이러스의 경우 속도보다는 정확성을 요구하지만, 안티바이러스 게이트웨이는 필연적으로 속도 개선 노력이 뒤따라야만 한다. 이처럼 오늘날 네트워크 보안 담당자들은 네트워크를 보호하고 동시에 네트워크 성능 및 가용성을 유지시켜야 하는 매우 중요한 과제를 안고 있다.

보안·트래픽 문제 해결사 ‘L4/L7 스위치’

현재 이러한 문제를 해결하기 위해 가장 널리 사용되고 있는 방식은 L4/L7 스위치와 같이 로드 밸런싱 솔루션을 보안서버의 앞단과 뒷단에 배치하는 방법이다. 즉 L4/L7 스위치는 트래픽을 분산시켜 보안 시스템의 병목현상을 제거하는 역할을 하고, 보안솔루션은 고유의 역할을 수행함으로써 보안성과 트래픽 문제를 동시에 해결하는 것이다. 하지만 최근에는 아예 L4/L7 스위치에 보안 모듈을 탑재해 보안과 성능 문제를 동시에 해결하는 사례가 급증하고 있다. 국내 L4/L7 스위치 시장을 선도하는 노텔네트웍스코리아(대표 정수진)의 ‘알테온 애플리케이션 스위치’와 라드웨어코리아(대표 정윤현)의 ‘애플리케이션 스위치 시리즈’가 대표적이다.

‘알테온 애플리케이션 스위치’는 기본적으로 로드 밸런싱 기능을 제공하면서, 패킷 필터링, UDP 세션수를 통한 제어, syn 어택 방지 등 보안 기능을 제공함으로써 방화벽이나 IPS에 버금가는 보안성을 제공한다. 라드웨어의 애플리케이션 스위치도 크게 다르지 않다. 이 제품 역시 기본적으로 로드 밸런싱 기능을 제공하는 동시에 네트워크 바이러스에 대한 차단, 특정 포트 트래픽 양을 보장하는 QoS(Quality of Service), ToS (Type of Service) 등의 기능도 보장한다. 특히 DOS 쉴드라는 기능은 해킹 공격 차단은 물론, 사용자 정의에 의해 특정 패턴에 대해서도 자유로운 설정이 가능해 보안성을 크게 향상시킨다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.