최근 많은 방화벽 공급업체들이 콘텐츠 기반 공격에 대해 우수한 보호 기능을 제공하는 딥 패킷 인스펙션(Deep Packet Inspection) 기술이 갖는 이점에 주목하고 있다. 딥 패킷 인스펙션은 특정 공격 유형에 대해서는 스테이트풀 인스펙션보다 더 효과적이지만 네트워크 및 컴퓨팅 시스템 보호를 위한 완벽한 솔루션으로 보기에는 부족한 점이 많다. 특히 딥 패킷 인스펙션은 현재 활동중인 트로이목마를 비롯한 바이러스, 웜 중 상당 부분을 검색하지 못할 뿐만 아니라 유해한 웹 콘텐츠나 스팸 메일 처리에는 전혀 효과를 나타내지 못한다. 딥 패킷 인스펙션 기술보다 더욱 효과적으로 유해 콘텐츠를 검사하는 컴플릿 콘텐츠 인스펙션(Complete Content Inspection)은 네트워크 상에서 모든 콘텐츠 공격을 검사함으로써 유해 트래픽이 데스크톱 및 랩톱, 서버 등에 도달하지 못하도록 차단한다.
또한 컴플릿 콘텐츠 인스펙션 기술은 적절한 하드웨어 기반의 플랫폼 환경을 통해 네트워크 애플리케이션 성능에 영향을 주지 않는 완벽한 고속 네트워크를 구현할 수 있다. 지금부터 스테이트풀 인스펙션과 딥 패킷 인스펙션 기술의 특성과 한계를 살펴보고 포괄적 네트워크 보안 기능을 제공하는 컴플릿 콘텐츠 인스펙션 기술이 갖는 이점에 대해 알아보자.
네트워크 위협의 발전 단계
기업이나 조직들은 자사의 성공과 운영에 필요한 정보 자산 및 지적 재산이 갖는 엄청난 가치를 깨닫기 시작했다. 예를 들면, 지난 2003년 CSI/FBI CSI/FBI 컴퓨터 크레임과 시큐리티 서베이(Computer Crime and Security Survey)의 정부기관, 금융기관, 의료기관 및 대학의 컴퓨터 보안 담당자 530명을 대상으로 실시한 조사 결과에 따르면 2003년 한해 동안 미국에서 발생한 도난 당한 정보 자산의 규모는 총 800조원이 넘는 것으로 추산되어 기관당 평균 약 31조원의 손실을 입은 것으로 조사됐다.
공용 및 사설 네트워크의 확대와 네트워크 프로토콜 및 애플리케이션의 복잡성 증가로 <그림 1>에서처럼 컴퓨팅 시스템에 대한 공격 횟수와 심각성이 급격히 증가하고 있다.
비교적 단순한 텔넷, RPC, FTP와 같은 초기 네트워크 프로토콜은 해커가 공격을 실행하기 위해선 전용선을 통해 원격 시스템에 연결된 상태에서만 가능했다. 이러한 유형에서 발생된 최초의 해킹 사건은 군 기관에 침입해 기밀 정보를 빼내려 한 것이었다. 이 같은 공격에 대응하기 위해 개발된 기술이 바로 접속 중심의 보안 시스템인 스테이트풀 인스펙션(Stateful Inspection) 방화벽이다. 이것은 송신자와 수신자의 신원을 근거로 원격 접속을 선택적으로 허용하거나 거부함으로써 컴퓨팅 리소스에 대한 접속을 통제하는 방식이다.
지난 10년 동안 애플리케이션은 훨씬 더 복잡해졌고 더욱 풍부해진 콘텐츠를 전송하기 위해 프로토콜이 사용됐다. 해커들은 이러한 변화를 이용해 접속 중심적인 보안을 피해 자동적으로 재생성 및 전파 능력을 가진 보다 효과적인 콘텐츠 기반 공격 방식을 개발했다. 콘텐츠 기반 공격은 기본적으로 인증된 접속을 통해 시도되기 때문에 접속 중심의 스테이트풀 인스펙션 방화벽을 피해갈 수 있다. 이러한 공격에는 바이러스, 트로이목마, 웜, 금지된 콘텐츠 및 스팸 등이 포함되며, 이메일이나 웹 페이지 또는 기타 실시간 통신 애플리케이션을 통해 쉽게 전파된다.
콘텐츠 기반 공격의 전파 속도와 파괴력은 상당한 영향력을 가지고 있다. 일례로 최근 북미 지역에서 월요일에 발생한 이메일 바이러스인 마이둠(MyDoom)은 단 이틀 뒤인 수요일까지 전세계 이메일 트래픽의 30% 가량을 감염시켰다. 씨넷의 지난 1월 자료에 따르면 이 바이러스는 이틀 동안 340만개 정도가 복사되어 전 세계에 전파되었다고 하는데, 이것은 12개 이메일 중 하나가 마이둠 바이러스인 셈이다.
딥 패킷 인스펙션 개선의 필요성
위에서 언급한 것처럼 대부분의 방화벽은 네트워크 레이어에서 추적하는 스테이트풀 인스펙션 기술을 사용해 방화벽의 모든 인터페이스를 통과하는 각 접속에 대한 정당성(validity)을 확인한다. 패킷 분석을 기반으로 누구에게 내부 네트워크 컴퓨팅 시스템에 대한 접속 권한을 허용할 것인지, 아니면 정보 교환에 어떤 프로토콜을 사용할 것인지에 대한 네트워크 관리자의 정책에 따라 결정하는 것이다. 이러한 필터링 방법도 유용하지만, 이메일 메시지가 바이러스에 감염됐는지의 여부를 판단하는 데는 적합하지 않다. 왜냐하면 스테이트풀 인스펙션은 패킷에 있는 실제 콘텐츠가 유해 콘텐츠인지 혹은 유효 콘텐츠인지를 확인할 수 없기 때문이다.
<그림 2>에서 보듯 스테이트풀 인스펙션은 발신자와 수신자의 주소, 프로토콜 유형, 패킷 페이로드에 포함된 데이터와 같은 정보를 담고 있는 데이터 패킷 헤더만 검사한다. 이러한 방법은 편지봉투 겉면에 적힌 주소만 가지고 편지 내용을 판단하려는 것과 같은 것으로, 패킷 페이로드의 콘텐츠는 검사하지 않는다.
결과적으로 스테이트풀 인스펙션 기술은 ISP의 이메일 서버나 공식 웹사이트와 같이 인증된 소스에서 발신되는 데이터가 적합한 것인지 혹은 유해한 것인지는 구별하지 못한다. 따라서 스테이트풀 인스펙션 기술은 단순 침입이나 기타 접속 기반 공격에 대해서만 효과가 있을 뿐이다.
스테이트풀 인스펙션 기술이 갖는 이러한 한계를 극복하기 위해 딥 패킷 인스펙션(DPI) 기술이 개발됐다. DPI는 스테이트풀 인스펙션 기술을 뛰어넘어 페이로드, 즉 패킷의 헤더뿐만 아니라 내용까지 검사한다. 공격이 소수 패킷에만 들어 있을 경우 DPI는 이를 효과적으로 검색하고 차단할 수 있으며, 단일 패킷에 포함되어 있는 버퍼 오버플로우(buffer overflow) 공격, 서비스 거부(DoS) 공격, 정밀 침입, 일부 웜 등의 공격에도 효과적이다.
하지만 DPI 기술의 중요한 한계는 일반적으로 인터넷을 통해 전송되는 대량 패킷에 포함된 위협을 찾아내지 못한다는 점이다. 일반적으로 단일 인터넷 패킷으로 전송 가능한 페이로드의 최대 길이는 약 1천500바이트이다. 대부분의 바이러스와 웜은 크기가 수십 킬로바이트이고, 수백 혹은 수천 패킷으로 구성되는 수백만 바이트 길이의 파일(문서, 프로그램 등)에 심어져(embedded) 있기도 하다. 따라서 한번에 소수의 패킷만 검사하는 콘텐츠 분석방법으로 모든 바이러스와 웜을 검색할 가능성은 매우 낮을 수밖에 없다. 이것은 마치 테러리스트가 미사일을 500개의 작은 부품으로 분리한 후 각 부품을 자동차 부품과 함께 포장해 발송하는 것과 같다. 각 포장품을 해체해 개별적으로 검사하더라도 각각의 부품이 미사일 부품으로 판명되지는 않는다. 따라서 미사일이 검색되지 않고 그대로 통과될 가능성이 높은 것과 같은 것이다.
컴플릿 콘텐츠 인스펙션: 보다 향상된 접근 방법
DPI의 한계는 보다 정밀한 컴플릿 콘텐츠 인스펙션(CCI) 네트워크 보안 기술로 해결할 수 있다. CCI의 핵심은 패킷 페이로드를 파일, 문서, 프로그램과 같은 애플리케이션 수준의 개체로 재결합한 후 해당 개체를 분석해 콘텐츠 기반 공격을 검사하는 것이다. 콘텐츠 재결합 기술을 이용하면 용량이 큰 파일에 숨어있는 바이러스와 웜 같은 주요 위협을 확실히 예방할 수 있다. <그림 4>에서 보듯이 CCI 기술은 바이러스의 길이나 이를 전송하는데 사용되는 호스트 파일의 길이에 상관없이 바이러스, 웜, 트로이목마, 유해 웹 콘텐츠, 스팸 메일 등의 모든 위협을 검색할 수 있다.
