보안

방화벽이란 무엇인가

Brandon Butler | Network World 2017.10.13
네트워크 기반 방화벽은 끊임없이 증가하는 위협에 대한 검증된 방어 능력 덕분에 대다수 기업에 사용되고 있다.


Credit: Getty Images Bank

네트워크 테스트 업체인 NSS 랩(NSS Labs)의 최근 연구에 따르면, 미국 대기업의 80%가 차세대 방화벽을 운용하는 것으로 나타났다. 리서치 업체 IDC는 방화벽 및 관련 통합 위협 관리 시장 규모가 2015년 76억 달러에서 2020년까지 127억 달러까지 성장할 것으로 전망했다.

방화벽이란 무엇인가
방화벽은 트래픽을 모니터링해 허용하거나 차단하는 경계 방어 툴이다. 시간이 지나면서 방화벽 기능도 다양화되어 현재 대부분의 방화벽은 알려진 위협을 차단하고 고급 접근 제어 목록 정책을 실행할 뿐만 아니라 트래픽의 개별 패킷을 심층 조사하고 패킷을 테스트해 안전성 여부까지 확인할 수 있다.

대부분의 방화벽은 트래픽을 처리하는 네트워크 하드웨어와 최종 사용자가 시스템을 구성, 관리할 수 있는 소프트웨어 형태로 구축된다. 고도 가상화 환경에서 세그먼트화된 네트워크에 정책을 시행하기 위해서나 IaaS 퍼블릭 클라우드에서는 소프트웨어만으로 구성된 방화벽이 증가하는 추세다.

방화벽 유형
지난 10년 동안 방화벽 기술이 발전하면서 새로운 방화벽 구축 옵션이 등장했다. 그 덕분에 현재 방화벽을 찾는 최종 사용자는 다음과 같은 기능을 포함한 다양한 방화벽 옵션을 선택할 수 있다.

- 상태 기반(stateful) 방화벽 : 처음 만들어졌을 당시의 방화벽에는 상태 개념이 없었다. 즉, 네트워크 트래픽의 각 패킷을 개별적으로 모니터링해서 따로 차단하거나 허용하는 하드웨어였다. 1990년대 중반부터 시작된 방화벽의 첫 번째 중대한 진보는 상태 개념의 도입이다. 상태 기반 방화벽은 종합적인 맥락에서 트래픽을 검사하면서 네트워크 연결의 작동 상태와 특성을 검사에 반영, 더 전체적인 방화벽 기능을 제공한다. 방화벽은 이 상태를 유지함으로써 예를 들어 특정 트래픽이 특정 사용자에게 접근하도록 허용하면서 동일한 트래픽이 다른 사용자에게는 접근하지 못하도록 차단할 수 있다.

- 차세대 방화벽(NGFW) : 시간이 지나면서 방화벽에는 심층 패킷 검사, 침입 탐지 및 차단, 암호화된 트래픽 검사를 포함한 수많은 새로운 기능이 추가됐다. 차세대 방화벽은 이런 여러 가지 고급 기능을 통합한 방화벽을 의미한다.

- 프록시(Proxy) 기반 방화벽 : 데이터를 요청한 최종 사용자와 그 데이터를 가져오는 출처 사이의 게이트웨이 역할을 한다. 모든 트래픽은 이 프록시를 통해 필터링된 이후 최종 사용자에게 전달된다. 정보 요청자의 신원을 가림으로써 클라이언트가 위협에 노출되지 않도록 보호한다.

- 웹 애플리케이션 방화벽(WAF) : 전체 네트워크의 입구 또는 출구가 아닌 특정 애플리케이션 앞에 위치하는 방화벽이다. 프록시 기반 방화벽이 일반적으로 최종 사용자 클라이언트를 보호하는 용도로 사용된다면 WAF는 애플리케이션 서버 보호가 주 역할이다.

방화벽 하드웨어
방화벽 하드웨어는 일반적으로 트래픽을 필터링하고 방화벽 소프트웨어를 실행하기 위한 라우터 역할을 할 수 있는 간단한 서버다. 기업 네트워크의 끝단, 즉 라우터와 인터넷 서비스 제공업체 연결점 사이에 위치한다. 일반적인 기업의 경우 데이터센터 하나에 십여 개의 물리적 방화벽을 구축한다. 사용자 규모와 인터넷 연결 속도를 기반으로 방화벽에서 지원해야 하는 처리 용량이 어느 정도인지 판단해야 한다.

방화벽 소프트웨어
일반적으로 최종 사용자는 여러 개의 방화벽 하드웨어 엔드포인트, 그리고 관리를 위한 하나의 중앙 방화벽 소프트웨어 시스템을 구축한다. 이 중앙 시스템에서 정책과 기능을 구성하고 분석을 수행하고 위협에 대응하게 된다.

차세대 방화벽의 내부
최근 방화벽에는 다음과 같은 기능이 포함된다.
- 상태 기반 검사 : 알려진 불량 트래픽을 차단하는 기본적인 방화벽 기능이다.

- 안티바이러스 : 네트워크 트래픽에서 알려진 바이러스와 취약점을 검색하는 기능이다. 이를 위해 방화벽은 최신 위협에 대한 업데이트를 포함해 지속적으로 업데이트를 받는다.

- 침입 방지 시스템(IPS) : 독립적인 보안 제품으로도 구축할 수 있지만, IPS 기능이 NGFW에 통합되는 경우가 늘고 있다. 기본적인 방화벽 기술이 특정 유형의 네트워크 트래픽을 식별하고 차단하는 반면 IPS는 시그니처 추적, 이상 현상 탐지와 같은 더 세분화된 보안 수단을 사용해 원치 않는 위협의 기업 네트워크 진입을 차단한다. IPS 시스템은 위협 억제보다는 식별에 초점을 뒀던 침입 탐지 시스템(IDS)을 대체했다.

- 심층 패킷 검사(DPI) : DPI는 IPS에 포함되거나 IPS와 함께 사용 가능하지만 세밀한 트래픽 분석, 무엇보다 트래픽 패킷과 트래픽 데이터의 헤더 분석 기능으로 인해 NGFW의 중요한 기능으로 부상했다. 또한 DPI를 사용해 아웃바운드 트래픽을 모니터링해서 민감한 정보가 기업 네트워크 외부로 유출되지 않도록 할 수 있다. 이 기술을 데이터 유출 방지(DLP)라고 한다.

- SSL 검사 : 보안 소켓 계층(SSL) 검사는 암호화된 트래픽을 검사해 위협을 테스트한다. 암호화된 트래픽이 점점 늘어나면서 SSL 검사는 DPI 기술의 중요한 구성 요소로 부상, NGFW에 구현되고 있다. SSL 검사는 트래픽이 최종 목적지에 배달되기 전에 테스트를 거치도록 트래픽 암호화를 해독하는 버퍼 역할을 한다.

- 샌드박싱(Sandboxing) : NGFW에 구현되고 있는 비교적 새로운 기능 가운데 하나로, 방화벽에서 알려지지 않은 트래픽 또는 코드를 포착해 이를 테스트 환경에서 실행해 부적격 여부를 판단하는 기능이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.