전세계로 연결돼 있는 오늘날의 네트워크를 해킹으로부터 완벽하게 보호하기 위해서는 수없이 많은 보안 기술과 관련 장비를 동원해야 한다. 특히 해킹 기법이 정보 탈취에서 시스템 정지를 불러일으키는 공격으로 변화하면서 이에 대응하는 보안 기술과 제품 역시 나날이 변화하고 있다. 하지만 이런 모든 네트워크 보안의 기본은 역시 1차적으로 외부의 접근을 통제하는 파이어월이다. 따라서 파이어월의 개념과 네트워크 구성에 대한 이해는 최신 네트워크 보안 기술을 이해하기 위한 기반이 될 것이다.
박재곤 기자
각종 장비를 통해 기업의 PC와 서버를 연결하고, 이렇게 구성된 LAN을 인터넷에 연결하는 것은 분명 업무 효율성을 높이고 보다 효과적으로 정보를 공유하기 위한 것이다. 네트워크의 기본 속성은 열려있고 연결돼 있는 것이기 때문에, 같은 언어, 즉 같은 프로토콜을 사용하는 시스템이라면 기본적으로 모두 연결할 수 있다. 그리고 이렇게 연결돼야만 네트워크는 원활한 커뮤니케이션과 정보 공유를 위한 인프라의 역할을 제대로 수행할 수 있다.
하지만 이런 인터넷의 기술적 이상향도 한 가지 간과한 것이 있으니, 바로 모든 사람이 다 같은 생각을 가진 것은 아니라는 것이다. 기본적으로 같은 목적을 가진 사람들이 모여 있는 기업이나 단체의 단위 네트워크와는 달리 인터넷은 수많은 기업과 단체, 그리고 개인이 각자의 목적을 가지고 연결되는 곳이다. 그러다 보니 이런 인터넷의 익명성과 개방성을 악용하는 사람들이 생겨나는 것은 어쩌면 당연한 일인지도 모른다.
이들 악의를 가진 사용자들을 일반적으로 해커라고 부르는데, 해커는 개방된 인터넷을 통해 기업의 네트워크로 침투해 중요한 기밀정보를 빼내가기도 하고, 또는 기업의 주요 시스템을 망가뜨리거나 외부 서비스를 하지 못하도록 하기도 한다.
이런 문제에 대한 대책으로 라우터나 스위치 등 연결과 개방을 위한 장비 이외에 차단과 폐쇄를 위한 각종 보안 장비들이 등장하게 됐는데, 이중 가장 대표적이고 기본적인 보안 장비가 파이어월(Firewall)이다.
액세스 허가제를 실시하는 파이어월
파이어월은 말 그대로 방화벽이란 개념으로 만들어진 것이다. 일반적인 방화벽은 호텔이나 빌딩 등의 대형 건물에 설치해 화재 발생 지점 이외의 층이나 방으로 불길이 번지지 못하도록 차단하는 역할을 한다. 당연히 불길이 뚫고 지나갈 수 없는 재질과 견고성을 갖춘 특수 목적의 벽인 것이다.
네트워크 보안 장비인 파이어월 역시 비슷한 역할을 수행한다. 파이어월은 기본적으로 허가되지 않은 모든 트래픽은 차단한다. 앞서 설명했듯이 아무런 보안 장비도 설치하지 않은 네트워크는 기본적으로 인터넷을 통해 어떤 트래픽이든 들어올 수 있다. 하지만 일단 파이어월이 설치되면, 허가되지 않은 어떤 트래픽도 내부 네트워크로 들어올 수 없고, 밖으로 나갈 수도 없다.
예를 들어 파이어월을 설치하면 FTP, 텔넷 등의 서비스를 사내에서 승인된 사람만 사용할 수 있도록 하거나, 허가된 외부 사용자만 내부 네트워크로 들어올 수 있도록 설정할 수 있다. FTP는 내부 사용자가 회사 기밀을 외부로 빼돌릴 목적에 사용될 수 있다. 즉, 외부 서버에 계정을 만든 후 회사 내의 중요한 자료를 FTP로 파일 전송을 할 수 있다. 파이어월은 이 때문에 FTP를 통해 정보가 외부로 나가는 것을 막는 것이다.
때문에 파이어월이 본격적으로 공급되기 시작한 1990년대 말에는 이런 파이어월의 기능 때문에 사용자와 네트워크 관리자 간의 갈등도 적지 않았다. 파이어월이 일선 네트워크에 공급되기 시작한 초기에는 대부분의 네트워크 관리자들이 파이어월을 제대로 관리할 만한 지식과 경험을 갖추지 못한 경우가 많았고, 때문에 공급업체에서 초기에 꼭 필요한 트래픽만 허가해 놓은 설정을 그대로 사용하는 경우가 많았다.
이 경우 사용자들은 그 전에 잘 사용하던 FTP나 텔넷 등의 애플리케이션을 이용할 수 없게 된다. 결국 네트워크 관리자와 사용자 간에 포트를 개방해야한다 말아야 한다 실갱이가 벌어지기도 했다. 이와 반대로 기업의 임원급에서 특정 포트를 열어달라고 하는 대로 열어주다 보면 파이어월이 설치하나 마나한 상태가 되기도 했다.
파이어월이 만드는 평화의 공간 DMZ
현재 보급되고 있는 대부분의 파이어월은 하드웨어 일체형이기 때문에 오히려 네트워크 장비에 가까운 내부 구성을 갖고 있지만, 기본적으로 파이어월은 서버와 비슷한 구성이다. 즉 라우터처럼 CPU와 메모리, 운영체제를 갖고 있으며, 여기에 하드디스크까지 장착하고 있는 전형적인 서버의 구성이다. 실제로 초기의 파이어월은 대부분 소프트웨어 제품이어서 윈도우 운영체제나 유닉스, 리눅스 등의 운영체제를 사용하는 서버급 컴퓨터에 탑재되는 형식이었다.
파이어월이 네트워크에 설치되는 위치는 기업의 네트워크 환경과 파이어월 구성 방식에 따라 다르지만, 일반적으로 [그림 1]과 같이 인터넷으로 통하는 길목에 설치된다. 이로써 기업 네트워크의 내부와 외부를 오가는 트래픽을 모두 감시한다. 하지만 기업이 웹 사이트나 FTP 서비스를 운영하고 있다면 [그림 2]와 같이 DMZ(DeMilitarized Zone)를 구성하는 방식도 외부 웹 서비스를 하는 기업의 경우 많이 사용하는 방식이다.
DMZ는 말 그대로 외부와 내부가 서로 연결되지 않도록 하는 공간이다. 실제로 [그림 1]과 같이 파이어월을 설치하고, 웹 서버나 메일 서버 등 외부에서 접속하는 서버를 내부 네트워크에 둘 경우, 어쩔 수 없이 열어둬야 하는 서비스들 때문에 외부의 불특정 다수에게 접속을 열어둘 수 밖에 없다.
예를 들어 웹 서비스를 한다면 웹 서버가 주로 사용하는 80포트를 열어놓게 되는데, 이때 해커가 열어놓은 포트를 통해 웹 서버를 해킹하고, 이를 통해 내부 네트워크를 돌아다니며 필요한 정보를 빼가거나 시스템을 망가뜨릴 수 있다. 하지만 [그림 2]와 같이 DMZ를 구성할 경우, 외부에서의 접속은 DMZ 내에 있는 서버들, 즉 웹 서버나 메일 서버 등에 한정할 수 있다.
파이어월의 주요 보안 기술
파이어월의 보안 기술은 크게 기본 라우터 보안, 패킷 필터링, 애플리케이션 프록시, SIF(Stateful Inspection Firewall)로 나눌 수 있다. 이중 기본 라우터 보안 기술은 일반적으로 사용하고 있는 액세스 라우터에서 ACL(Access Control List)와 NAT(Network Address Translation)로 구현할 수 있는 기본적인 보안 환경이다.
ACL은 사용할 수 있는 서비스를 나열한 단순 리스트로, 이를 통해 외부에서 들어오는 특정 IP 어드레스나 포트 번호를 막을 수 있다. NAT는 하나의 공인 IP 어드레스만으로도 기업이나 조직의 여러 사용자가 인터넷에 접속할 수 있도록 하는 IETF 표준이다. NAT는 개인적인 사설 IP 네트워크를 숨길 수 있기 때문에 내부 사설 IP를 외부로부터 숨김으로써 해커 등이 내부 네트워크 토폴로지를 알지 못하도록 한다.
하지만 기본적으로 라우터는 외부와 내부의 소통을 연결해주는 역할을 하는 장비이기 때문에 이를 막는 것이 기본 역할이 아니다. 때문에 라우터의 기본 보안 기능을 사용하는 것은 기본적인 보안 환경을 구현할 수는 있어도 충분한 보안 환경을 구현하기에는 턱없이 부족하다. 라우터는 하드디스크를 이용해 몇 개월치의 사용자 로그를 저장, 불법 접속자에 대한 분석이 가능하고, 단순히 접속을 막고 차단하는 것뿐 아니라 애플리케이션 레벨까지의 강력한 보안을 지원할 수 있다.
- 패킷 필터링
패킷 필터링(Packet Filtering) 기능을 가진 파이어월은 OSI 네트워크 계층에서 데이터의 IP 정보를 조사해 접근 제어 규칙에 패킷이 일치하면 통과시키고, 그렇지 않으면 폐기시켜 내부 네트워크로 들어오는 접근을 막는다. 현재는 일반적인 라우터의 기능으로 자리잡았다.
패킷 필터링은 가격이 저렴하고 네트워크 계층 이상의 상위 계층은 인식하지 않으므로 애플리케이션 프록시보다는 처리 속도가 빠르다는 장점이 있는 반면, 다양한 구성이 어렵고 사용자 접속과 외부 침입에 대한 로깅 기능이 없는 것이 단점이다. 따라서 IP 스푸핑 같은 해킹 공격으로 우회해 언제든지 내부 네트워크가 위협받을 수 있다.
- 애플리케이션 프록시
애플리케이션 프록시 파이어월은 프록시 기술을 이용해 내부 사용자와 외부 인터넷 사이에 중간자 역할을 수행해 직접적인 연결을 피하고, 각각의 IP와 응용 서비스에 대해 보안적인 조사를 해 접근 제어 규칙을 적용하는 파이어월이다.
프록시 기술은 특정한 애플리케이션에 적용되도록 구성된 일종의 코드다. 따라서 이 방식은 각각의 프로토콜을 프록시로 구현함으로써 패킷 필터링 애플리케이션보다 정교한 접근 제어가 가능하며, 모든 데이터에 대해 상세한 로그가 남는다. 하지만 각 응용 서비스와 프로토콜마다 네트워크의 애플리케이션 계층까지 정보를 갖고 가기 때문에 처리 성능의 저하를 가져올 수 있으며, 프록시의 수가 주요 인터넷 서비스에만 제한돼 새로운 서비스에 즉각 적용하기 어려운 것이 단점이다.
- SIF
SIF(Static Inspection Firewall)는 패킷 필터링 파이어월과 애플리케이션 파이어월 기술을 상호 보완해 탄생시킨 것이다. 이는 전체적인 패킷 필터링을 통해 IP 정보 뿐만 아니라 데이터 정보까지 조사해 애플리케이션 계층까지의 서비스도 규칙에 따라 접근 제어를 할 수 있도록 한다.
이 기술은 네트워크 계층과 데이터 링크 계층 사이의 검사 엔진(Inspection Engine)이 모든 계층의 정보를 바탕으로 접근 제어를 하며, 과거의 교환 정보와 애플리케이션 정보를 갖고 계속적으로 데이터에 대한 승인 여부를 결정하는 것을 말한다.
파이어월의 구성 방식
파이어월의 구성은 네트워크 구성 방법이나 보호해야 할 시스템에 따라 여러 가지 방법을 채택할 수 있지만, 일반적으로 멀티-홈드(Multi-Homed) 구성이나 듀얼-홈드(Dual-Homed) 구성, 스크린드 호스트(Screened-Host), 스크린드 서브넷(Screened Subnet)으로 구성할 수 있다. 이들 방식은 대부분 외부 서비스가 가능한 DMZ 구간을 만들며, 내부 네트워크를 보호하는 형태의 구성이 일반적이다.
- 스크리닝 라우터 구성
스크리닝 라우터(Screening Router) 구성은 라우터를 통한 가장 기본적인 보안 구성으로, 전체 네트워크를 보호하는 보안 구성이다. 요즘 대부분의 라우터는 필터링(filtering) 기능을 제공한다. 이 기능은 라우터에서 필요없는 패킷을 걸러내 서비스하지 않는 것이다. 즉 라우터에서는 보낸 곳의 IP 주소, 받는 곳의 IP 주소, TCP나 UDP에 보내는 포트 번호와 받는 포트번호를 바탕으로 외부에서 오는 패킷을 필터링한다.
그러나 라우터는 단순한 필터링 기능만 제공하기 때문에 완벽하게 파이어월의 기능을 기대하기는 어렵다. 복잡한 필터링 규칙을 만들 때 실수하기 쉽고 테스트하기도 어렵다. 라우터는 대체적으로 간단한 암호 알고리즘으로 동작하는데, 이는 쉽게 스니핑(sniffing)될 수 있어 안전하지 않다. 때문에 스크리닝 라우터와 베스천 호스트를 통합해 사용하는 것이 좋다.
- 스크린드 호스트 구성
일반적으로 파이어월은 배스천 호스트를 포함한다. 배스천 호스트는 내부 네트워크 보안의 중요한 요소이기 때문에, 이를 방어하기 위한 또 다른 스크리닝 라우터 외부의 네트워크와 내부 네트워크 사이에 설치된다.
스크린드 호스트 구성에서는 스크리닝 라우터를 구성할 때 외부 네트워크로부터 내부 네트워크로 가는 모든 패킷을 받아서 배스천 호스트에 먼저 보내야 한다. 물론 스크리닝 라우터에서 일차적으로 패킷 필터링 규칙이 적용되고, 이차적으로 보안 규칙이 베스천 호스트에서 적용되므로 외부 침입자가 스크리닝 라우터를 통과했더라도 배스천 호스트를 통과해야 하는 부담을 갖기 때문에 내부의 보안 효과를 높일 수 있다.
- 스크린드 서브넷 구성
외부 네트워크와 내부 네트워크가 동시에 분리되는 네트워크를 구성하는 방식으로 격리된 형태의 네트워크는 두 개 이상의 스크리닝 라우터 조합을 이용해 구성하며, 배스천 호스트는 격리된 네트워크인 스크린드 서브넷 상에 위치한다. 이런 구성은 내부 보안을 강화할 수 있는 장점이 있다.
- 듀얼 홈드 구성
듀얼 홈드(Dual Homed Gateway) 구성은 내부, 외부, DMZ 등 2∼3개로 네트워크를 분리해 구성한다. 이 구성은 가장 일반적으로 사용되며, 보안 수준에 따라 각 서비스를 DMZ로 또는 내부 네트워크에 위치시킬 수 있다.
스크리닝 라우터와 배스천 호스트를 이용해 애플리케이션 게이트웨이와 패킷 필터링 기능을 동시에 사용할 수 있으며, 내부 네트워크 정보의 외부 노출을 완전 차단한다. 애플리케이션 게이트웨이 기능 사용시 외부에서는 반드시 파이어월에 일차적으로 접속해 인증 과정을 거침으로써, 접속에 대한 모니터링이 가능하다. 그러나 모든 데이터에 대한 필터링을 파이어월에서 하기 때문에 성능 저하를 가져올 수 있으며, 문제 발생시 내부와 외부 네트워크간 통신 경로가 완전히 차단되는 것이 단점이다.
- 배스천 호스트 구성
배스천 호스트는 네트워크를 외부에 공개되는 네트워크와 보안이 잘 지켜져야 하는 네트워크로 나누고, 그 사이에 설치되는 시스템이다. 이 구성은 애플리케이션 프록시를 이용해 내부 네트워크에 접근할 때는 승인을 받도록 한다. 이것은 하나의 파이어월로 접근 제어와 인증, 로그, 감사 등의 기능을 지원한다.
하지만 배스천 호스트는 자체가 외부에 노출돼 공격의 포인트가 되므로 자체적인 운영체제와 물리적인 보안 등 지속적인 취약성을 보완해야 하며, 스크리닝 라우터와 상호 보완적으로 구성하면, 보다 강화된 보안 시스템을 구성할 수 있다.
출처: http://www.ionthenet.co.kr
|
