커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 오늘날의 방화벽들이 할 수 있는 일과 없는 일
방화벽이라는 기술은 90년대에 태어났다. 윈도 95와 인터넷 익스플로러가 탄생한 그 때와 비슷한 시기이다. 그 후 방화벽은 한국 사람의 밥상에 끊이지 않고 올라오는 밥처럼 보안에서 빼놓을 수 없는 존재가 되어버렸다. 그렇기에 지금은 다시 한 번 물을 수밖에 없다. 과연 방화벽은 지금도 우리에게 꼭 필요한 요소인가? 즉 90년대의 상황에서 태어난 보안 기술이 2020년대인 지금에도 통하는 것일까, 라는 의문이 들 수밖에 없다.

방화벽이라는 것의 기본적인 작동 원리는 “심층 패킷 분석”이라고 할 수 있다. 패킷, 즉 데이터 패킷이란 정보의 단위 중 하나로, 웹 트래픽을 포함한 각종 인터넷 트래픽 유형의 정보들로 구성되어 있다. 심층 패킷 분석은, 이런 데이터 패킷의 페이로드를 전부 검사하는 것을 말한다. 만약 패킷에서 수상한 것이 발견되면 방화벽 바깥으로 빠져나가거나 안으로 들어오지 못하도록 하는 게 방화벽이다. 방화벽에 여러 가지 규정과 정의를 입력해 두는 게 보통인데, 바로 이런 것들이 수상한 패킷과 그렇지 않은 패킷을 구분하는 기준이 된다.

문제는 오늘날의 데이터는 대부분 암호화 된 상태로 교류된다는 것이다. 패킷 암호화는 데이터를 중간에서 자꾸만 들여다보려는 시도로부터 데이터를 안전하게 보호하는 데 탁월한 기술이다. 하지만 방화벽처럼 검사를 위해 중간에서 데이터를 들여다보는 시도들도 전부 차단한다. 그러므로 악성 패킷이 암호화 된 패킷 안에 숨는다고 했을 때 방화벽은 이를 간파할 수 없다. 그래서 암호화 된 패킷을 복호화 하고 검사한 후 다시 암호화 하는 방화벽들도 시장에 나왔다. 하지만 이 과정은 컴퓨터 자원을 매우 많이 잡아먹으며, 네트워크 전체의 속도를 크게 낮춘다. 게다가 각종 보안 규정에 어긋난 행위가 될 수 있어 누구나 도입할 수 있는 것도 아니다.

그러면서 ‘심층 패킷 분석’이라는 기술 자체가 오래되고 낡은 것이 된 감이 분명히 있다. 그러면서 정상과 비정상을 구분하게 해 주는 다른 방법들이 나오기 시작했다. 악성 웹 도메인을 블랙리스트로 지정하여 해당 도메인에서 들어오는 트래픽은 자동으로 거르기도 하고, SIEM 로그 분석이라는 전략도 꽤나 각광받고 있다. 하지만 이런 모든 기술들은 사건이 일어난 후 반응하는 형태로 구현된다는 특징을 가지고 있다. 공격을 받았을 때에 알려주는 것이지, 공격이 일어나기 전에 방어막을 치는 건 아니라는 것이다.

필자는 보안이라는 것이 다양한 각도와 차원에서 수립되어야 하는 것으로 믿고 있는데, 특히 다음 세 가지를 지키는 게 중요하다고 보고 있다.

1) 같은 비밀번호를 여기 저기 사용해서는 안 된다
2) 소프트웨어 업데이트는 주기적으로 해야 한다
3) 인터넷 트래픽의 출처를 가장 정확히 알려주는 정보인 IP 주소 자체를 최대한 활용한다.

능동적인 보안, 즉 사건이 일어나기 전에 미리 탐지해 막는 유형의 보안 아키텍처를 구축하려면 이 세 가지부터 시작하는 것이 맞다고 필자는 보고 있다. 특히 마지막 부분이 중요하다. 모든 인터넷 트래픽은 고유의 IP 주소로 식별된다. 그러므로 IP 주소를 위주로 보안 체계를 갖추면 특정 출처를 악성으로 규정할 때 훨씬 효과적으로 해악한 트래픽을 막을 수 있다. 이것만 잘 되어도 콘텐츠 내부 즉 패킷 내용을 하나하나 점검할 필요가 없게 된다. 그러므로 암호화니 복호화니 고민할 게 없어진다.

놀랍게도 방화벽은 IP 주소를 기반으로 기능을 발휘하지 않는다. IP 주소를 기준으로 검사하고 거르는 기능을 수행하려면 지금과 매우 다른 하드웨어 및 소프트웨어 아키텍처가 필요하기 때문이다. 심층 패킷 분석을 위주로 한 하드웨어/소프트웨어는 IP 주소 분석 및 블랙리스트 지정을 쉽게 하지 못하게 한다. 이것이 현재 방화벽의 한계라고 할 수 있다.

방화벽은 오늘 날 모든 조직들이 방어 전선을 갖추는 데 있어 필수불가결의 요소이다. 잘 모르는 사람이라도 보안이라고 하면 곧바로 방화벽을 떠올릴 정도다. 그러므로 방어의 아키텍처는 대부분 이 방화벽으로부터 시작되고, 방화벽을 위주로 고려된다. 하지만 이것은 조만간 큰 변화를 겪어야만 할 것으로 보인다. 사이버 공격은 꾸준히 변하고 있고, 방어의 기본도 이전과는 비교할 수 없을 정도로 빠르게 진화하고 있기 때문이다.

방화벽을 없애자는 게 아니라, 방화벽을 보강할 수 있는 방법을 생각하자는 것이다. 방화벽은 오래된 기술이라 나름의 방어적 역할을 든든히 하고 있지만 그것만으로 100% 온전하다고 말하기는 힘들다. 이미 여기 저기 구멍이 나서 뭔가가 새고 있다. 그러니 보수 공사를 진행해야 한다.

글 : 팻 맥게리(Pat, McGary), CTO, ThreatBlockr
파일
목록