기고 | 왜 ‘차세대 방화벽’인가?

페이스북이나 트위터 등과 같은 소셜 네트워크 서비스(SNS)의 인터넷 애플리케이션들이 인터넷 환경을 급속도로 변화시키고 있다. 이는 사용자 디바이스, 네트워크 인프라, 보안 등 전 분야에 걸쳐 신기술 개발 및 변화를 촉진시키고 있으며 관련 업체들도 이에 대한 준비를 서두르는 모습이다.

많은 사람들이 이러한 새로운 인터넷 애플리케이션에 환호하며 이를 사용하는 동안 가장 곤혹스러운 분야가 보안일 것이다.

SNS의 증가에 따른 APT 공격 등의 최신 맬웨어를 통한 악성코드 유포같은 보안 위협수법은 나날이 지능화, 다양화 되고 있다. 보안 사고의 원인 분석조차 어려운 현 상황에서는 이처럼 급변하는 애플리케이션 기반의 인터넷 환경은 그들에게 날개를 달아주기에 너무나도 좋은 환경이다.

이러한 환경변화가 지금보다 더 심각한 보안 위협으로 다가오고 있음을 직시해 대처하지 못한다면 훨씬 크고 다양한 보안사고에 직면할 수 있다는 위기의식을 가지고 새로운 환경에 따른 보안 대책을 강구해야 하는 시점이다.

최근 변화하는 인터넷 환경에서 반드시 고민하고 확인해야 할 보안 필수사항은 ‘기존 보안 시스템으로 새로운 애플리케이션으로 유입되는 새로운 유형의 보안 위협에 대응할 수 있는가?’다.

이를 위해 현재 내부에서 어떤 애플리케이션들을 사용 중이며 기존 보안 시스템에서 이들을 적절히 통제할 수 있는지를 살펴봐야 한다. 아마 대부분의 기존 보안 시스템으로는 적절하게 대응하지 못할 것이다. 이는 기존 인프라 구성이 잘못돼 있어서가 아니라 기존 보안 시스템 기술의 한계 때문이다.

현재 구축해 사용중인 모든 보안장비의 기반 기술은 1995년에 개발된 스테이트플 인스펙션(Stateful Inspection)이다. 이 기술은 단순 웹브라우저, 기본적인 이메일 정도가 인터넷 애플리케이션의 전부였던 시기에 만들어진 보안기술로 TCP/UDP 포트 기반으로만 보안 정책을 설정한다.

이 때문에 허가된 포트로 유입될 수 있는 수 많은 애플리케이션들을 인지하지 못하며 악성 코드가 내재된 애플리케이션이나 관련된 어떠한 형태의 보안 위협에 대해서도 보안 정책설정이 불가능하다.

SANS에서 최근 발표한 자료에 따르면, 상위 20여개의 보안 위협을 분석한 결과 대다수가 애플리케이션 단의 보안 위협이었으며 이러한 추세가 점점 확대될 것이라 전망한 바 있다. 이는 현재 사용하고 있거나 앞으로 새롭게 등장하는 모든 애플리케이션들 자체가 보안 위협요소가 될 수 있다는 뜻이다.

즉 SNS를 포함한 다양한 애플리케이션들을 통해 유입될 수 있는 변형되고 진화하는 모든 보안 위협들을 탐지, 분석, 제어할 수 있는 기존과는 전혀 다른 개념의 새로운 형태의 보안 기술이 절실히 필요한 시점이다.

기존 보안 솔루션의 한계는?
1995년에 개발된 스테이트풀 인스펙션을 기반으로 하는 기존 보안 솔루션들은 IP주소, TCP/UDP 포트를 기반으로 보안 정책을 설정하여 작동하다. 이 기술은 그 동안 급속도로 변화하고 발전된 인터넷 환경에 맞춰 업그레이드하거나 새로운 기술을 추가로 개발하지 않으면서 기존 방화벽의 문제점을 보완하기 위해 IPS, AV, URL 필터링 등 여러 가지의 방화벽 보완 솔루션들로 병렬 구성한다.

이 때문에 운영이 복잡하고 유지비용이 많이 소요됨에도 불구하고 원천적인 기술의 개발이나 대안 없이 보안 시장을 유지해 왔다. 최근에는 암호화 또는 압축된 많은 애플리케이션들이 등장하면서 기존 보안 솔루션으로는 이들을 탐지하거나 분석, 제어 자체가 불가능해졌다. 

이러한 현상은 기존처럼 서로 다른 형태의 보완 솔루션을 개발해 해결할 수 없는 단계에 봉착했음을 의미한다.

현재의 애플리케이션들은 내부 접속을 허용할 수 밖에 없는 80/443 포트 등으로 통신하며 암호화, 압축돼 있다. 따라서 이러한 애플리케이션을 통하여 유입되는 보안 위협에 대해서는 전혀 대처를 할 수 없으며 특히 P2P, 스카이프, Tor 등 일부 암호화 또는 압축돼 사용하는 애플리케이션들에 대해서는 현존하는 IPS 시그너쳐에서조차도 판별을 할 수가 없다. 이를 통한 보안 위협에 대해서는 속수무책일 수 밖에 없는 것이다.

또한 80/443포트외 다른 포트를 통한 접속을 허용해 사용할 경우에는 문제가 더 심각해 질 수 밖에 없다. 아울러 전혀 다른 포트번호를 사용하고 있던 많은 애플리케이션들이 접속의 용이성을 보장하기 위하여 기본적으로 허용하고 있는 80/443포트 번호로 전환하는 사례도 늘고 있어 이를 통한 보안 위협이 더욱 커지고 있다.

이를 개선하려는 움직임도 있었다. 여러 가지 솔루션이 산재해 구성 관리 및 유지비용이 많이 드는 문제점을 해결하기 위해 기존 방화벽 및 방화벽 보완 솔루션인 IPS, AV, 웹 필터링 기능 등을 한 장비로 통합한 UTM 솔루션들이 한 예다. 실제로 이들은 초기 시장에서 좋은 반응을 얻기도 했다.

그러나 여전히 스테이트풀 인스펙션 기술을 기반으로 작동하며 추가 기능을 동시에 수행할 경우 심각한 성능 저하를 가져 오는 구조적인 문제점으로 인해 시장에서 외면 받고 있다.

이는 각종 보안 솔루션을 별도의 모듈로 구성해 트래픽 처리시 병렬 처리가 안되고 순차적으로 처리할 수 밖에 없는 구조기 때문이다. 또한 자사 솔루션이 아닌 타사 솔루션을 한 장비로 합친 경우가 대부분이어서 제조사에서 주장하는 성능을 낼 수가 없는 태생적이고 구조적인 문제점을 가지고 있다.

실제로 수십 기가의 성능을 제공한다고 주장하는 UTM장비들이 IPS기능 추가만으로도 기가 이하의 성능으로 급격히 떨어지는 심각한 성능 문제를 보이기도 한다.

새로운 보안 기술인 차세대 방화벽의 필수 조건
2009년에 가트너그룹에서 새롭게 등장하는 많은 애플리케이션들을 통해 다양한 보안 위협이 증가할 것이고 기존 방화벽을 포함한 보안 솔루션들로는 이에 대해 효과적으로 대처할 수 없다는 분석을 통해 미래의 방화벽시장을 전망하면서 기존 방화벽 기술을 대체할 수 있는 새로운 형태의 보안기술의 필요성을 역설한 바 있다.

그럼 기존 방화벽의 한계를 극복하고 획기적으로 변화하고 있는 인터넷환경에 적합한 보안 솔루션, 최근 화두가 되고 있는 차세대 방화벽이 제공해야 기능들에 대해 알아보자.

1. 애플리케이션 탐지, 분석, 제어 기능 및 신규 애플리케이션 즉각 등록
포트, 프로토콜, 외부 애플리케이션뿐 아니라 암호화돼 쓰이는 다양한 애플리케이션들에 대해 탐지, 분석, 제어할 수 있고 애플리케이션을 통해 유입될 수 있는 악성코드 및 다양한 보안 위협을 차단할 수 있어야 한다.

또 애플리케이션내의 서비스별 차단, 허용 등의 보안 정책을 수립할 수 있어야 한다. 이밖에 고객이 사용중인 자체 개발 애플리케이션과 새로운 애플리케이션들을 즉시 등록하여 동일한 보안정책을 수립할 수 있어야 한다.

2. 사용자 및 사용자 그룹별 보안 정책 수립
IP주소와 실제 사용자가 일치하지 않는 대부분의 경우를 위해 단순한 IP주소가 아닌 사용자나 사용자 그룹 단위로 보안 정책을 수립할 수 있는 기능을 제공해야 한다. 이는 사용자의 이동으로 인한 위치의 변경에도 일관된 보안 정책을 수립할 수 있는 보안 관리의 중요한 요소 중 하나일 것이다.

3. 실시간 탐지 및 분석 기능의 IPS, AV, URL 필터링 기능
애플리케이션 공격, 맬웨어 등에 대해 실시간으로 탐지하고 분석해 차단할 수 있는 기능을 제공해야 한다. 이로 인해 기본 방화벽 기능뿐만이 아니라 IPS, AV, URL 필터링 기능을 동시에 제공할 수 있는 통합 보안 장비라야 한다. 또 이를 위해 콘텐츠 자체를 분석할 수 있는 기능을 제공해야 한다. 이는 기존 병렬 형태의 보안 솔루션의 복잡한 구성으로 인한 고비용, 비효율적인 운영을 탈피시켜 줄 것이다.

4. 성능 보장
가장 중요한 요소 중 하나다. 기존 UTM처럼 모든 기능을 한 장비에서 구현할 때 성능 문제가 발생할 소지가 있다. 이를 해결 못하면 또 각각의 솔루션들을 병렬 구성하여야 복잡성을 감수해야 하기 때문에 반드시 위에 언급한 모든 기능들을 제공하면서 성능을 보장할 수 있는 새로운 하드웨어를 디자인하고 개발해야 한다.

일반 서버기반의 하드웨어를 가지고 구현하였던 과거에서 이제는 최고 기능의 소프트웨어와 성능을 뒷받침해줄 수 있는 하드웨어와의 결합만이 이를 해결할 수 있다.

APT 공격까지 차단 가능한 차세대 방화벽, 도입 서둘러야 할 때
앞에서 언급했듯이 기존 보안솔루션의 한계를 극복하기 위하여 포트기반이 아닌 애플리케이션 자체를 탐지, 분석, 제어할 수 있는 새로운 개념의 보안 솔루션들이 가트너그룹에서 언급한 차세대 방화벽이란 이름으로 시장에 등장했다.

그 중 2007년부터 실제 제품을 선보인 팔로알토네트웍스가 시장을 형성하며 선도하고 있다. 실제로 매년 300%의 고성장을 보이고 있기도 하다. 차세대 방화벽으로의 전환 필요성을 증명했다고 볼 수 있다.

최근 여러 방화벽 업체들이 관련된 기술을 개발하거나 로드맵을 준비하는 중이지만 구현 방법에 따라 그 효과가 달라질 수 있다. 특히 성능에서 차이가 나타날 수 있다.

대부분의 보안 제조사들이 방화벽 외의 기술들은 외부 업체에 의존해 기존 하드웨어 구성이라는 한계를 가질 수 밖에 없다. 따라서 소프트웨어만 개발한다고 해서 차세대 방화벽이라 할 수 없다. 한 업체가 IPS 등의 모든 기능에 대한 기술들을 개발하여야 접근이 가능하다.

시장에서 검증된 팔로알토네트웍스는 일반적으로 새로운 해킹수법 및 악성코드 발생 시 이를 인지하고 장비에 시크너처로 등록할 때까지의 시간이 최소 수 일에서 수 개월이 걸리는 근본적인 문제점을 해결하고자 노력 중이다.

기업으로 유입되는 APT 공격 등 최신 악성코드를 실시간으로 수집, 분석하여 신규 악성코드일 때는 최소 1시간 내에 탐지, 분석하고 차단할 수 있는, 기존 방화벽에서는 구현하지 못하는 새로운 기술을 발표함으로써 고객의 추가 장비의 도입 부담을 해소하는 등 계속해서 현재 인터넷 환경 변화에 따른 새로운 보안 기술들을 추가하고 개발하고 있다.

이와 관련해 소프트웨어적인 기능들을 성능저하 없이 통합 장비에서 제공할 수 있느냐가 가장 큰 문제다. 기존 장비 구조에 단순 소프트웨어의 개발만으로 해결하는 것은 심각한 성능저하 문제를 보였던 기존 UTM의 전철을 또다시 밟을 수 있기 때문이다.

팔로알토네트웍스처럼 한 업체에서 성능 저하 부분을 해결할 수 있는 차세대 방화벽에 걸 맞는 새로운 하드웨어 구조와 자체적으로 엔진을 개발해야만 모든 기능을 동시에 수행해도 성능 저하 문제를 해결할 수 있다.

앞서 말한 모든 기능들을 제공하는 차세대 방화벽을 도입하면 기존 장비의 도입 및 유지비용과 대비해 투자비를 절감하면서 구성, 운영의 단순화를 도모할 수 있으며 새로운 인터넷 환경에 대응할 수 있는 보안 시스템을 보유할 수 있다는 점에서 기업에 충분한 투자 가치가 있다.

세계 유수의 기업들이 초창기 보안 기술을 사용하고 있는 기존 보안 시스템을 버리고 차세대 방화벽을 기업 보안의 표준제품으로 선정해 전세계적으로 적용하는 추세다. 국내 기업들도 시장에서 이미 검증된 차세대 방화벽 제품을 검토해 내부 보안 시스템을 변경함으로써 급변하는 인터넷 환경에 대응할 수 있는 차세대 보안 시스템 구축을 서둘러야 할 때다.

*강종철 사장은 차세대 방화벽 업체 팔로알토네트웍스의 국내 총판 업체인 유퀘스트 대표이사다. dl-ciokorea@foundryco.com