보안 위협 환경은 급속도로 변화하고 있고 보안 공격의 강도 역시 점점 더 심화되고 있다. 신종 악성코드를 이용한 사이버범죄는 날로 더 정교해지고 지능화되어 가고 있다. 해커들은 보안 취약점을 놓치지 않고 파고든다.

이런 추세에서 차세대 방화벽(NGFW: Next Generation Firewall)은 기업들이 전사적 보안 전략의 일환으로 반드시 고려해야 할 솔루션으로 떠오르고 있다.

갈수록 지능화, 정교화하는 공격 대응에 적합

차세대 방화벽 기술은 전통적인 방화벽 제품에 비해 훨씬 더 향상된 네트워크 보호 기능을 제공할 수 있다는 점에서 공격 수법이 나날이 지능화되어 가고 변화 속도도 빠른 오늘날의 보안 환경에 대응하는데 적합하다.

아직도 전통적인 방화벽 솔루션을 사용해 악의적인 보안 위협에 대응하고 있다면 보안 위험을 완화하기 보다는 오히려 위험을 더 가중시키고 있다고 보는 편이 낫다. 기존의 전통적인 방화벽 솔루션은 안전하다는 잘못된 믿음만 심어줄 뿐 실제로는 보안에 꼭 필요한 결정적인 기능들이 부족하기 때문이다.

해커들은 보안이 가장 취약한 대상을 공략하기 위해 끊임없이 공격목표를 수정하고 있다. 요즘 가장 많은 공격 대상으로 꼽히는 것이 웹이다. 관련 조사 보고서에 따르면, 전체 악성코드 중 85%가까이가 웹을 통해 침투되며, 하루에도 3만개 이상의 웹사이트가 악성코드에 감염되고 있다.

더 나아가 사용자들이 보안에 대해 방심하기 쉬운 소셜 네트워크 같은 손쉬운 공격목표를 노리는 사이버 범죄도 점점 더 늘어나고 있다.

또 스마트폰이나 태블릿 PC 등 모바일 기기도 상대적으로 보안 기능이 취약하다는 점에서 공격 대상이 되고 있다. 개인용 스마트기기를 업무에 활용하는 BYOD(Bring Your Own Device) 추세가 확산되면서 기업 네트워크에 침투하여 기밀 자료를 빼내기가 더욱 쉬워질 수도 있는 환경으로 가고 있는 것도 우려되는 대목이다.

최근 보안 공격의 양상을 보면 첨단 보안 솔루션을 갖추지 않은 중소기업들을 겨냥한 빈도수가 증가하고 있다. 일례로 2012년 초부터 2014년 초까지 보고된 보안 공격 사례 중 40%가 중소기업을 노린 것에 반해 대기업을 대상으로 한 공격은 전체의 28%였다. 불행히도 보안 취약성에 대한 해커들의 인식은 실제와 크게 다르지 않았다. 최근의 한 조사에서 중소기업 중 80% 이상이 사이버 보안 대책을 갖추고 있지 않다고 응답했기 때문이다.

“전통적인 방화벽 솔루션은 오히려 위험을 더 가중”

뿐만 아니라 최근의 사이버범죄는 전통적인 방화벽 기술이 가진 약점까지 공략하고 있다. 전통적인 방화벽 기술은 어떤 포트나 프로토콜을 사용하는가에 따라 네트워크 트래픽을 분류하는 단순한 접근방식을 이용한다. 이를테면 대부분의 웹 트래픽이 80번 포트를 통해 수신되는 TCP 트래픽으로 분류되는 식이다. 포트나 프로토콜이 방화벽의 제한 요건만 충족하면 용인 가능한 트래픽으로 인식하기 때문에 그 트래픽과 관련된 구체적인 애플리케이션이나 데이터 페이로드에 관한 정보는 전혀 제공되지 않는다.

웹 기반 서비스의 이용 증가도 개방형 포트를 사용하는 애플리케이션 콘텐츠가 더 다양해지는 원인이 된다. 이로 인해 악의적 공격에 더 취약해질 수밖에 없다. 전통적인 방화벽 기술은 패킷 페이로드 전체를 검사하는 것이 아니기 때문에 좋은 트래픽과 나쁜 트래픽을 구분할 수 없다.

이와 달리 차세대 방화벽 기술은 패킷 필터링이나 네트워크 주소 변환(NAT: Network Address Translation), 상태 기반의 패킷 검사(SPI: Stateful Packet Inspection)같은 전통적인 방화벽 기능들을 제공할 뿐만 아니라 세분화된 트래픽 검사를 기반으로 하는 첨단 보안 플랫폼도 제공한다.

따라서 사용자 크리덴셜이나 애플리케이션 사용자 행동 같은 변수들을 바탕으로 지능적인 보안 정책 집행이 가능하다. 또 차세대 방화벽에 통합되어 있는 침입 방지 기능과 애플리케이션 제어 기능은 암호화 트래픽까지 검사하여 보안 정책을 집행할 수 있게 해준다.

마지막으로 차세대 방화벽 기술은 네트워크를 통해 들어오는 애플리케이션과 서비스를 시각화하여 애플리케이션 대역폭 관리 및 최적화에 필요한 정보를 제공하는 동시에 첨단 분석 리포팅과 보안을 가능하게 한다.

차세대 방화벽 솔루션의 선택 기준

차세대 방화벽 제품이라고 모두 다 같은 것은 아니라는 점은 유념해야 한다. 솔루션을 선택할 때는 보안을 위해 성능이나 처리량이 떨어지는 것을 감수하는 일이 없도록 신중을 기해야 한다. 다음과 같은 기능을 제공할 수 있는 차세대 방화벽 솔루션을 선택해야 한다.

● 첨단 침입방지 기능: 패킷 페이로드 전체에 대한 심층적 패킷검사(DPI: Deep Packet Inspection)를 통해 침입방지, 악성코드 탐지, 게이트웨이 안티바이러스, 트래픽분석, 애플리케이션 제어 및 SSL(Secure Socket Layer) 복호화가 가능해야 한다.

● 네트워크 성능과 보호의 양립: 네트워크 트래픽을 검사할 때 지연시간(latency)을 최소화하여 애플리케이션의 성능을 극대화하고 처리량을 최적화하는 동시에 종합적인 보안을 제공할 수 있어야 한다.

● 세분화된 애플리케이션 제어를 통한 생산성 극대화: 효과적인 애플리케이션 관리를 통해 사용자의 생산성을 극대화하고 확장성을 강화할 수 있도록 애플리케이션 인텔리전스와 제어, 실시간 대역폭 및 애플리케이션 시각화 기능을 제공해야 한다.

현재 많은 방화벽 벤더들이 전통적인 데스크톱 안티바이러스 솔루션과 동일한 안티바이러스 검사 방식 즉 다운로드 파일을 버퍼링한 후 악성코드 포함 여부를 검사하는 방식을 그대로 채용하고 있다. 이와 같은 검사 방식은 상당한 지연시간이 발생되기 때문에 중대한 문제를 야기할 수 있다.

우선 가장 큰 문제는 지연시간으로 인해 애플리케이션의 성능이 저하된다는 점이다. 서비스형 소프트웨어(SaaS: Software as a Services), 원격 데스크톱 가상화 협업 소프트웨어, 모바일 기기 등의 사용이 점점 더 증가하는 상황에서 성능 저하는 핵심 애플리케이션 자체를 무용지물로 만들 수도 있다. 이는 매출 증대나 수익성, 비즈니스 운영에 부정적인 영향을 미칠 수 있다. 더 나아가 임시 메모리 스토리지가 보호 기능을 최대 파일 용량까지로 제한할 수 있기 때문에 지연시간 자체가 추가적인 보안 위험을 야기한다.

업계 차세대 방화벽 솔루션의 하나인 델 소닉월(SonicWALL) 제품군의 경우 특허 기술인 RFDPI(Reassembly-Free Deep Packet Inspection)엔진을 통해 보안과 성능을 동시에 극대화하는 접근방식을 채택했다. RFDPI는 일반적인 DPI 기술과는 달리 트래픽을 검사하기 전에 먼저 메모리에 저장할 필요가 없다. 이와 함께 차세대 방화벽의 세 가지 필수 요건인 첨단 침입 방지 기능과 성능 극대화를 충족하며, 세분화된 애플리케이션 제어를 수행한다.

차세대 방화벽 기술이 통합된 보안 솔루션을 도입하면 기업에 필요한 네트워크 보호 기능을 제공할 수 있다. 하지만 이를 위해서는 올바른 솔루션을 선택하는 것이 무엇보다 중요하다는 점을 명심해야 할 것이다.

황인각 델소프트웨어코리아 보안컨설팅사업부 이사