차세대 방화벽의 조건: Defining the Next-Generation Firewall
봇넷이나 타겟형 공격 등 새로운 공격을 효과적으로 차단하려면 방화벽이 진화해야 한다. 공격 양상이 점점 정교해짐에 따라 기업 시스템을 보호하려면 네트워크 방화벽과 침입방지 시스템에 대한 업데이트가 필요하다.
Key Findings
• 상태기반 프로토콜 필터링, 제한된 애플리케이션 인식 등 1세대 방화벽이 갖는 제한점으로 인해, 현재 가해지는 위협 또는 새롭게 부각되고 있는 위협에 대해 효과적으로 대응하지 못함
• 방화벽과 IPS를 분리해서 설치할 경우 높은 운영비용을 감당해야 할 뿐만 아니라, 두 기능이 결합되고 최적화된 플랫폼과 비교할 때 보안성도 전혀 높아지지 않음
• 차세대 방화벽이 등장하고 있음. 인바운드는 물론 아웃바운드 애플리케이션별 공격을 탐지하고, 애플리케이션별로 정교한 보안정책을 적용할 수 있는 솔루션이 등장
• 차세대 방화벽을 다른 계층(layer)에 적용되는 보안관리와 병행하여 가동된다면 더욱 효과적.
권고사항
• 아직까지 IPS를 설치하지 않았다면, 방화벽 업그레이드하는 시점에 차세대 방화벽을 도입하는 것이 바람직
• 방화벽과 IPS를 모두 설치했다면, 두 제품의 업그레이드 시점을 일치시킨 후 차세대 방화벽으로 통합 설치
• 만약 페리미터 보안 관리 서비스를 받고 있다면, 차후 계약 갱신 시점에 차세대 방화벽 관리 서비스로 이동
알아둘 사항
차세대 방화벽은 Wire-speed의 통합 네트워크 플랫폼으로, 트래픽에 대한 Deep Inspection을 수행하고, 공격을 방어한다. 현재 차세대 방화벽의 특성을 갖고 있는 제품이 시중에 소개되어 있지만, 이 중 많은 경우는 1세대 방화벽을 잘 포장한 제품이거나 중소형 기업에 적합한 제품이 대부분이다.
분석
변화하는 비즈니스 절차, 기업이 채택하는 기술의 변화, 위협 등은 네트워크 보안에 일대 전환을 촉진하고 있다. 점점 더 증가하는 대역폭 관련 요구사항과 새로운 애플리케이션 아키텍처 (웹 2.0 등)은 프로토콜을 사용하고 데이터를 전송하는 방식을 변경하고 있다. 공격 위협은 실행 파일을 설치할만한 취약한 사용자에 집중되고 있다. 단순히 적합한 프로토콜의 사용을 강제하거나, 패치를 설치하지 않은 서버에 대한 공격을 차단하는 것만으로는 더 이상 가치를 제공할 수 없다. 이 같은 어려움을 해소하려면, 기존의 방화벽은 Gartner가 “차세대 방화벽”이라고 정의한 보안 솔루션으로 진화해야 한다. 만일 보안회사에서 이러한 요구를 충분히 수용하지 못한다면, 1세대 방화벽의 가격을 충분히 낮추고 새로운 위협에 대응할 수 있는 다른 보안 솔루션을 찾아야 한다.
차세대 방화벽이란?
오늘날의 위협은 물론 미래형 네트워크 보안 위협에 대응하려면, 기존의 방화벽이 차세대 방화벽으로 진화해야 한다고 믿는다. 예를 들면 봇넷 전송방식을 활용한 위협의 경우 1세대 방화벽에서는 전혀 확인할 수 없다. 서비스 지향 아키텍처와 Web 2.0의 사용이 확산되면서 더 많은 커뮤니케이션이 더욱 제한된 포트 (HTTP, HTTPS 등)를 통해 유통되고 있으며, 몇몇 프로토콜을 통해 유통된다, 즉, 포트/프로토콜 기반의 정책은 이제 그다지 유용하지 않으며, 효율성이 떨어진다. Deep Packet Inspection 방식의 IPS는 운영시스템 (OS)와 패치를 설치하지 않은 소프트웨어에 대한 알려진 공격을 방어하지만, 애플리케이션의 오용을 효과적으로 인지하고 방어하지는 못한다. 이러한 이슈에 대응하도록 진화하는 새로운 차원의 제품을 Gartner에서는 “차세대 방화벽”이라고 명명한다.
Gartner는 차세대 방화벽을 인라인 방식의 보안 컨트롤이라고 정의한다. 상이한 신뢰수준을 갖고 있는 네트워크 사이에서 실시간으로 보안 정책을 유지하도록 할 수 있는 경우이다. 차세대 방화벽이라면 최소한 갖추어야 하는 특징은 다음과 같다
• 네트워크 운영을 방해하지 않으면서 인라인 방식의 Bum-in-the-wire 구성
• 네트워크 트래픽 검사와 네트워크 보안 정책을 강제로 집행하는 플랫폼으로 동작.
다음과 같은 최소한의 기능 필요:
• 제 1세대 방화벽 표준기능: 패킷 필터링, NAT (Network Address Translation), 상태기반 프로토콜 검사, VPN 기능 등
• IPS 기능을 단순히 병렬 처리하는 것이 아니라 진정한 기능통합: 취약점을 방어하는 시그니처와 위협에 대응하는 시그니처를 함께 지원. 방화벽과 IPS가 상호작용 하는 경우, 각각의 기능을 단순히 더한 것과 비교할 때 더 나은 기능을 수행한다. 예를 들면, 악성 트래픽과 함께 IPS를 지속적으로 가동하도록 만드는 주소를 방화벽에서 차단할 수 있는 룰을 가동하면 더 효과적이다. 차세대 방화벽에서는 이 같은 의사결정을 운영자가 아니라 방화벽에서 수행한다.
• 애플리케이션 인지 및 전체 보안 솔루션에 대한 가시성: 애플리케이션 인지. 포트 및 프로토콜과는 독립적으로 애플리케이션 레이어에서 네트워크 보안 정책을 가동. 예를 들면, Skype의 사용은 허용하지만, 파일 공유는 불허하거나 GoToMyPC는 항상 차단.
• 방화벽 이외의 인텔리전스: 방화벽 이외의 소스로부터 정보를 습득하여 차단에 대한 의사결정을 향상. 또는 최적화된 차단 규칙 확보. 사용자 신원에 맞춰 차단할 수 있도록 디렉토리를 사용하거나, 블랙리스트/화이트리스트 주소 활용 등.
• 새로운 정보를 흡수하거나 미래형 위협에 대응할 수 있는 미래 기술을 통합하도록 업그레이드 경로 통합
차세대 방화벽에서는 웹 메일의 사용, Anonymizer, P2P, PC 원격통제 등 정교하게 설정된 네트워크 정보 위반에 대해 차단 또는 경고할 수 있다. 애플리케이션을 인지함으로써 기업이 갖게 되는 장점 중 하나는 대역폭의 관리이다. 예를들면 P2P 트래픽을 줄이면, 대역폭 활용도를 매우 높일 수 있다.
차세대 방화벽에서 하지 못하는 일?
차세대 방화벽과 밀접하지만, 차세대 방화벽에서 수행하지 않는 네트워크 기반 보안 솔루션의 영역이 있다.
• SMB용 다기능 방화벽/UTM: 한 대의 장비에 여러 보안 기능 탑재형. 1세대 방화벽에 IPS 기능을 탑재하고 있는 경우가 대부분이며, 애플리케이션 인지 기능이 없는 경우가 대부분이다. 기능이 통합되지 않고 개별적으로 움직이거나, 단일 엔진이 아닌 경우가 많다.
• 네트워크 기반 DLP 장비: 네트워크 트래픽에 대해 Deep Packet Inspection 기능을 수행하지만, 기존에 확인된 종류의 데이터가 검사지점을 통과하는지 여부만을 확인한다. 데이터 보안 정책을 실시간으로 검사하거나 Wire-speed로 체크하는 역할은 수행하지 않는다.
• Secure Web Gateways (SWGs): 인터넷을 통해 HTTP 브라우징을 하는 동안 아웃바운드 사용자 액세스 컨트롤과 인바운드 멀웨어 보호 기능에 초점을 둔다.
• 메시징 보안 게이트웨이: 지연에 민감하지 않은 아웃바운드 콘텐츠 정책을 부과하거나 인바운드 메일 안티스팸 및 안티 멀웨어 기능을 작동한다. Wire-speed 네트워크 보안 정책과는 거리가 있다.
이러한 제품들은 네트워크 기반이거나 유사한 기술을 사용할 수는 있지만, 보안 정책을 구사함에 있어 다른 운영그룹의 책임하에 있는 경우가 대부분이다. IT 및 보안 부서의 책임이 대대적으로 바뀌지 않는 한 계속될 현상으로 보인다.
차세대 방화벽은 “아이덴디티 방화벽” 즉, 신원에 따른 액세스 컨트롤 매커니즘을 채택하고 있지 않다. 대부분 환경에서 네트워크 보안 조직은 애플리케이션 수준에서 사용자 기반 액세스 컨트롤 정책을 강제할만한 권한과 책임을 갖고 있지 않다. GartNer는 차세대 방화벽이 사용자 신원확인 정보를 그룹 단위로 흡수(Active Directory 반영)하여 사용자별로 정교한 보안 정책을 가동하게 될 것으로 믿는다.
차세대 방화벽의 채택
대기업의 경우 방화벽이나 IPS 장비를 교체할 시점에 기존의 방화벽을 차세대 방화벽으로 대체하는 것이 바람직하다. 현재 몇몇 방화벽이나 IPS 업체들이 애플리케이션 인지를 포함, 차세대 방화벽 기능을 제공하고 있으며, 차세대 방화벽에 집중해서 출발한 신생 보안회사도 있다. 변화하고 있는 보안 위협과 경영 및 IT 환경에 맞춰 방화벽/IPS 교체 주기에 차세대 방화벽을 검토하도록 유인하고 있다는 것이 Gartner의 판단이다.
현재 차세대 방화벽의 도입율은 1% 미만에 불과하지만, 2014년 말에는 새로운 구매의 60%가 차세대 방화벽을 선택함으로써, 총 35%의 사용자 기반을 구축할 것으로 기대된다.
[출처] www.boan.com