유형∙기능∙업체로 알아보는 '방화벽의 어제와 오늘'

Network World
방화벽이 등장한 지 벌써 30년이 넘었다. 그동안 방화벽은 별도의 어플라이언스로 판매되던 기능들을 수용하면서 외부에서 수집하던 데이터를 끌어들여 어떤 네트워크 트래픽을 허용하고, 어떤 트래픽을 차단할지를 결정할 만큼 진화했다. 
 
ⓒCredit: GettyImages

이제 방화벽은 네트워크 방어 생태계에서 빠질 수 없는 여러 요소 중 하나가 되었다. 가장 최근 버전들은 기업용 방화벽, 차세대 방화벽(NGFW, next-generation firewalls) 등으로 불리는 데 이는 그 사용 주체를 알려주고, 지속해서 기능을 추가하고 있음을 보여 준다.

방화벽이란?
방화벽은 네트워크를 드나드는 패킷을 모니터링하고 허용된 트래픽과 허용되지 않는 트래픽을 결정하며 사전에 설정된 규칙에 따라 패킷의 출입을 통제하는 네트워크 장비다. 

수년간 여러 가지 유형의 방화벽들이 개발됐으며, 이들은 점차 더 복잡해지고 트래픽의 통과 여부를 결정할 때 더 많은 매개 변수를 고려하게 됐다. 처음 방화벽은 단순한 패킷 필터로 시작했지만, 갈수록 훨씬 더 많은 기능을 담게 됐다. 

원래 방화벽은 신뢰할 수 있는 네트워크와, 신뢰할 수 없는 네트워크 사이에 놓인 경계 역할을 했었다. 그러나 요즘에는 데이터센터 등 네트워크의 내부 부문을 조직 내 다른 네트워크 부문으로부터 보호하는 역할을 하기도 한다. 

방화벽은 보통은 개별 업체가 구축한 어플라이언스로 배치되지만, 고객이 자체로 하드웨어에 설치하는 가상 어플라이언스로도 구입할 수 있다.

주요 방화벽 유형들은 아래와 같다.

프록시 방화벽
프록시 방화벽은 데이터를 요청하는 최종 사용자와, 그 데이터의 소스 사이에서 게이트웨이 역할을 한다. 호스트 장비는 프록시에 연결되고, 프록시는 데이터 소스에 별도로 연결한다. 이에 대응하여 데이터 소스는 프록시에 연결되고, 프록시는 호스트 장비에 별도의 연결을 생성한다. 대상 주소로 패킷을 전송하기 전에, 프록시는 정책을 적용하고 수신자 장비 위치를 마스킹하며 동시에 수신 장비와 네트워크 보호를 위해 패킷을 필터링할 수 있다. 

프록시 기반 방화벽은 보호 중인 네트워크의 외부에 있는 컴퓨터들이 네트워크에 직접 연결되지 않기 때문에 네트워크에 대한 제한된 정보만 수집할 수 있다는 장점이 있다. 

반면 가장 큰 단점은 들어 오는 연결을 종료하고, 나가는 커넥션을 생성하는 데다가 필터링까지 하게 되면 지연이 발생해 성능까지 저하시킬 수 있다는 것이다. 그렇게 되면 응답 시간이 너무 느려져서 일부 애플리케이션 사용을 아예 하지 않게 된다.

상태 기반 방화벽
프록시 기반 방화벽의 성능 향상은 상태 기반 방화벽의 형태로 이루어졌다. 상태 기반 방화벽은 연결에 대한 정보 영역을 추적하고 방화벽이 모든 패킷을 검사할 필요가 없도록 만들어 주었다. 덕분에 방화벽이 야기하는 지연을 크게 감소시켰다. 

예를 들어, 상태 기반 방화벽은 연결 상태를 유지함으로써 이미 검증이 이루어진, 적법한 송신 연결에 대한 응답이라 파악된 수신 패킷보다 앞서갈 수 있다. 초기 검증에서는 우선 연결이 허용되는가를 확인하고, 그 상태를 메모리에 저장해 둠으로써 방화벽은 모든 패킷을 다 검사할 필요 없이 후속 트래픽을 통과시킬 수 있다.

웹 애플리케이션 방화벽
웹 애플리케이션 방화벽은 웹 애플리케이션을 지원하는 서버와 인터넷 사이에 배치되어 교차 사이트 스크립팅, SQL 주입 등과 같은 특정 HTML 공격으로부터 이들을 보호한다. 웹 애플리케이션 방화벽은 하드웨어 기반일 수도 있고, 클라우드 기반일 수도 있으며, 서버에 접근하려는 각 클라이언트에게 접근을 허용해야 하는지 여부를 결정하기 위해 애플리케이션 자체에 내장될 수도 있다.

차세대 방화벽
패킷을 필터링하는 방법에는 연결 상태를 이용하거나, 소스 및 대상 주소를 이용하는 것 외에 다른 것도 있다. 바로 차세대 방화벽(NGFW)이다. 차세대 방화벽은 통과시킬 트래픽에 대한 보다 정확한 결정을 내리기 위하여 애플리케이션과 사용자가 할 수 있는 행동에 대한 규칙을 정하고, 다른 기술로부터 수집된 데이터를 혼합한다. 

예를 들어, 차세대 방화벽 중에는 URL 필터링을 수행하고, 보안 소켓 계층(security socket layer)과 전송 계층 보안(transport layer security) 연결을 종료하며, SD-WAN을 지원하여 동적 SD-WAN(software-defined wide area networking) 결정의 효율성을 증대시킨다.

방화벽만으로는 충분하지 않다
과거에는 별도의 기기를 통해 처리하던 기능 중 상당수가 현재는 차세대 방화벽으로 녹아 들어가 있다. 이러한 기능 들에는 다음과 같은 것들이 있다.

침입 방지 시스템(IPS)
기본적인 방화벽 테크놀로지는 특정 유형의 네트워크 트래픽만을 식별하여 차단하지만, IPS는 위협 요소가 네트워크에 유입되는 것을 예방하기 위하여 서명 추적, 이상징후 탐지 등 보다 세분화된 보안을 사용한다. 한때는 별도의 플랫폼이었던 IPS 기능은 점차 더 표준적인 방화벽 기능이 되어 가고 있다.

심층 패킷 분석(DPI)
심층 패킷 분석은 패킷이 어디에서 오고, 어디로 가는가를 살펴보고 그 내용을 분석하여 패킷이 어떤 애플리케이션에 접근하려 하는지, 어떤 유형의 데이터가 전송되고 있는지를 밝혀내는 패킷 필터링의 한 유형이다. 이러한 정보는 더 지능적이고, 세분화된 정책을 가능케 한다. DPI는 트래픽을 차단하거나 허용하는 기능도 하지만, 특정 애플리케이션이 사용할 수 있는 대역폭의 양을 제한하기도 한다. 또한 지적 재산권이나 민감한 데이터가 보안 네트워크로부터 유출되지 않도록 보호하기도 한다. 

SSL/TLS 종료
SSL 암호화 트래픽은 그 내용을 읽을 수가 없기 때문에 심층 패킷 검사가 통하지 않는다. 그런데 차세대 방화벽 중에는 SSL 트래픽을 종료하고, 이를 검사하여 예정된 대상 주소에 대한 두 번째 SSL 연결을 생성해 주는 것들도 있다. 이런 기술은 예컨대 악의를 가진 내부 직원이 합법적인 트래픽의 통과를 허용하면서 동시에 보안 네트워크 외부로 중요 정보를 유출하는 것을 방지할 수 있다. 이 기술은 데이터 보호라는 측면에서는 유용하지만, 동시에 프라이버시 문제를 야기할 수 있다. SSL을 개선한 것이 TLS인데, SSL의 트래픽 종료와 프록시는 TLS에도 적용된다.

샌드박스
외부에서 유입되는 첨부 파일에 악성코드가 포함돼 있을 수도 있고, 외부 소스와의 커뮤니케이션으로 악성코드에 감염될 수도 있다. 차세대 방화벽 중에는 샌드박스를 이용하여 첨부파일에 포함된 모든 코드를 분리해 실행하고, 악성 여부를 확인하는 것들이 있다. 이 프로세스의 단점은 CPU 사이클을 많이 소모한다는 것과, 방화벽을 통과하는 트래픽을 지연시킨다는 것이다. 

차세대 방화벽에 통합될 수 있는 다른 기능들도 있다. 이들은 다른 플랫폼에서 수집된 데이터를 사용하여 방화벽 결정을 내리는 것을 지원할 수 있다. 예컨대 새로운 악성코드 서명을 식별할 경우 방화벽은 이 정보를 받아들이고, 서명이 포함된 트래픽을 필터링하기 시작할 것이다. 

한편 가트너는 한때는 차세대 방화벽이라는 용어를 사용했지만, 이제는 이전 세대 방화벽들이 시대에 뒤떨어졌다고 보아서 단순히 기업 방화벽이라고만 칭하고 있다.

인기 방화벽 업체들
최근 가트너의 기업 방화벽 순위를 보면 체크포인트, 시스코, 포티넷, 팔로알토 네트웍스(Palo Alto Networks) 등이 순위권에 올랐다. 소포스(Sophos) 역시 근접하긴 했지만, 실행 능력이나 비전의 완전성 측면에서 다소 못 치민다는 평가를 받았다. 

IDC에 따르면, 가트너의 이 '매직 쿼드런트'에 들어간 4곳의 리더 기업들은 제품이 창출하는 매출액 상위권을 기록했다. 이 4개 기업 매출을 모두 합치면 지난해 1분기 방화벽 시장 점유율의 절반을 넘는다고 IDC는 말했다. 

5년 전 가트너는 이 방화벽 시장 리더 기업에 체크포인트와 팔로알토만을 포함했지만 2017년에는 포티넷이, 2018년에는 시스코가 그 장벽을 뚫었다. 

이들 업체 중에서 시스코, 포티넷, 팔로알토는 가트너로부터 고객 평가를 바탕으로 한 커스터머 초이스 어워드(Customer Choice Awards)도 수상했다. 고객들은 17개 업체를 대상으로 3,406건의 리뷰를 제출했으며, 그 중 2,943개가 전부 이 리더 업체들에 대한 것이었다.

여기에 언급되지 않은 다른 12개 업체로는 안랩, 배라큐다 네트웍스(Barracuda Networks), 포스포인트(Forcepoint), 그레이힐러(GreyHiller), 힐스톤 네트웍스(Hillstone Networks), 화훼이, 주니퍼 네트웍스, 뉴H3C(New H3C), 생포(Sangfor), 소닉월(Sonic Wall), 스톰쉴드(Stormshield), 워치가드(Watchguard) 등이 있었다. 

이와 대조적으로, 포레스터 리서치는 방화벽뿐 아니라 다양한 보안 구성 요소와, 이들이 얼마나 잘 통합되는가를 고려하여 설계된 프레임워크를 통해 상위 방화벽 업체의 순위를 매긴다. '포레스터 웨이브 : ZTX(Forrester Wave: ZTX(Zero Trust eXtended)) 에코시스템 제공자 2018년 4분기' 보고서에 따르면, 방화벽에만 의존하던 것은 과거 이야기다. 이 자료에서 포레스터는 팔로알토와 시만텍 두 공급업체를 1위로 선정했다. ciokr@idg.co.kr