2012.05.04

기고 | 왜 '차세대 방화벽'인가?

강종철 | CIO KR
- 유퀘스트 강종철 대표이사가 급변하는 인터넷 환경과 이로 인한 새로운 위협의 대두, 기존 보안 솔루션의 한계, APT 공격까지 막아낼 수 있는 차세대 방화벽의 필요성에 대해 기고했다. 본 기고문은 간접 광고를 피하기 위해 CIO Korea에 의해 일부 편집됐다. 그러나 기고자와 업체의 시각과 견해가 남아 있을 수 있다.

페이스북이나 트위터 등과 같은 소셜 네트워크 서비스(SNS)의 인터넷 애플리케이션들이 인터넷 환경을 급속도로 변화시키고 있다. 이는 사용자 디바이스, 네트워크 인프라, 보안 등 전 분야에 걸쳐 신기술 개발 및 변화를 촉진시키고 있으며 관련 업체들도 이에 대한 준비를 서두르는 모습이다.


많은 사람들이 이러한 새로운 인터넷 애플리케이션에 환호하며 이를 사용하는 동안 가장 곤혹스러운 분야가 보안일 것이다.

SNS의 증가에 따른 APT 공격 등의 최신 맬웨어를 통한 악성코드 유포같은 보안 위협수법은 나날이 지능화, 다양화 되고 있다. 보안 사고의 원인 분석조차 어려운 현 상황에서는 이처럼 급변하는 애플리케이션 기반의 인터넷 환경은 그들에게 날개를 달아주기에 너무나도 좋은 환경이다.

이러한 환경변화가 지금보다 더 심각한 보안 위협으로 다가오고 있음을 직시해 대처하지 못한다면 훨씬 크고 다양한 보안사고에 직면할 수 있다는 위기의식을 가지고 새로운 환경에 따른 보안 대책을 강구해야 하는 시점이다.

최근 변화하는 인터넷 환경에서 반드시 고민하고 확인해야 할 보안 필수사항은 ‘기존 보안 시스템으로 새로운 애플리케이션으로 유입되는 새로운 유형의 보안 위협에 대응할 수 있는가?’다.

이를 위해 현재 내부에서 어떤 애플리케이션들을 사용 중이며 기존 보안 시스템에서 이들을 적절히 통제할 수 있는지를 살펴봐야 한다. 아마 대부분의 기존 보안 시스템으로는 적절하게 대응하지 못할 것이다. 이는 기존 인프라 구성이 잘못돼 있어서가 아니라 기존 보안 시스템 기술의 한계 때문이다.

현재 구축해 사용중인 모든 보안장비의 기반 기술은 1995년에 개발된 스테이트플 인스펙션(Stateful Inspection)이다. 이 기술은 단순 웹브라우저, 기본적인 이메일 정도가 인터넷 애플리케이션의 전부였던 시기에 만들어진 보안기술로 TCP/UDP 포트 기반으로만 보안 정책을 설정한다.

이 때문에 허가된 포트로 유입될 수 있는 수 많은 애플리케이션들을 인지하지 못하며 악성 코드가 내재된 애플리케이션이나 관련된 어떠한 형태의 보안 위협에 대해서도 보안 정책설정이 불가능하다.

SANS에서 최근 발표한 자료에 따르면, 상위 20여개의 보안 위협을 분석한 결과 대다수가 애플리케이션 단의 보안 위협이었으며 이러한 추세가 점점 확대될 것이라 전망한 바 있다. 이는 현재 사용하고 있거나 앞으로 새롭게 등장하는 모든 애플리케이션들 자체가 보안 위협요소가 될 수 있다는 뜻이다.

즉 SNS를 포함한 다양한 애플리케이션들을 통해 유입될 수 있는 변형되고 진화하는 모든 보안 위협들을 탐지, 분석, 제어할 수 있는 기존과는 전혀 다른 개념의 새로운 형태의 보안 기술이 절실히 필요한 시점이다.


기존 보안 솔루션의 한계는?
1995년에 개발된 스테이트풀 인스펙션을 기반으로 하는 기존 보안 솔루션들은 IP주소, TCP/UDP 포트를 기반으로 보안 정책을 설정하여 작동하다. 이 기술은 그 동안 급속도로 변화하고 발전된 인터넷 환경에 맞춰 업그레이드하거나 새로운 기술을 추가로 개발하지 않으면서 기존 방화벽의 문제점을 보완하기 위해 IPS, AV, URL 필터링 등 여러 가지의 방화벽 보완 솔루션들로 병렬 구성한다.

이 때문에 운영이 복잡하고 유지비용이 많이 소요됨에도 불구하고 원천적인 기술의 개발이나 대안 없이 보안 시장을 유지해 왔다. 최근에는 암호화 또는 압축된 많은 애플리케이션들이 등장하면서 기존 보안 솔루션으로는 이들을 탐지하거나 분석, 제어 자체가 불가능해졌다. 

이러한 현상은 기존처럼 서로 다른 형태의 보완 솔루션을 개발해 해결할 수 없는 단계에 봉착했음을 의미한다.

현재의 애플리케이션들은 내부 접속을 허용할 수 밖에 없는 80/443 포트 등으로 통신하며 암호화, 압축돼 있다. 따라서 이러한 애플리케이션을 통하여 유입되는 보안 위협에 대해서는 전혀 대처를 할 수 없으며 특히 P2P, 스카이프, Tor 등 일부 암호화 또는 압축돼 사용하는 애플리케이션들에 대해서는 현존하는 IPS 시그너쳐에서조차도 판별을 할 수가 없다. 이를 통한 보안 위협에 대해서는 속수무책일 수 밖에 없는 것이다.

또한 80/443포트외 다른 포트를 통한 접속을 허용해 사용할 경우에는 문제가 더 심각해 질 수 밖에 없다. 아울러 전혀 다른 포트번호를 사용하고 있던 많은 애플리케이션들이 접속의 용이성을 보장하기 위하여 기본적으로 허용하고 있는 80/443포트 번호로 전환하는 사례도 늘고 있어 이를 통한 보안 위협이 더욱 커지고 있다.

이를 개선하려는 움직임도 있었다. 여러 가지 솔루션이 산재해 구성 관리 및 유지비용이 많이 드는 문제점을 해결하기 위해 기존 방화벽 및 방화벽 보완 솔루션인 IPS, AV, 웹 필터링 기능 등을 한 장비로 통합한 UTM 솔루션들이 한 예다. 실제로 이들은 초기 시장에서 좋은 반응을 얻기도 했다.

그러나 여전히 스테이트풀 인스펙션 기술을 기반으로 작동하며 추가 기능을 동시에 수행할 경우 심각한 성능 저하를 가져 오는 구조적인 문제점으로 인해 시장에서 외면 받고 있다.

이는 각종 보안 솔루션을 별도의 모듈로 구성해 트래픽 처리시 병렬 처리가 안되고 순차적으로 처리할 수 밖에 없는 구조기 때문이다. 또한 자사 솔루션이 아닌 타사 솔루션을 한 장비로 합친 경우가 대부분이어서 제조사에서 주장하는 성능을 낼 수가 없는 태생적이고 구조적인 문제점을 가지고 있다.

실제로 수십 기가의 성능을 제공한다고 주장하는 UTM장비들이 IPS기능 추가만으로도 기가 이하의 성능으로 급격히 떨어지는 심각한 성능 문제를 보이기도 한다.




2012.05.04

기고 | 왜 '차세대 방화벽'인가?

강종철 | CIO KR
- 유퀘스트 강종철 대표이사가 급변하는 인터넷 환경과 이로 인한 새로운 위협의 대두, 기존 보안 솔루션의 한계, APT 공격까지 막아낼 수 있는 차세대 방화벽의 필요성에 대해 기고했다. 본 기고문은 간접 광고를 피하기 위해 CIO Korea에 의해 일부 편집됐다. 그러나 기고자와 업체의 시각과 견해가 남아 있을 수 있다.

페이스북이나 트위터 등과 같은 소셜 네트워크 서비스(SNS)의 인터넷 애플리케이션들이 인터넷 환경을 급속도로 변화시키고 있다. 이는 사용자 디바이스, 네트워크 인프라, 보안 등 전 분야에 걸쳐 신기술 개발 및 변화를 촉진시키고 있으며 관련 업체들도 이에 대한 준비를 서두르는 모습이다.


많은 사람들이 이러한 새로운 인터넷 애플리케이션에 환호하며 이를 사용하는 동안 가장 곤혹스러운 분야가 보안일 것이다.

SNS의 증가에 따른 APT 공격 등의 최신 맬웨어를 통한 악성코드 유포같은 보안 위협수법은 나날이 지능화, 다양화 되고 있다. 보안 사고의 원인 분석조차 어려운 현 상황에서는 이처럼 급변하는 애플리케이션 기반의 인터넷 환경은 그들에게 날개를 달아주기에 너무나도 좋은 환경이다.

이러한 환경변화가 지금보다 더 심각한 보안 위협으로 다가오고 있음을 직시해 대처하지 못한다면 훨씬 크고 다양한 보안사고에 직면할 수 있다는 위기의식을 가지고 새로운 환경에 따른 보안 대책을 강구해야 하는 시점이다.

최근 변화하는 인터넷 환경에서 반드시 고민하고 확인해야 할 보안 필수사항은 ‘기존 보안 시스템으로 새로운 애플리케이션으로 유입되는 새로운 유형의 보안 위협에 대응할 수 있는가?’다.

이를 위해 현재 내부에서 어떤 애플리케이션들을 사용 중이며 기존 보안 시스템에서 이들을 적절히 통제할 수 있는지를 살펴봐야 한다. 아마 대부분의 기존 보안 시스템으로는 적절하게 대응하지 못할 것이다. 이는 기존 인프라 구성이 잘못돼 있어서가 아니라 기존 보안 시스템 기술의 한계 때문이다.

현재 구축해 사용중인 모든 보안장비의 기반 기술은 1995년에 개발된 스테이트플 인스펙션(Stateful Inspection)이다. 이 기술은 단순 웹브라우저, 기본적인 이메일 정도가 인터넷 애플리케이션의 전부였던 시기에 만들어진 보안기술로 TCP/UDP 포트 기반으로만 보안 정책을 설정한다.

이 때문에 허가된 포트로 유입될 수 있는 수 많은 애플리케이션들을 인지하지 못하며 악성 코드가 내재된 애플리케이션이나 관련된 어떠한 형태의 보안 위협에 대해서도 보안 정책설정이 불가능하다.

SANS에서 최근 발표한 자료에 따르면, 상위 20여개의 보안 위협을 분석한 결과 대다수가 애플리케이션 단의 보안 위협이었으며 이러한 추세가 점점 확대될 것이라 전망한 바 있다. 이는 현재 사용하고 있거나 앞으로 새롭게 등장하는 모든 애플리케이션들 자체가 보안 위협요소가 될 수 있다는 뜻이다.

즉 SNS를 포함한 다양한 애플리케이션들을 통해 유입될 수 있는 변형되고 진화하는 모든 보안 위협들을 탐지, 분석, 제어할 수 있는 기존과는 전혀 다른 개념의 새로운 형태의 보안 기술이 절실히 필요한 시점이다.


기존 보안 솔루션의 한계는?
1995년에 개발된 스테이트풀 인스펙션을 기반으로 하는 기존 보안 솔루션들은 IP주소, TCP/UDP 포트를 기반으로 보안 정책을 설정하여 작동하다. 이 기술은 그 동안 급속도로 변화하고 발전된 인터넷 환경에 맞춰 업그레이드하거나 새로운 기술을 추가로 개발하지 않으면서 기존 방화벽의 문제점을 보완하기 위해 IPS, AV, URL 필터링 등 여러 가지의 방화벽 보완 솔루션들로 병렬 구성한다.

이 때문에 운영이 복잡하고 유지비용이 많이 소요됨에도 불구하고 원천적인 기술의 개발이나 대안 없이 보안 시장을 유지해 왔다. 최근에는 암호화 또는 압축된 많은 애플리케이션들이 등장하면서 기존 보안 솔루션으로는 이들을 탐지하거나 분석, 제어 자체가 불가능해졌다. 

이러한 현상은 기존처럼 서로 다른 형태의 보완 솔루션을 개발해 해결할 수 없는 단계에 봉착했음을 의미한다.

현재의 애플리케이션들은 내부 접속을 허용할 수 밖에 없는 80/443 포트 등으로 통신하며 암호화, 압축돼 있다. 따라서 이러한 애플리케이션을 통하여 유입되는 보안 위협에 대해서는 전혀 대처를 할 수 없으며 특히 P2P, 스카이프, Tor 등 일부 암호화 또는 압축돼 사용하는 애플리케이션들에 대해서는 현존하는 IPS 시그너쳐에서조차도 판별을 할 수가 없다. 이를 통한 보안 위협에 대해서는 속수무책일 수 밖에 없는 것이다.

또한 80/443포트외 다른 포트를 통한 접속을 허용해 사용할 경우에는 문제가 더 심각해 질 수 밖에 없다. 아울러 전혀 다른 포트번호를 사용하고 있던 많은 애플리케이션들이 접속의 용이성을 보장하기 위하여 기본적으로 허용하고 있는 80/443포트 번호로 전환하는 사례도 늘고 있어 이를 통한 보안 위협이 더욱 커지고 있다.

이를 개선하려는 움직임도 있었다. 여러 가지 솔루션이 산재해 구성 관리 및 유지비용이 많이 드는 문제점을 해결하기 위해 기존 방화벽 및 방화벽 보완 솔루션인 IPS, AV, 웹 필터링 기능 등을 한 장비로 통합한 UTM 솔루션들이 한 예다. 실제로 이들은 초기 시장에서 좋은 반응을 얻기도 했다.

그러나 여전히 스테이트풀 인스펙션 기술을 기반으로 작동하며 추가 기능을 동시에 수행할 경우 심각한 성능 저하를 가져 오는 구조적인 문제점으로 인해 시장에서 외면 받고 있다.

이는 각종 보안 솔루션을 별도의 모듈로 구성해 트래픽 처리시 병렬 처리가 안되고 순차적으로 처리할 수 밖에 없는 구조기 때문이다. 또한 자사 솔루션이 아닌 타사 솔루션을 한 장비로 합친 경우가 대부분이어서 제조사에서 주장하는 성능을 낼 수가 없는 태생적이고 구조적인 문제점을 가지고 있다.

실제로 수십 기가의 성능을 제공한다고 주장하는 UTM장비들이 IPS기능 추가만으로도 기가 이하의 성능으로 급격히 떨어지는 심각한 성능 문제를 보이기도 한다.


X