Offcanvas

보안 / 애플리케이션 / 클라우드

차세대 방화벽이란? 클라우드와 복잡성이 주는 영향은?

2018.08.29 Maria Korolov  |  CSO
전통적인 방화벽은 트래픽이 출발하는 도메인과 트래픽이 도착하는 포트를 추적한다. 차세대 방화벽은 여기서 한 단계 더 나아간다. 좀더 자세히 설명하면 맬웨어 및 데이터 외부 유출에 대비해 메시지 콘텐츠를 감시하고, 위협을 실시간으로 대응하며 저지할 수 있다. 최신 방화벽 제품은 이보다도 더 나아간다. 행동 애널리틱스, 애플리케이션 보안, 제로-데이 멀웨어 검출, 클라우드 및 하이브리드 환경 지원, 심지어 엔드포인트 보호까지 아우른다.

수많은 기능이 한 장소에 집결된 것이다. 이렇게 집중시키면 관리 작업이 단순해질 것이다. 일부 방화벽 업체는, 그리고 서드파티 사업자들은, 인텐트 기반 보안(intent-based security)을 제공하며 관리 이슈(management issue)에 대처하기 시작했다. 이에 의해 이용자는 일관성 있는 관리 및 구성 정책을 설정할 수 있고, 아울러 컴플라이언스 관련 정책들도 수립할 수 있다.

가트너에 따르면 2020년까지 차세대 방화벽은 거의 100%의 POP(internet points of presence)에 도달할 것이다. 그러나 대다수 조직들은 차세대 기능 가운데 한두 개 정도만 사용할 것으로 전망된다.



차세대 방화벽 시장의 변화 양상

차세대 방화벽은 나온 지 10년이 되었지만, 시장은 아직도 성장 중이다. NSS랩에 따르면 현재 기업이 80% 이상이 차세대 방화벽을 배치했다. NSS 랩의 전략 및 연구 부사장인 마이크 스팬보어는 “오늘날 이는 최고의 기업 보안 제어 수단이다”라고 말했다.

그러나 올 여름 NSS랩이 보안 테스트에서 평가한 어떤 방화벽도 변형 공격들에 대해 완벽한 복원력을 보여주지 못했다. 10개의 방화벽 중 6개가 90% 이상의 점수를 기록했지만 그렇다. 이는 개선의 여지가 상당함을 시사한다.

NSS랩의 차세대 방화벽 추천 제품

NSS랩이 이행한 최신의 방화벽 비교 보안 테스트에서, 다음의 방화벽 제품이 보안 효율에서 가장 높은 점수를 기록했다.

- 바라쿠다 네트웍스(Barracuda Networks) CloudGen Firewall F800.CCE v7.2.0
- 포스포인트(Forcepoint) NGFW 2105 Appliance v6.3.3 build 19153 (Update Package: 1056)
- 포티넷(Fortinet) FortiGate 500E V5.6.3GA build 7858
- 팔로알토 네트웍스(Palo Alto Networks) PA-5220 PAN-OS 8.1.1
- 소닉 월(SonicWall) NSa 2650 SonicOS Enhanced 6.5.0.10-73n
- 버사 네트웍스(Versa Networks) FlexVNF 16.1R1-S6 

마켓 앤 마켓(Markets & Markets)에 따르면 차세대 방화벽 시장은 2017년 23억 9,000만 달러에서 2022년 42억 7,000만 달러로 성장할 것으로 추산된다. 연평균 복합성장률은 12.3%이다. 추산의 근거는 위협 환경과 기업 방어선이 지난 몇 년 동안 극적으로 변했다는 점이다.

가트너에 따르면 전형적으로 방화벽 수명주기는 4 -5년이다. 가트너의 애널리스트 아담 힐에 따르면 2010년과 2011년에 차세대 방화벽 구매가 증가했던 바 있으며, 이는 앞으로 12개월에 걸쳐 이들 방화벽의 상당수가 교체되어야 한다는 현실을 반영한다. 왜냐하면 이들은 외부로 나가는 전송계층보안(Transport Layer Security, TLS) 통신의 처리량 및 암호 해독에 대한 오늘날의 니즈를 더 이상 충족시키지 못할 것이기 때문이다.

아울러 오늘날의 기업은 클라우드나 하이브리드 인프라를 이용할 가능성이 더 높고, 이용자는 웹 애플리케이션이나 모바일 디바이스를 통해 연결될 가능성이 더 높다.

차세대 방화벽은 클라우드에 적응하려고 노력 중
현재까지, 차세대 방화벽 업체들은 클라우드 환경의 니즈에 맞춰 기능을 완전히 변화시키지 못한 상태라고 NSS랩의 스팬바우어는 지적했다. 그러면서 “엔지니어링 측면에서 이는 엄청난 과제다. 물리 환경이든 가상 환경이든 아직까지 완벽한 수준 근처에도 가지 못했다”라고 말했다.

그러나 이들은 클라우드가 제공하는 기능들의 이점을 활용하고 있다. 예컨대 위협 정보 데이터의 실시간 공유 등이다. 그는 “최초 감염자의 경우 방어하기가 지극히 어렵다. 그러나 1-2분의 시간 여유가 주어진다면 10번째, 15번째, 20번째 감염자는 실시간 업데이트를 받으면서 방화벽의 클라우드 기능에 의해 보호될 수 있다”라고 말했다.

차세대 방화벽이 엔드포인트 보안을 제공할까?
차세대 방화벽이 엔트포인트 보안 영역으로 확장될 가능성 역시 있다. 스팬바우어는 “이들이 합쳐진다면 기업들이 관리하기가 훨씬 더 쉬워진다. 그러나 그런 일은 일어나지 않을 것이다”라고 말했다.

그는 경계 보호 및 엔드포인트 보호는 앞으로 상당한 기간 동안 개별적으로 존재할 것이지만, 이 두 종류의 기술은 상호간에 혜택을 줄 수 있다면서 “따라서, 엔드포인트에서 나오는 정보는 방화벽의 효과를 제고하는데 기여한다”고 말했다.

방화벽 업체인 체크 포인트 소프트웨어 테크놀로지(Check Point Software Technologies)에 따르면 차후의 기업 보안은 현재의 차세대 방화벽의 제반 기능을 클라우드, 모바일, 및 엔드포인트 보호와 결합시키면서 더 이상 방화벽에 머무르지 않고, 완전히 새로운 범주로 진화할 것으로 전망된다.

체크포인트의 IPS 제품 책임자인 대럴 버키는 이에 대한 체크포인트의 대책이 체크포인트 인피니티 아키텍처(Check Point Infinity Architecture)라고 말했다. 그는 “이는 새로운 제품 유형이다. 이를 차세대 방화벽이라고 생각하지 않는다. 전체 인프라를 조망할 정도로 강건하고, 모든 관점으로부터 접근하는 하나의 통일된 탄력적 시스템이다”라고 말했다.

그는 방화벽이 기업 보안을 전적으로 보장하지 않는다고 말한다. 그러면서 “전적인 보호를 제공할 수 없다. 따라서 방화벽은 첨단 위협 솔루션의 한 계층 내지 컴포넌트가 되고 있다”라고 말했다.

ESG 애널리스트 존 올트식에 따르면 첨단 위협 솔루션(advanced threat solutions)은 첨단 위협 보호(advanced threat protection)라고도 칭하며, 위협을 자동으로 기록하고 경계에서 차단하는 전문 위협 인텔리전스 게이트웨이(threat intelligence gateways), 보안 DNS 서비스(secure DNS services), 마이크로-세그먼테이션(micro-segmentation), 지능형 애플리케이션 컨트롤(intelligent application controls) 역시 포함할 수 있다.

차세대 방화벽의 관리 및 컴플라이언스로 인해 증가하는 복잡성
파이어몬(FireMon’s)의 방화벽 현황 보고서에 따르면 설문조사에 응한 보안 전문가들은 방화벽 규칙 및 정책의 복잡성을 방화벽의 최대의 난제로 꼽았다. 이어 정책 준수 및 감사 대비가 2위를 차지하고, 방화벽 규칙의 최적화가 근소한 차이로 3위에 자리한다.

한편 설문에 응한 회사들 대다수가 10개 이상의 방화벽을 배치한 상태였으며, 100개 이상의 방화벽을 배치하였다고 보고한 회사가 26%였다.

방화벽 규칙 기반을 정리하고 위험을 최소화하는 방법

기술적 오류를 제거: 방화벽 정책에 있어서 기술적 오류란 ‘비효율적’ 또는 ‘부정확’으로 서술되는 규칙들이다. 또는 비즈니스 목적에 기여하지 않는 것으로 규명된 규칙들이다(예. 비밀, 섀도우드, 잉여 및 중복 규칙).

사용되지 않는 접근을 제거: 규칙 베이스 안에 컴플라이언스에 부합하고 올바른 접근을 제공하는 (또는 차단하는) 규칙이 있기는 한데, 단순히 사용되지를 않는 규칙이 있을 수 있다. 규칙 이용을 판단하는 가장 좋은 방법은 장기에 걸쳐 네트워크 트래픽 패턴과 활성화된 정책 행위를 대조하는 것이다.

지나치게 관대한 규칙을 정교화: 부실하게 정의된 비즈니스 요건이 촉박한 마감시한과 조합된 결과인 이들은 비즈니스 요구를 충족시키는데 필요한 것보다 더 많은 액세스를 제공하는 규칙들이다. 예를 들어, ‘무엇이든(any)’이라는 말이 사용된 규칙이다.

정책을 지속적으로 모니터링: 모든 것은 유지관리로 귀결된다. 방화벽이 난잡해지는 것을 막고, 보안과 컴플라이언스 태세를 강화하기 위해 정책을 지속적으로 모니터링 한다.

출처 : FireMon 

회사가 방화벽에 대해 설정한 규칙 및 정책들은 회사의 환경 내에 존재하는 다른 보안 제품에도 반영되는 것이 일반적이다. 파이어몬(FireMon)의 기술 제휴 부사장인 팀 우즈는 “일반적인 네트워크는 데스크톱 수준, 서버 수준, 네트워크 수준에서 보안에 기여하는 80 – 90 포인트 솔루션을 가진다”라고 말했다.

최신 방화벽 제품들은 이러한 포인트 솔루션의 일부를 통합할 수 있고, 어느 정도까지, 흐름을 저지하는데 유용하지만, 새로운 위협들은 계속해서 출현하고, 기업 환경은 끊임 없이 진화한다. 따라서 이는 절대로 멈추지 않는다. 한편 클라우드 환경, SaaS 애플리케이션 등 새로운 위험 영역들은 보안 팀이 통제하는 것이 아니라 다른 부서에서 관리한다.

사실 복잡성 문제는 갈수록 더 심각해지고 있다고 우즈는 말한다. 그는 “복잡성이 계속해서 증가함에 따라 인간 오류, 구성 오류 등 오류 확률 또한 계속 늘어난다. 복잡성의 증가 경향 때문에 인프라 내에서 문제들이 진화하고 성숙해지기 시작한다”라고 말했다.

인텐트(intent)에 의한 보안 관리, 즉 핵심 원리에 기반해 특정한 방화벽 규칙 및 보안 구성을 생성하면서 의도적으로 보안을 관리한다면 문제에 대처할 수 있을 것으로 생각되곤 하지만, 아직 기술이 이를 뒷받침하지 못하고 있다는 평가다. 우즈는 “회사의 보안 정책이 회사의 보안 구현을 실제적으로 반영한다고 자신 있게 말하는 회사를 아직까지 본 적이 없다”라고 말했다.

미래에, 회사들은 자신의 보안 인텐트(security intent)를 정의할 수 있을 것이고, 정책 연산 엔진은 필수적인 방화벽 규칙을 자동으로 생성할 것이라고 그는 전했다.

우즈는 “이는 데이터센터에, 전통적인 방화벽에, 클라우드 내 가상 방화벽에, 네이티브 컨트롤에, 또는 콘테이너에 있을 수 있다. 그러나 우리는 인간의 개입 없이, 맥락 지능을 이용하여, 우리의 보안 인텐트가 의미하는 바가 무엇인지, 우리가 보안 정책을 어떻게 자동으로 기술적으로 강화하는지를 알게 될 것이다. 우리는 비즈니스의 속도와 보안 강화의 속도 간의 갭을 생성했던 전통적 과정들을 제거하고 싶어한다”라고 말했다.

다행히, 보안 업체들이 중앙 지점으로부터 정보가 교환될 수 있고 정보에 따라 행동할 수 있는 오픈 API로 이동 중이다. 우즈는 “모든 주요 차세대 방화벽 업체들이 이 API 체계를 제공하고 있다. 파이어몬 같은 중앙식 관리 제품에게는 좋은 소식이다”라고 말했다.

개별 방화벽 업체들은 정책 및 컴플라이언스 관리 영역으로도 진입하고 있다. 그러나 이들은 자신의 제품을 관리하는 데에 초점을 맞추지, 다른 업체에는 관심을 두지 않는 것이 보통이다.

예를 들어, 체크포인트 컴플라이언스 블레이드 제품은 체크포인트 제품에만 신경 쓴다. 파이어몬의 우즈는 “업체들은 자신의 제품에 집중한다. 기업 인프라에 구현되어 있는 전체 제품들에 신경 쓰지 않는다”면서 “이게 변할 거라고 생각하지 않는다. 이들을 비난하는 것이 아니다. 이들은 나름대로 최선의 노력을 기울이고 있다”라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.