brunch
매거진 금융보안 NW보안운영

금융회사 네트워크 보안(FW)

방화벽

by bit
May 26. 2021

두 번째는 네트워크 보안이다. 법적으로 해야 하는 의무를 떠나서 기본적으로 회사가 갖춰야 하는 보안이라고 생각한다. 종류는 방화벽, IDS/IPS, DDoS, SSLVPN 등이 있다.

회사의 규모에 따라 사용하는 업체나 장비의 모델이 다르지만 동작 방식은 비슷하다.


네트워크 보안의 첫 번째는 방화벽이다. FW로 표기하며 FireWall의 약자다. 방화벽도 백신처럼 금융회사가 아니더라도 기본적으로 구성해야 한다.

방화벽은 대부분 스테이트풀 인스펙션 방식이다. 상세 내용은 잘 정리된 브런치가 있으니 참조 바란다.


주요 기능은 IP와 포트, 서비스를 정책으로 정하여 허용한 트래픽만 통신되게 통제하는 것이다. 단순한 장비이긴 하나 인프라 구성에 변경이 생긴다면 방화벽 담당자는 변경된 서비스가 잘 되는지 등을 확인해줘야 한다.

출발지 IP와 목적지 IP, 서비스 포트를 허용할지 말지 등록하고 요청서비스가 이상이 없는지 확인하는 일련의 과정을 방화벽 정책관리라고 부른다.


물론 인프라 구성 변경을 진행하는 부서에서 먼저 서비스를 파악한 후 방화벽 요청을 올리는 게 먼저지만 파악이 어려워 진행 부서에서 통신 포트나 목적지 IP를 ANY로 열어달라는 경우가 있다. 이때 보안담당자는 요청하는 부서와 협의를 해야 한다.


ANY로 열게 되면 열리지 말아야 할 서비스가 열릴 수도 있고, 직원의 실수로 IP를 착각해 개발 DATA를 운영에 UPDATE에 한다는 등 실수가 발생할 수 있다. 뿐만 아니라 감독당국이나 다른 감사에서 지적 대상이 될 수 있다.

방화벽 정책 정리를 안 하게 되면 관리 미흡으로 감사지적을 주기도 한다.


이외에도 담당자는 정기적으로 정책과 오브젝트를 정리해줘야 한다. 어쩔 수 없이 ANY로 오픈한 경우나 더 이상 사용하지 않는 서비스 등 방화벽의 로그를 분석해서 미사용 정책과 오브젝트는 삭제해야 사고를 예방할 수 있다.

정책 정리 시 6개월에 한 번 또는 1년에 한 번 사용하는 서비스가 있을 수 있으니 무턱대고 오랫동안 미사용이라고 정책을 삭제하면 안 된다.


담당자님 방화벽 정기점검 원격으로 해도 되죠?


간혹 엔지니어가 원격으로 점검하겠다고 하는데, 절대 안 된다. 방화벽뿐만 아니라 정보보호시스템은 모두 안된다. 정말 어쩔 수 없는 경우는 몇 가지 통제하에 가능하지만 그냥 방문해서 점검하는 게 훨씬 낫다.


전자금융감독규정 제15조(해킹 등 방지대책) ② 제1항제1호의 규정에 따른 정보보호시스템을 설치·운영하는 경우에는 다음 각 호의 사항을 준수하여야 한다.

4. 정보보호시스템 원격관리를 금지할 것. 다만, 원격관리가 불가피한 경우 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다) 사용, 접근통제 등을 포함한 원격 접속 보안 대책을 수립·운영할 것


방화벽이 한두 개도 아니고 어떻게 관리를 다 해요?


시장에는 방화벽 관리를 도와주는 솔루션들이 많이 나와있다. 금융회사에서는 이기종 방화벽들을 사용하기도 하는데, 제조사가 각기 다른 방화벽들의 정책을 중앙에서 관리해주는 정책관리 솔루션도 있다.

정책관리 솔루션은 관리자가 정기적으로 점검해야 할 사항들을 쉽고 편리하게 관리할 수 있게 도와준다. 예를 들어 목적지가 ANY로 되어있거나, 만료일이 다가오는 정책에 대해 알람을 준다거나 정책 중앙관리 등이다.


일반적으로 방화벽은 NAT 기능을 사용하는데, NAT란 네트워크 주소를 변환해주는 기능이다. 내부 IP가 외부로 나갈 때 공인 IP로 바꿔주어 내부의 IP 정보를 노출하지 않도록 해준다. 또한 공인 IP를 각 PC나 내부 시스템에 사용하지 않아서 비용절감에도 효과적이다.

공인 IP를 사설 IP처럼 사용하는 금융회사도 있는데 추후 감사지적이 될 여지가 있다.


<내부 IP 대역>

10.0.0.0 ~ 10.255.255.255

172.16.0.0 ~ 172.31.255.255

192.168.0.0 ~ 192.168.255.255



방화벽 중엔 웹방화벽(WAF)도 있다. Web Application Firewall의 약자로 웹어플리케이션의 공격을 탐지/차단한다. XSS, SQL Injection 등 웹 서비스 공격은 일반 방화벽으로 막을 순 없다.


초반에 WAF의 정책 튜닝을 잘해놓으면 FW처럼 정책을 정리할 일이 별로 없다. 하지만 위에서도 말했듯 1년에 한번 발생하는 트래픽이 있을 수 있기때문에 담당자가 인지는 하고 있어야한다.


뿐만 아니라 HTTPS 서비스를 하는 경우 SSL인증서를 WAF에 등록하고, 주기적으로 교체를 해줘야한다.

인증서를 제때 갱신하지 않으면 아래와 같이 홈페이지에 경고문구를 볼 수 있다.

01.JPG?type=w773 <인증서가 만료된 홈페이지 화면>


웹서버가 갖고있어야지 왜 WAF도 인증서를 갖고있나요?


WAF가 인증서를 갖고 있어야 암호화된 SSL통신속에서 공격을 탐지/차단하기 때문이다. SSL인증서는 1년마다 갱신해줘야 한다. 작년까진 2년이 최대주기였는데 1년으로 줄어들었다. 자세한 내용은 기사를 참조하면된다.


일반 방화벽 말고도 UTM, NGFW을 운영하는 금융회사도 있다. 둘 다 FW에 VPN, AV, DoS Protection 등 여러 가지 기능이 추가된 보안장비다. 기존엔 여러대로 운영되었던 환경이 하나의 통합장비로 수많은 보안 위협들을 탐지하고 차단할 수 있다.

통합보안장비 하나만 장애나도 여러 보안 위협들이 내부로 인입되지 않을지 필자는 생각한다.


최근엔 여러 기능들이 추가되면서 UTM과 NGFW 단어의 경계가 사라지고 있다. 뿐만 아니라 클라우드나 머신러닝 등 신기술을 활용한 기능이 탑재된 장비들도 시장에 나오고 있으니 충분한 PoC와 BMT를 거쳐 도입하길 바란다.

keyword
bit 소속 금융보안담당자 프로필

<금융보안 프로세스 A to Z - 금융회사 보안 담당자가 알려주는 기초에서 실전까지> 저자

구독자 104