IT보안. 방화벽, 구글에도 안 나오는 실무 이야기.

- Deny All 정책, 입사하면 제일 먼저 마주치는 그것 -

by 리오
Jun 2. 2023

방화벽(Firewall). IT를 잘 모르는 일반인들도 TV나 영화에서 한 번씩은 들어봤음직한, 아주 대중적인(?) 보안장비이다. 그리고 소방시설에서 유래된 '불의 번짐을 막는 벽'이라는 원래 뜻 보다 거기서 파생된 보안장비 '방화벽'이라는 개념이 더 친숙한 유일한 보안장비 이기도 하다.

('그 정도까지는 아니지 않나요?'라고 반문하면 굳이 반박하지는 않겠다)


실제 필드에서도 가장 기본적인 네트워크 보안장비군에 속하며, IT보안이 발전함에 따라 개인 OS방화벽이나 WAF(Web Application Firewall), IPS(Intrusion Prevention System) 등 파생/하위 개념도 많이 생겼지만, 본 글에서는 전통적인 1세대 방화벽에 대해서만 이야기하도록 한다.



회사에서의 방화벽의 주 운영 목적은 Inbound/Outbound
트래픽 제어(차단)이다.


즉 회사를 하나의 망으로 산정한 후 해당 망(회사)에 대해 『외부망의 침입 혹은 내부로부터의 정보 유출』등을 막는 장비이다. 전통적인 1세대 기업용의 방화벽의 특징은 아래와 같다.

1. Deny All 정책 적용

① 일반적으로 방화벽은 기본 정책이 모든 트래픽 차단이다. (좀 있어 보이는 말로 Whitelist 기반 정책)

② 모든 트래픽을 차단 후에 신뢰성 있는 트래픽만 허용으로 변경(추가) 한다.

③ 1-①의 모든 트래픽 차단 정책은 1-②와 같은 허용 정책이 모두 적용된 후 마지막에 적용된다. 즉 허용 정책을 다 반영하고 허용 정책이 없는 트래픽은 모두 차단이다.


2. 관리자(사용자 정의) 정책 적용

① 일반적으로 방화벽 정책은 관리자가 수동으로 적용한다.

② 1-②와 같이 『A라는 임직원이 외부 네트워크망 접속이 필요할 때』 신뢰성이 있는지 판단 후 허용 정책 적용 여부를 결정한다.

ex) A가 회사 바깥에 인터넷 사이트 www.bbb.com에 접속이 업무적으로 필요할 경우 최초에는 방화벽 기본 정책 (Deny All)에 의해 접속이 불가하다. 이럴 경우 관리자 혹은 보안 담당자는 A가 bbb.com에 접속이 업무적으로 필요한 지 최종 확인 후에 A -> bbb.com 허용 정책을 추가한다.

③ 유틸리티 성격으로 관리자가 방화벽 정책을 쉽게 추가할 수 있게 도와주는 장비 또한 많이 존재한다.


3. 독립적인 네트워크 망 간(間) Inbound/Outbound 제어(차단)

① 간혹 방화벽 장비가 외부로부터의 침입, 즉 Inbound만 제어한다고 오해하는 사람들이 많은데 방화벽 장비는 안에서 바깥으로 나가는 Outbound도 제어하는 장비이다.

② Outbound로의 제어가 중요한 점은 임직원들의 (고의성은 차치하고라도) 내부 정보 유출을 막고 외부 C&C 서버로의 접근을 막기 위함이다.


4. IP/Port 기반 정책 적용

① 1세대 방화벽의 경우 많은 분들이 공부했을 OSI 7 계층 중 3/4 계층에 해당하는 IP/Port+TCP/UDP 기반으로 패킷을 제어한다.

요약하면 방화벽은 '사용자(관리자) 정의 정책 기반으로 최초 모든 트래픽을 차단 후에 순차적으로 패킷만 보고 오픈 정책을 추가' 하기 때문에 어찌 보면 매우 단순하지만 또한 매우 효율적인 방식의 보안장비이다.


물론 최근에는 1세대 방화벽에서 기능이 추가 및 파생되어 웹 애플리케이션에 특화된 WAF 라던지, Whitelist 방식이 아닌 장비 제조사에서 차단 정책을 자동으로 업데이트하여 Blacklist 방식으로 운영하는 방화벽 등 다양한 방화벽 컨셉의 보안장비가 존재하고 컨셉을 넘어 새로운 보안 카테고리 장비로 불리는 경우도 많지만 현재 사용되고 있는 많은 보안장비의 기본원리가 방화벽에서 시작 됐음은 알고 있어야 한다.


단, 흔히 인터넷에 방화벽을 써치 해 보면 1세대, 2세대.. n세대 분류를 해서 쓴 글들이 많은데 방화벽의 경우 1세대와 n세대의 차이는 트래픽 제어방식의 차이 일 뿐, 성능의 차이는 아님을 명심해야 한다.


아마 이 글을 보는 여러분이 자체적으로 방화벽을 운영하는 (=어느 정도 규모가 되는) 회사에 입사해서 가장 처음 보안 업무를 맡는다면, 방화벽 정책 적용 업무일 가능성이 높을 듯 하니 위 4가지는 꼭 이해했으면 한다. (왜냐하면 임직원 신청 방화벽 정책 확인 하고 적용하는 업무가 반복, 단순 업무에 굉장히 귀찮기 때문이다. 그렇지만 소홀하게 할 수는 없는 중요한 업무임은 분명하다.)



사족. 아래는 Firewall Market Share 도표이다. 나중에 이야기할 기회가 생기겠지만, 이쪽 분야에 관심이 있는 사람이라면 최신 보안 시장을 선도하는 각 카테고리 별 벤더사 점유율도 관심을 가져야 한다. 또한 몇 개 특정 카테고리를 제외한 대부분의 메이저 보안장비는 국산제품보다는 외산제품이 점유율 상위권을 차지한다.

출처 : https://www.trustradius.com
keyword