[테마특강] 파이어월(Firewall)이란

인터네트에 연결된 컴퓨터 사용자 수는 현재 전세계적으로 4천만명 이상이된다. 이처럼 많은 사람이 인터네트를 이용하게 되면서 정보 보안은 갈수록중요해지고 있다. 기업.관공서.연구소 등이 내부적으로 근거리통신망(LAN)을구축하거나 사설망을 운영할 때에는 정보의 보안에 대해 심각하게 고려하지않았다. 하지만 이제 기업간 또는 조직간 정보의 교류가 중요해지면서 외부에 공개할 자료와 보안할 자료를 구분할 필요성이 점점 증대되고 있다. 인터네트는 유닉스 호스트를 기반으로 TCP/IP라는 공개적인 프로토콜을 사용해컴퓨터간 네트워크로 정보를 교환할 수 있도록 한 것이다. 유닉스와 TCP/IP는 개방화 방향으로 기술이 발전하고 있다. 또 네트워크에 연결된 자원의활용을 극대화할 수 있도록 많은 유틸리티를 사용하고 있다. 따라서 유닉스와TCP/IP는 정보의 보안에 관해서 매우 취약하다.

기업이 해외지사 또는 본지점간 정보의 공유를 원활하게 유지하기 위해 전자메일을 도입하고 전체망을 인터네트에 연결했다면 전세계 인터네트 사용자들도 이 전산망에 쉽게 침투, 전자메일 정보는 물론 기업의 중요한 정보도쉽게 빼낼 수 있다.

파이어월(Firewall)은 내부의 전산망을 인터네트 등 외부망과 연결하거나기업내 사설망을 구축할 경우 외부 사용자로부터 또는 기업간 사설망의 전자도청으로부터 내부의 중요한 기밀과 정보를 보호하고 외부에 공개할 정보를취사 선택할 수 있는 네트워크 정책을 수립할 수 있도록 기업내 사설망에 구축하는 전자보안시스템이다.

유닉스. TCP/IP에서 보안의 취약성

인터네트에서는 정보보안이 취약하다. 인터네트에서 제공하는 서비스(FTP,Telnet, DNS, SMTP, NFS 등)가 근본적으로 갖고 있는 보안에 대한 취약성과잘못된 호스트구성, 접근통제(Access Control) 등에 기인한다.

인터네트에서 제공하는 서비스는 약 5백개에 달한다. 이들 각각은 외부에서침투할 경우 주요 공략 대상이 된다. 따라서 보안에 대한 시스템 관리자의역할은 매우 중요하며 정기적인 보안대책 수립 및 실행, 인터네트 서비스들의 로그화일 분석 등 보안상황에 대한 수시 점검이 필요하다. 인터네트에서발생한 보안 관련 사고는 대부분 유닉스 호스트의 사용자 인증처리 절차가너무 간단하고 미약한데서 비롯된다. 유닉스상에 패스워드는 패스워드 크래커 등 해독프로그램에 의해 쉽게 해독되기 때문에 해커들의 주요공략 대상이될 수 있다.

TCP/IP가 제공하는 서비스도 사용자 인증은 매우 취약하다고 할 수 있다.

예를 들어 NFS(Network File System)에서 인증은 사용자 인증이 아닌 IP주소를갖는 호스트 전체에 대한 인증이어서 특정 사용자 계정에 대한 인증은 불가능하다. Telnet, FTP, MAIL 등의 서비스 이용시 로그인을 하거나 또는 클라이언트와 데이터를 주고 받을 때 데이터는 암호화되어 있지 않아 스니퍼프로그램을 이용하거나 또는 인터네트 전용선을 태핑하든 어떤 경우에도 쉽게데이터를 해독해 호스트에 침입하거나 취득한 정보를 다른 어떤 용도로 사용할 수가 있다.

특히 X윈도시스템은 네트워크의 모니터및 해킹을 하기에 매우 적합한 도구가될 수 있다. 해커는 X윈도시스템을 이용해 원격지 호스트의 윈도를 열어패스워드를 비롯 기타 보안유지가 필요한 중요한 정보들의 키보드 입력을 바로모니터할 수가 있는 것이다.

LAN을 구축하거나 호스트간 네트워크로 연결한 경우에는 네트워크 자원의효율성을 높이기 위해 네트워크에 연결된 각 호스트들을 상호 신뢰하는 수준에서 서로 개방하게 된다. 이때 NFS나 NIS(Network Information System), 버클리 r-명령어들을 사용하게 된다. 이 경우 네트워크에 연결된 호스트중 한곳만 해커에 침입을 당해도 그 네트워크에 연결된 전 호스트가 보안에 문제가발생할 수 있다.

사실 인터네트에 연결됐다는 것은 내부의 네트워크가 전세계 인터네트 사용자의 공격 대상이 되었다는 것으로 보아도 무방하다. CERT/CC자료에 따르면미국에서는 지난 88년이후 인터네트 사용자가 증가하는 비율보다도 인터네트증가에 대해 보안 사고 비율이 급격히 증가하고 있다는 것이다. 인터네트사용자가 많아지고 인터네트에 접속된 호스트가 증가하면 할수록 인터네트관련 보안사고는 기하급수적으로 증가한다는 것이다. 특히 호스트 시스템이복잡하게 연결됐고 사이트의 명성이 높을 경우 해커들의 좋은 목표가 될 수있다는 점에서 보안에 대한 철저한 준비 및 통제, 대처 방안 등을 미리 수립하는 것이 매우 중요하다.

파이어월의 개념과 필요성

파이어월은 단순히 네트워크의 구성요소인 라우터, 호스트시스템, 또는 네트워크에 안전을 제공하는 시스템의 집합이라기 보다 네트워크 전체를 대상으로 안전에 접근하는 정책(policy)이라고 할 수 있다. 여기서 정책이라 함은인터네트에 연결할 때 제공하고자 하는 서비스의 종류, 네트워크 구성의정의, 네트워크에 접근하는 사용자의 분류, 안전의 측정방법등을 총괄적으로정의할 수 있다.

파이어월 시스템은 보안하고자하는 네트워크의 접근을 통제하자는 것이다.

즉 네트워크의 접근통제정책(파이어월)을 구현하는 것이다. 파이어월 시스템은 라우터, PC, 호스트및 기타 프로토콜, 서비스를 보호하는데 사용하는 네트워크 장비들이 될 수 있다. 그러나 통상적으로 파이어월은 네트워크 정책및 파이어월 시스템을 포함한 전체를 뜻한다.

파이어월이 없는 환경에서는 네트워크의 보안은 전적으로 호스트 시스템의보안에 의존하게 되며, 네트워크에 연결된 모든 호스트가 일정하게 역할을분담해야 한다. 그러나 네트워크가 커지면 커질수록 보안의 통제는 매우 어려워지며 잘못된 구성, 부적절한 패스워드 등이 원인이 되어 쉽게 네트워크보안이 허물어지게 된다.

따라서 파이어월의 접근방법은 네트워크 전체의 보안 수준을 높이며 해커의침입시 적절히 대처할 수 있는 능력을 배양시키는 것이다.

파이어월에서 제기되는 문제들

파이어월의 기능은 갈수록 발전하고 있다. 이들 기능은 Telnet, FTP, MAIL,NFS, X윈도 등의 서비스에 접근할 수 있는 길을 통제할 수 있다. 이러한통제는 사용자에게는 매우 불편함이 있다. 따라서 네트워크 보안 정책이 잘구성돼야 보안에도 지장이 없고 사용자의 요구사항을 만족시킬 수 있다.

파이어월이 설치된 시스템에 접근하기 위해서는 파이어월을 통과해야만 된다. 불법적인 침입은 통제가 가능하다. 그러나 만일 파이어월 내부로 직접연결하고자 할 경우 파이어월이 어떻게 통제하느냐 하는 문제가 지금도 큰이슈다.

예를 들어 파이어월로부터 보호되는 내부의 호스트가 외부로부터 모뎀접속을지원받고자 할 경우 SLIP(Serial Line IP), PPP(Point to Point Protocol)로접속을 시도할 것이며 이것은 근본적으로 파이어월 내부의 네트워크가 파이어월을 통과하지 않은 또다른 네트워크 연결을 허용하는 것을 의미한다.

이경우 파이어월이 어떤 형태로 지원해야 하는가가 문제다. 현재 일회용 패스워드 등 진보된 승인기능(Authentication)과 암호화 기법을 이용해 문제를해결하고 있으며 일부 파이어월이 이러한 방식을 지원하고 있다.

파이어월은 내부의 침입자가 서버의 데이터를 테이프로 백업받아 외부로유출하는 경우에 대한 보안을 지원할 수 없다. 외부 네트워크로부터 보안이필요한 자료의 유출을 막기 위해 설계된 것이기 때문이다. 파이어월은 바이러스에 약하다. 파이어월에서 현재까지 바이러스에 감염된 파일을 다운로드할 경우 또는 전자우편을 통해 감염될 경우 미리 점검할 수있는 방법이 없는것이다.

모든 네트워크의 연결은 파이어월을 통과해야 하므로 파이어월이 성능상병목현상을 초래할 수도 있다. 그만큼 큰 네트워크에서는 적당하게 그룹핑해파이어월에 접속하는 것이 바람직하다.

이밖에 클라이언트에서 데이터를 처리할 경우 즉 데이터패킷에 클라이언트가실행할 수 있는 명령이 있는 경우 실행 명령중에 보안관련 파일을 변경할수있는 명령이 있을 수도 있다. 이 경우 현재는 진보된 사용자인증 프록시(Pro.y) 기능으로 문제를 해결하고 있다.

파이어월 구축사례

파이어월의 구축 사례는 많다. 개념적 파이어월의 구축 형태는 △패킷 필터링 파이어월(Packet Filtering Firewall)△이중 홈 게이트웨이 파이어월(Dual-Homed Gateway Firewall)△차폐된 호스트 파이어월(Screend Host Firewall) 등 3가지로 구분할 수 있다.

패킷 필터링 파이어월은 라우터 단독으로 파이어월 기능을 하며 패킷 필터하는 기능을 라우터에 구축하는 것을 말한다. 이중 홈 게이트웨이 파이어월은게이트웨이를 하는 호스에 2개의 네트워크 인터페이스가 있으며 이들은 서로분리된 형태로 있어 IP주소의 서브네트로 라우팅을 할 수 없다. 차폐된 호스트 파이어월은 라우터와 밀접하게 연동되어 외부 인터네트에서 접근하는통로가 라우터에서 먼저 게이트웨이로 보내고 게이트웨이에서 IP패킷을 필터링하도록 되어 있다.

화이어얼 도입시 고려사항

파이어월을 도입하기 위해선 우선 네트워크 보안정책을 수립하는 것이 중요하다. 그리고 이 보안정책에 맞는 파이어월을 구매, 구축해야 한다. 상용화된 파이어월을 구매할 경우 고려사항을 제시하면 다음과 같다. 첫째 파이어월이 수립된 네트워크 보안정책에 대한 지원여부, 보안정책의 변경에 대한적용 유연성 여부, 필터링 기술 채택여부, 다이얼업 등의 지원여부, 새로운사용자 인증시스템 지원여부 등을 다각적으로 고려해야 한다.

둘째 파이어월이 FTP, Telnet, HTTP 등을 기본적으로 지원하는 프록시 서버가있고 사용자 인증시스템을 갖고 있는가(어플리케이션 게이트웨이 기능)하는여부와 함께 외부에 공개해야 할 서버와 내부에서만 사용하고 공개하지않은서버를 구분, 서로 분리할 수 있는 것이어야 한다. 셋째 규칙을 정의하는 언어가 사용자에게 쉬워야하며 GUI화면으로 지원된 것이어야 한다. 넷째파이어월의 일반 규정이 적용하지 않은 규칙은 거절해야 한다.

다섯째 파이어월이 네트워크에 있는 트래픽을 로깅해야하고 향후 네트워크보안 정책 수립에필요한 통계자료를 추출할 수 있어야 한다. 여섯째 파이어월이 보안된 오퍼레이팅 시스템으로 운영되고 있는가 여부와 TCP/IP상의 서비스들을 어느정도지원하고 있는가 여부를 따져야 한다. TCP, UDP, RCP를 기반으로 하는 응용시스템까지 지원할 수 있는가를 파악해야 한다. 마지막으로파이어월이 암호화된 기능을 지원하는가를 파악해야 한다.