<시리즈> 급부상하는 정보보안기술 (2);차단기술(방화벽)

방화벽은 전자상거래 구현에 필수적인 네트워크 자원 보호용 차단기술로 인터넷의 부상과 함께 각광받고 있는 소프트웨어분야다.

방화벽은 구현방법에 따라 패킷 필터링 방식과 애플리케이션 게이트웨이 방식으로 나뉘며 최근 들어서는 두가지 방식을 혼용한 하이브리드 방식 및 커널 프록시 방식 등이 새롭게 선보이고 있다. 하지만 하이브리드 및 커널 프록시 방식도 기본적으로 두가지 방식을 혼용하거나 네트워크 검색을 한 단계 낮은 수준에서 처리하기 때문에 두 방식과 커다란 차이는 없다고 볼 수 있다.

패킷 필터링 방식의 방화벽은 네트워크 접속을 시도하는 모든 경우에 표준 인터넷프로토콜인 IP주소와 포트 번호를 점검한 다음 필터 테이블로 불리는 규칙을 적용, 인가되지 않은 접근일 때 이를 원천 차단하는 기술이다.

이와 관련, 전체 7계층으로 구성된 TCP/IP 스택 가운데 네트워크 계층에서는 자료를 보내오는 소스 IP주소와 목적지 주소를 점검하며 이어 트랜스포트 계층은 포트 번호를 확인하고 다시 네트워크 관리자가 정한 필터 테이블의 규칙을 적용해 네트워크 접속 허용 여부를 판단하게 되는 것이다.

패킷 필터링 방식은 단순하면서도 침입을 받지 않는 네트워크 보안 형태로 처리속도가 빠르고 가격이 저렴하지만 사용자별 시간대별로 특정한 애플리케이션을 금지하거나 정교한 네트워크 통제 기능을 제공할 수 없으며 해커가 내부 네트워크 계층의 정보를 속여서(IP 스푸핑) 인가된 사용자처럼 접근해올 수도 있다. 현재 가장 많이 쓰이는 방식이기도 하다. 미국 체크포인트사의 「파이어월」이 이 방식을 채택한 대표적인 소프트웨어이며 국내에서는 싸이버텍홀딩스가 이 제품을 공급하고 있다.

애플리케이션 게이트웨이 방식의 방화벽은 네트워킹 중 컴퓨터의 중간에 자리잡고 프록시서버(대리자)와 같은 역할을 하면서 보호대상이 되는 네트워크를 외부로부터 차단해주는 기술이다.

패킷 필터링 방식이 내부와 외부 컴퓨터간 직접적인 통신을 허용하는데 반해 게이트웨이 방식은 안전한 중간자를 통해 양자가 정보를 주고받도록 하는 것이 특징이다. IP주소를 외부에 노출시키지 않기 때문에 보안기능을 높일 수 있다는 장점도 있다. 또한 내부 주소가 외부에 노출되지 않기 때문에 전산팀에서 원하는 숫자를 편리한 대로 사용할 수도 있다. 기업 입장에서는 방대한 양의 내부 등록 주소를 확보해 관리할 필요가 없어 시간과 돈을 절약할 수 있다.

애플리케이션 게이트웨이 방식의 방화벽은 웹(HTTP), 텔넷, FTP, 전자우편 등 원하는 애플리케이션만을 통과할 수 있게 트래픽을 통제할 수 있다. 한 걸음 더 나아가서는 특정 애플리케이션을 허용하거나 거부할 수 있다. 방화벽 차원에서 정교한 통제기능을 제공함으로써 애플리케이션 분배와 같은 특정기능만을 실행하도록 할 수 있다. 또 시간대별 사용자별로 특정 애플리케이션에 접근하는 것을 제한할 수도 있다.

일반적으로 애플리케이션 게이트웨이 방식의 방화벽은 허용된 애플리케이션마다 특별히 짠 프록시 프로그램을 요구한다. 예컨대 「리얼 오디오」 같은 애플리케이션의 경우 별도의 프록시가 없으면 방화벽을 통과할 수 없게 된다. 결과적으로 이 방식은 유연성이 떨어지고 사용이 불편한 단점이 있지만 보안성을 높여준다. 물론 일부 애플리케이션 수준의 방화벽 제품은 자체 게이트웨이를 내장해 별도 프로그램이 없는 애플리케이션을 통제하는 기능을 제공하기도 한다.

애플리케이션 게이트웨이 방식의 기술을 사용한 제품으로는 미국 TIS사의 「건틀릿」이 대표적이다. 국내에서는 ISS가 TIS와 전략 제휴, 방화벽 소스코드를 기반으로 그룹웨어 등 각종 애플리케이션 프록시를 추가한 한국형 방화벽 「TIS-K」를 내놓았다.

<함종렬 기자>