[테마특강] 방화벽시스템

全 文 錫

81년 숭실대 전산학과 졸업

86년 미국 메릴랜드대 전산학 석사

89년 미국 메릴랜드대 전산학 박사

89년 모르간 주립대 조교수

현재 숭실대 컴퓨터학부 부교수

연구분야:통신암호학, 병렬알고리듬, 컴퓨터통신(ATM/B-ISDN)

정보통신기술의 급속한 발전으로 네트워크를 이용해 다양한 자료를 공유할 수 있게 됐다. 또 인터넷 보급의 확대로 일반인들도 세계 각국에 흩어진 방대한 양의 자료를 쉽게 검색해 이용할 수 있게 됐다. 컴퓨터 네트워크망에 연결된 시스템이라면 이처럼 정보자료를 손쉽게 공유할 수 있는 만큼 해커들의 침입사례도 갈수록 증가하고 지능화하고 있는 실정이다.

컴퓨터 사용권한이 없는 사용자로부터의 외부침입을 막기 위해 설치하는 시스템이 방화벽(Firewall)이다. 방화벽은 내부 네트워크와 외부 네트워크 사이 설치돼 상호간 미치는 영향을 차단시키는 특별한 목적의 시스템을 의미한다. 외부 네트워크에서 내부 네트워크로 들어오는 패킷이나 내부 네트워크에서 외부 네트워크로 나가는 패킷을 검사해 의심되는 패킷은 통과할 수 없게 하는 것이다.

정보통신기술의 발전이 가속화하는 만큼 침입자를 방지할 수 있는 방화벽 보안기술이 필요해지고 있다. 국내 모든 중요 시스템에 침입-탐지 방화벽 시스템을 설치해야 하는 이유는 첫째 취약한 통신망으로부터 서브네트상의 호스트를 보호하고 네트워크 보안을 증가시킬 수 있기 때문이다. 둘째, 방화벽은 외부 네트워크로부터 특정 호스트로의 원하지 않는 접속을 효과적으로 차단함으로써 특정 호스트에 대한 접속을 제어할 수 있는 것이다. 셋째, 보안에 대한 관심을 집중시킬 수 있다. 추가되는 보안 소프트웨어를 많은 호스트에 분산시키지 않고 방화벽에만 설치함으로써 경제적 이점을 얻을 수 있다. 넷째, 방화벽은 설치환경에 따라 네트워크 보안정책을 설정할 수 있다. 제한된 네트워크로부터 어떠한 서비스를 허용하고 거부할 것인지 등을 정의하고 이러한 정의사항 이외의 예외사항도 설정, 외부로부터 침입을 방지할 수 있는 네트워크를 구성할 수 있는 것이다.

방화벽의 구성방식은 스크리닝 라우터(Screening Router), 배스천 호스트(Bastion Host), 듀얼 홈드 게이트웨이(Dual Homed Gateway), 스크린 호스트 게이트웨이(Screened Host Gateway), 스크린 서브넷 게이트웨이(Screened Subnet Gateway) 등 다섯가지 형태다. 스크리닝 라우터 방식은 가장 간단한 구성방식으로 정보제공자(IP) 필터링 기능이 추가된 라우터를 이용해 들어오거나 나가는 패킷에 대한 접근을 제어하는 방식을 말한다. 배스천 호스트 방식은 대부분 2개의 패킷 필터링 라우터 사이의 유닉스 시스템을 이용해 설치하는 방식을 의미한다. 내부망으로 침입할 수 있는 모든 정보들을 배스천 호스트를 통하게 함으로써 침입-탐지할 수 있으며 위험지역의 범위를 안정시키는 역할을 수행한다.

듀얼 홈드 게이트웨이는 스크리닝 내부 네트워크와 외부 네트워크 사이 시스템을 설치해 놓고 시스템의 TCP/IP 포워딩(forwarding) 기능을 막음으로써 구현되는 방화벽 방식을 말한다. 스크린 호스트 게이트웨이는 스크리닝 라우터와 배스천 호스트 시스템의 문제점을 해결하기 위해 두 개의 시스템을 결합한 형태이다. 배스천 호스트는 내부의 안전한 망에 위치하고 스크린 라우터와 배스천 호스트에만 외부망에서 접근 가능한 유일한 통로를 갖게 하는 방식이다. 스크린 서브넷 게이트웨이는 스크린 호스트 게이트웨이와 유사한 형태로 스크린 호스트 게이트웨이에서 배스천 호스트 대신 독립된 서브넷으로 방화벽을 구성한다. 국내 기업들이 방화벽을 설치하는 경우 스크린 호스트 게이트웨이 방식이나 스크린 서브넷 게이트웨이 방식으로 구성하는 것이 바람직하고 특히 외부와 독립된 서버를 통해 외부에서 침입-탐지할 수 있는 시스템이 되어야 할 것이다.

상용화된 방화벽 소프트웨어는 서킷-레벨 게이트웨이, 패킷 필터링, 애플리케이션 게이트웨이 방식 등 크게 세가지이다. 서킷-레벨 게이트웨이 방식이나 패킷 필터링 방식은 방화벽으로 동작하는 시스템에 내부 시스템이 외부망과의 접속을 의뢰하고, 방화벽 시스템은 요구에 따라 외부망과의 접속을 수행한다. 애플리케이션 게이트웨이 방식은 네트워크간 모든 통신이 단절되고 프록시(proxy)라고 부르는 애플리케이션 데이터 브리지를 통해 네트워크 서비스가 개별적으로 허용된다. 방화벽을 구입하는 경우 애플리케이션 게이트웨이 방식을 갖는 시스템이어야 침입-탐지하는데 더욱 효과적이다. 이 방식은 특히 내부에서 침입자가 활동하는 사항들을 모두 기록하고 추적, 방지할 수 있는 것으로 평가되고 있다.

방화벽을 설치할 때 몇가지 고려해야 할 사항이 있다. 설치환경과 그 환경에 맞는 방화벽을 설치해야 네트워크 보안을 증가시킬 수 있기 때문이다. 우선 방화벽 시스템을 어떻게 운영할 것인지 운영정책을 설정해야 한다. 운영정책은 설치하는 기관의 네트워크에서 보안을 요구하는 범위나 보안의 레벨을 명시하게 된다. 즉 보안대상의 선정과 기준이 필요한 것이다. 둘째, 방화벽을 설치해야 하는 기관의 네트워크 환경을 방화벽에서 제공하고 있는가를 고려해야 한다. 제공하지 않는 경우에는 방화벽을 설치하기 위해 기관 전체의 네트워크 환경을 변경해야 하기 때문에 업무의 공백이 발생할 수 있다. 셋째, 방화벽을 제공하는 업체의 사후 기술지원을 고려해야 한다. 방화벽은 설치만 했다고 해서 완벽한 네트워크 보안이 이루어지는 것은 아니다. 방화벽을 얼마나 잘 운영하느냐에 따라 완벽한 네트워크 보안이 이루어질 수 있기 때문이다. 넷째, 방화벽을 설치해 운영하는 경우 전체 네트워크나 시스템 성능에 어떠한 영향이 미칠 것인지를 고려해야 한다.

국내외적으로 방화벽을 「컴퓨터 네트워크 보안의 최상책」으로 생각하고 개발했다. 그러나 최근 방화벽이 보안의 최선책이라기보다 최소한의 대책이라는 말이 나올 정도로 해킹이 많이 발생하고 있다. 더욱이 방화벽은 내부 컴퓨터 자원을 외부의 침입으로부터 보호할 목적으로 설계됐기 때문에 내부에서 접속 권한이 있는 사용자에 의한 침입에 대해서는 속수무책인 경우가 많다. 이를 위해 나온 것이 미국 ISS사가 개발한 방화벽 시스템이다. 이 시스템은 감시 시스템의 성격을 가지면서 항상 주기적으로 특정 사이트의 컴퓨터나 네트워크를 감시하여 이상 발생시 그 사이트의 관리자에게 경고 메시지를 전송하고 직접 대책을 세워 처리한다. 국산 방화벽은 대부분 미국 TIS사가 선보인 FWTK(Firewall Toolkit)를 기반으로 개발됐기 때문에 순수 국산기술로 개발됐다고 볼 수 없다. 특히 FWTK는 소스 코드까지 공개되어 있기 때문에 완벽한 보안을 보장할 수 없다.

방화벽 시스템이 내부 사용자에 대한 사용을 감시하기 위해서는 침입-탐지 기법이 필요하게 된다. 침입-탐지 기법은 네트워크 사용권한이 있는 정상적인 사용자라 할지라도 특정 서비스의 사용량이 평소와 다르게 많이 증가하거나 관리자의 서비스 및 영역을 침입하는 경우 이를 탐지한다. 탐지한 결과를 관리자에게 경고 메시지로 보내거나 예상 가능한 처리대책을 제시해 전문적인 지식이 없는 네트워크 관리자도 쉽게 침입사건에 대처할 수 있도록 한다. 침입-탐지 기법은 외부 네트워크상에서 특정 호스트로의 침입을 탐지하는 네트워크 레벨의 침입 탐지와 한 호스트내에서 정당한 사용자의 비정상적인 행위를 탐지하는 호스트 레벨의 침입 탐지 등 두가지로 나눌 수 있다.

외국에서 수입된 모든 정보통신 시스템의 개발자는 그 시스템의 약점과 백도어(backdoor)를 만들 수 있기 때문에 언제든지 마음만 먹으면 국내 금융기관, 정부기관, 연구소의 시스템을 통신 네트워크를 통해 침투할 수 있다는 문제점을 갖고 있다. 이라크내 모든 정보통신 관련 시스템은 미국에서 수출한 것으로 미-이라크전쟁 발발전 미국이 유능한 해커와 정보 침입자를 통해 이라크가 이 시스템을 이용할 수 없게 만든 후 전쟁을 수행, 승리할 수 있었다는 것이 그 대표적인 예다. 이런 점을 감안할 때 국내 정보보호의 중요성이 얼마나 중요한가를 일깨워 준다. 특히 국내 금융기관이나 기업체 등 민감한 자료를 취급하는 모든 기관에서는 방화벽을 설치하는 경우 정보보호를 위해 국내에서 개발된 소스로 만든 방화벽을 설치해야만 한다.

문민정부 출범 후 그간 규제됐던 정보보호 연구가 일부 해제됨으로써 국내에서도 다양한 방화벽 기술을 이용하여 암호화시스템, 전자지불시스템, 전자상거래와 같은 응용분야에 적용할 수 있는 순수 국산기술이 개발되고 있다. 현재 통신보안 분야의 핵심기술은 외국에서도 얻을 수 없는 수입금지 품목으로 국내기술에 의존해야 하는 중요한 분야이다. 미래 국내기술을 보호하고 핵심기술을 개발하기 위해서는 공공기관이나 금융기관에서는 국내 인증기관에서 검증된 정보보호 제품들을 사용하는 등 전략적으로 국내기술을 발전시켜야 할 것이다. 정보보호 분야는 응용이 무궁무진해 발전 가능성이 높아 벤처 창업을 꿈꾸고 있는 젊은 기업인들에게 가장 권하고 싶은 분야다.

숭실대가 개발한 침입-탐지 보안 방화벽 시스템 매직캐슬(Magic Castle)은 외국제품들이 갖고 있는 백도어 문제를 해결할 수 있는 순수 국산기술로 개발한 방화벽 시스템이다. 애플리케이션 게이트웨이 방식을 이용해 개발된 이 시스템은 외산 방화벽과 동일한 기능을 지니고 있을 뿐 아니라 호스트 레벨과 네트워크 레벨의 침입-탐지 기능을 제공하여 실시간으로 외부, 내부의 침입자를 탐지할 수 있는 침입-탐지 보안 방화벽 시스템이다.

순수 국산 방화벽 기술의 개발은 전산망 보안기술의 핵심 기반기술로 활용될 수 있다. 특히 인증이나 암호화 등 다양한 보안기술의 집합체로서 보안기술 분야의 국가 경쟁력도 확보할 수 있게 되며 국내에 파급되는 보안 시스템 개발 분야는 무궁무진하다고 생각된다.