방화벽 보안이란? 인프라를 보호하는 방법

방화벽은 원치 않는 트래픽으로부터 네트워크를 보호하는 네트워크 보안 솔루션입니다. 방화벽은 사전 프로그래밍된 일련의 규칙에 따라 멀웨어 등과 같은 유입되는 위협을 차단합니다. 최신 방화벽에는 침입 방지 시스템(IPS) 및 URL 필터링과 같은 추가 기능도 포함되어 있으므로 보안팀은 네트워크 내의 사용자가 특정 웹사이트 및 애플리케이션에 액세스하지 못하도록 하는 규칙을 강화할 수 있습니다.

NGFW와 WAF의 주요 차이점은 NGFW의 경우 주로 아웃바운드 트래픽과 그에 따른 반환 흐름을 모니터링하여 위험이 기업 내부로 다시 유입되는 것을 방지한다는 것입니다. 반면에 WAF는 유입되는 위협으로부터 웹 앱을 보호합니다.

방화벽은 인터넷을 통해 연결된 외부 소스처럼 보안이 취약한 환경의 네트워크 트래픽을 보다 안전한 환경으로 이동하기 전에 인증하고 검사해야 한다는 단순한 아이디어를 기반으로 합니다. 방화벽은 권한이 없는 사용자, 디바이스, 애플리케이션이 보호된 네트워크 환경이나 세그먼트에 진입하는 것을 방지합니다. 방화벽이 없으면 네트워크상의 컴퓨터 및 디바이스가 해커의 공격에 취약해져 쉬운 공격 대상이 될 수 있습니다. 하지만 클라우드 및 SaaS 기반 앱이 널리 채택되면서 네트워크 경계가 크게 무너졌습니다.

대부분의 조직은 방화벽 배포와 함께 추가 보안 솔루션을 사용하여 복잡하고 끊임없이 변화하는 오늘날의 사이버 위협 환경에서 보호를 보장할 수 있습니다. 그러나 방화벽은 여전히 적절한 사이버 보안 시스템을 구축하기 위한 기본 구성 요소로 간주됩니다.

방화벽은 사이버 공격에 대한 1차 방어선의 일부로서 나가는 트래픽, 애플리케이션 레이어 트래픽, 온라인 트랜잭션, 통신 및 연결(예: IPSec 또는 SSL VPN), 동적 워크플로를 포함한 모든 트래픽에 대한 필수 모니터링 및 필터링을 제공합니다. 기본 기능으로는 사이버 공격을 최대한 방어하지 못할 수 있으므로 적절한 방화벽 구성 역시 필수입니다. NGFW와 같은 최신 방화벽은 이러한 기능을 번들로 제공할 수 있습니다.

오늘날의 디지털 환경은 사물 인터넷(IoT) 및 최종 사용자 디바이스의 증가를 포함하여 많은 디바이스, 사용자, 애플리케이션이 네트워크 경계를 넘나들고 있기 때문에 점점 더 복잡해지고 있습니다. 또한 IT 및 보안팀의 전반적인 중앙 집중식 제어가 줄어들고 있습니다.

이 모든 것이 기업을 사이버 공격에 더 취약하게 만들 수 있습니다. 따라서 방화벽의 작동 방식, 사용 가능한 유형, 네트워크의 다양한 영역을 보호하는 데 가장 적합한 방화벽에 대해 이해하는 것은 필수적입니다.

각 방화벽 유형에는 장단점이 있으며, 조직에서는 이러한 유형을 조합하여 계층화된 네트워크 수준 방어 전략을 수립하는 경우가 많습니다. 점진적으로 고급 보호 수준을 제공하는 5가지 주요 방화벽 유형은 다음과 같습니다.

1. 패킷 필터링 방화벽: 이 방화벽은 네트워크를 통과하는 데이터의 "패킷"을 검사합니다. 소스 및 대상 IP 주소, 포트, 프로토콜 등의 패킷 헤더 정보를 분석하며, 미리 정의된 규칙에 따라 패킷을 허용하거나 차단할 수 있습니다. 패킷 필터링 방화벽은 비교적 간단하고 효율적이지만 패킷의 내용을 검사하는 기능이 부족합니다.
   
2. 상태 검사 방화벽: 패킷 필터링 접근 방식과 추가 기능을 결합합니다. 네트워크 연결 상태에 대한 레코드를 유지 관리하고 이 정보를 사용하여 패킷 허용 또는 차단에 대한 보다 정확한 결정을 내립니다. 연결 상태를 추적하므로 IP 스푸핑을 비롯한 특정 유형의 공격을 식별하고 방어할 수 있습니다.
3. 애플리케이션 수준 게이트웨이(프록시 방화벽): 프록시 방화벽이라고도 하는 애플리케이션 수준 게이트웨이는 네트워크 스택의 애플리케이션 레이어에서 작동합니다. 또한 클라이언트와 서버 사이의 중개자 역할을 하여 애플리케이션 수준에서 트래픽을 검사하고 필터링합니다. 패킷의 내용을 분석하여 특정 유형의 위협을 보다 효과적으로 탐지하고 차단할 수 있습니다. 그러나 프록시 기능으로 인해 지연 시간이 발생할 수 있다는 것을 조직에서 알게 되기도 합니다.
4. 차세대 방화벽(NGFW): 이 솔루션은 네트워크 방화벽, IPS, URL 필터링/Secure Web Gateway, 멀웨어 방지, VPN 연결 등의 기능을 번들로 제공하며 기업 방어의 기본 도구 역할을 합니다.
5. 웹 애플리케이션 방화벽(WAF): WAF는 조직에 치명적인 영향을 미칠 수 있는 중대한 취약점을 완화하는 중요한 임시방편 역할을 합니다. 최신 WAF는 서명, Threat Intelligence, 행동 분석을 조합하여 사용하며 애플리케이션 서비스 거부(L7 DoS), 개인 식별 정보(PII) 같은 민감한 데이터의 노출 등을 포함한 다양한 위협으로부터 방어할 수 있습니다.

방화벽은 여전히 사이버 위협에 대한 적절하고 신뢰할 수 있는 방어 수단입니다. 방화벽이 네트워크에 대한 무단 액세스를 방지하는 데 어떻게 도움이 되는지 알아보십시오.

인터넷 검색 중 알 수 없는 링크 또는 팝업 광고를 클릭하는 것의 위험성에 대해 누구나 알고 있지만, 그것만으로는 디바이스와 네트워크를 안전하게 보호할 수 없습니다. 그렇기 때문에 방화벽은 네트워크와 데이터를 보호하는 1차 방어선입니다.

방화벽은 잠재적인 해커가 민감한 데이터에 액세스하지 못하도록 필터링하고 차단하는 역할을 합니다. 다양한 전략을 사용하여 정보를 안전하게 보호하는 여러 유형의 방화벽이 있습니다. 방화벽은 모든 종류의 보안 문제를 일으킬 수 있는 악성 소프트웨어로부터도 컴퓨터를 보호합니다.

방화벽은 네트워크와 시스템에 대한 다양한 잠재적 위협을 방어하기 위해 설정됩니다. 다음은 방화벽이 차단하도록 설계된 주요 위협입니다.

• 무단 액세스: 방화벽은 백도어, 서비스 거부(DoS) 공격, 원격 로그인, 피싱 이메일, 소셜 엔지니어링, 스팸 등 다양한 도구를 사용하여 침입하는 해커의 무단 액세스로부터 네트워크를 보호합니다.
• 사이버 위협: 방화벽은 게이트키퍼 역할을 하며 바이러스와 같은 외부 위협을 완화하도록 설계되었습니다^. 네트워크 트래픽의 모든 데이터 패킷을 검사하고 인증한 후 보다 안전한 환경으로 이동할 수 있습니다.

애플리케이션 레이어에서 트래픽 필터링은 기존 패킷 필터링에 비해 보다 세분화된 수준에서 네트워크에 들어오고 나가는 것을 제어할 수 있는 보안 조치입니다. 패킷 필터링은 IP 주소와 포트 번호를 기반으로 특정 유형의 트래픽을 차단하거나 허용하는 데 사용할 수 있지만, 그 이상으로 데이터의 실제 내용을 검사하는 데 사용할 수 있습니다.

ALF를 사용하면 SMTP, POP3, DNS, HTTP와 같은 애플리케이션 레이어 프로토콜을 기반으로 트래픽을 필터링할 수 있습니다. 이를 통해 버퍼 오버플로, 웹 서버 공격, SSL 터널 내에 숨겨진 공격 코드 등과 같이 이러한 프로토콜의 취약점을 이용한 공격을 차단할 수 있습니다.

또한 애플리케이션 레이어에서 트래픽 필터링을 사용하면 다음이 가능합니다.

• 애플리케이션 레이어 공격 방지: ALF는 데이터 패킷의 내용을 분석하여 규정을 준수하지 않거나 애플리케이션 레이어 프로토콜의 취약점을 악용하는 악성 트래픽을 탐지하고 차단할 수 있습니다.
• 데이터 유출 방지: ALF는 데이터 패킷의 내용을 검사하여 민감한 정보가 네트워크에서 유출되는 것을 탐지하고 차단할 수 있습니다.
• 특정 애플리케이션에 대한 액세스 제어: ALF를 사용하면 사용되는 특정 애플리케이션 또는 프로토콜에 따라 트래픽을 선택적으로 허용하거나 거부할 수 있습니다.
• 보안 정책 시행: ALF를 사용하면 애플리케이션 레이어에서 보안 정책을 정의하고 시행하여 승인된 트래픽만 허용되도록 할 수 있습니다.

방화벽은 다양한 사이버 위협을 방지하는 주요 무기입니다.

방화벽은 과도한 트래픽을 식별하고 필터링하여 DDoS 공격을 완화하는 데 도움을 줍니다. 방화벽은 스로틀링, 로드 밸런싱, IP 주소 거부 목록 작성 등의 기술을 사용하여 DDoS 공격에 대응할 수 있지만 정상 트래픽과 악성 트래픽을 효과적으로 구분하지 못할 수 있습니다. 또한 방화벽의 상태 기반 특성 및 상태 기반 패킷 검사(SPI)에 대한 의존성으로 인해 상태 고갈 공격에 취약할 수 있습니다.

효과적으로 방어하려면 상태 비저장 또는 반-상태 비저장 방식으로 작동하거나 강력한 연결 관리 및 리핑(reaping) 기능을 갖춘 지능형 DDoS 완화 솔루션을 구현하는 것이 좋습니다. 이러한 솔루션은 대개 상태 비저장 패킷 처리 기술을 사용하며 OSI 모델의 레이어 3, 4, 7에서 트래픽 스크러빙과 같은 기능을 통합합니다. 이러한 솔루션은 IP 주소의 모든 트래픽을 차단하지 않고 들어오는 각 패킷을 개별적으로 처리함으로써 효과적으로 DDoS 공격을 완화할 수 있습니다. 대부분의 경우 클라우드 스크러빙은 볼륨 DDoS 공격 중에 유입 대역폭이 소진되지 않도록 하기 위해 필요합니다.

방화벽은 미리 정해진 보안 규칙에 따라 들어오는 트래픽을 필터링하여 멀웨어 및 바이러스에 감염된 데이터가 네트워크에 침투하는 것을 차단함으로써 일정 수준의 보호 기능을 제공할 수 있습니다. 알려진 악성 IP 주소를 차단하고 특정 포트에 대한 액세스를 제한하며 네트워크 패킷에서 의심스러운 콘텐츠를 검사할 수 있습니다. 그러나 방화벽만으로는 멀웨어 및 바이러스에 대한 포괄적인 보호 기능을 제공하기에 충분하지 않습니다.

멀웨어 및 바이러스 위협에 효과적으로 대응하기 위해 조직은 일반적으로 다음과 같은 보안 조치를 조합하여 사용합니다.

• 바이러스 백신 소프트웨어: 바이러스 백신 소프트웨어는 파일과 프로그램에서 알려진 멀웨어 서명과 동작 패턴을 검사하여 감염된 시스템에서 악성코드를 탐지하고 제거하는 데 도움을 줍니다.
• 침입 탐지/방지 시스템(IDS/IPS): IDS/IPS 솔루션은 네트워크 트래픽에서 악성 활동의 징후를 모니터링하고 의심스러운 동작을 차단하거나 경고할 수 있습니다.
• 이메일 필터링: 이메일 필터링 솔루션은 이메일 첨부 파일 또는 링크를 통해 멀웨어와 바이러스가 전달되는 것을 방지하는 데 도움이 될 수 있습니다.
• 사용자 교육 및 인식: 사용자에게 안전한 탐색 습관, 의심스러운 다운로드 방지, 피싱 시도 인식에 대해 교육하면 멀웨어 감염 위험을 크게 줄일 수 있습니다.

최신 NGFW는 네트워크, 클라우드, 엔드포인트 및 이메일 위협 벡터 전반에 걸쳐 통합 방어 기능을 제공할 수 있는 보안 아키텍처로 확장되었습니다.

또한 최신 WAF는 애플리케이션 보안, API 보호, 봇 관리, DDoS 완화 기능을 통합한 Web App and API Protection(WAAP) 플랫폼으로 발전했습니다.

이러한 보안 조치와 방화벽을 결합하여 조직은 새로운 위협에 대해 더욱 강력한 방어 체계를 구축할 수 있습니다.

복잡한 네트워크는 일반적으로 대규모 네트워크의 작은 물리적 또는 논리적 구성 요소인 네트워크 세그먼트로 간주됩니다. 이를 통해 보안팀은 위협이 발생할 경우 네트워크 섹션을 신속하게 차단할 수 있으며, 불규칙하게 확대되는 엔터프라이즈 네트워크 아키텍처의 관리를 간소화할 수 있습니다.

세그먼트 간 통신의 경우 트래픽이 라우터 또는 방화벽을 통과하여 다른 네트워크 세그먼트로 전달되기 전에 트래픽을 검사할 수 있습니다. 이 전략은 시스템 전체에 보안 이중화를 추가하고 전반적인 네트워크 보안을 강화합니다.

네트워크 유입 및 유출 지점에 방화벽을 배치하면 트래픽 흐름을 모니터링하고 제어하여 보안에 도움이 됩니다. 내부 네트워크는 기밀 데이터를 처리하지만 이러한 네트워크 간의 연결은 내부와 외부 트래픽 간의 네트워크 연결보다 더 관대할 수 있습니다. 하지만 여전히 민감한 데이터가 사용자 간에 자주 전송되어야 하므로 고려해야 할 고유한 네트워크 위협이 있습니다. 보안팀은 각 네트워크 세그먼트에서 다양한 수준의 보안 보호 조치로 다양한 경계를 설정할 수 있습니다.

방화벽은 물리적 방화벽과 소프트웨어 방화벽 모두 방화벽 제공업체, IT 서비스 또는 방화벽과 연동되는 기타 소프트웨어에서 생성 및 활성화되는 규칙을 사용하여 들어오고 나가는 데이터를 분석합니다. 방화벽은 이 데이터를 필터링하여 트래픽이 정상인지, 최종 목적지까지 이동을 허용해야 하는지 여부를 결정할 수 있습니다.

액세스 제어 목록(ACL)은 방화벽에서 허용 또는 거부하는 트래픽을 정의하는 권한으로 이루어진 순서 지정된 목록입니다. 방화벽은 ACL을 사용하여 소스, 대상, 포트 및 기타 기준에 따라 트래픽을 필터링합니다. ACL은 인바운드 또는 아웃바운드 방향으로 방화벽 인터페이스에 적용됩니다. 방화벽은 네트워크의 일부를 통과하여 전달되는 트래픽을 검사하여 ACL을 기반으로 결정을 내립니다. NGFW 및 WAF는 애플리케이션 인식형으로, DNS, URL 쿼리 및 웹 콘텐츠를 포함한 트래픽 흐름의 다른 측면을 검사할 수 있습니다.

VPN 연결에 의존하는 기업은 방화벽을 사용하여 연결을 보호합니다. 방화벽은 네트워크 트래픽의 필터 역할을 하여 의심스러운 소스에서 들어오는 트래픽을 수신할 때 모드 인스턴스를 차단함으로써 VPN을 용이하게 활용할 수 있도록 합니다. 방화벽은 디바이스와 네트워크에서 이동하는 데이터를 위협으로부터 보호합니다. 방화벽이 VPN 서버의 뒤쪽에 설치되면 VPN 전용 패킷만 통과하도록 필터를 사용하여 구성됩니다. 마찬가지로 방화벽이 VPN의 전면에 설치되면 인터넷 인터페이스의 터널 데이터만 서버로 전달되도록 방화벽이 구성됩니다.

TLS는 인터넷을 통한 통신에서 개인 정보 보호 및 데이터 보안을 용이하게 하기 위해 널리 사용되는 보안 프로토콜입니다. 방화벽은 TLS로 암호화된 트래픽을 포함하여 애플리케이션 레이어에서 네트워크 트래픽을 검사하고 필터링하도록 구성할 수 있습니다. TLS로 암호화된 트래픽을 해독하고 검사함으로써 방화벽은 데이터 패킷의 내용을 분석하고 보안 정책을 적용하여 위협과 취약점으로부터 보호할 수 있습니다.

일부 방화벽은 TLS로 암호화된 트래픽을 해독하여 잠재적인 위협이나 정책 위반 여부를 검사한 다음, 대상에 전달하기 전에 다시 암호화하는 TLS 검사를 지원합니다. 이를 통해 방화벽은 암호화된 트래픽을 분석하고 암호 해독된 콘텐츠를 기반으로 악성 트래픽 또는 무단 트래픽 차단 등과 같은 보안 조치를 적용할 수 있습니다. 암호화된 통신의 개인정보 보호 및 무결성을 보장하려면 TLS 검사를 신중하게 구현해야 합니다.

오늘날의 비즈니스 환경에서 인터넷을 통한 비즈니스 수행은 선택 사항이 아닙니다. 고객과 직원이 어디에 있든 연결하고 요청에 거의 실시간으로 응답하려면 인터넷 프레즌스가 넓고 안정적이며 안전해야 합니다. 기업이 인터넷으로 데이터를 주고받는 경우, 네트워크 보안 프로토콜의 일부로 방화벽을 구축해야 합니다.

인터넷 연결을 위한 방화벽은 내부 네트워크를 위한 방화벽과 거의 동일한 방식으로 작동합니다. 데이터가 인터넷에서 회사 네트워크로 들어오려고 하면 방화벽이 1차 평가를 합니다. 방화벽이 데이터가 안전하다고 판단하면 기업 네트워크로 들어갈 수 있지만, 그렇지 않으면 차단됩니다.

외부 연결(인터넷)로부터 내부 네트워크를 보호하는 방화벽애 강력한 제어 장치를 배치하는 것은 매우 중요합니다. 외부 소스에서 악의적인 공격이 발생할 수 있을 뿐만 아니라 데이터 유출도 심각한 문제입니다. 방화벽은 원치 않는 콘텐츠나 권한 없는 사용자가 네트워크 또는 애플리케이션에 액세스하는 것을 방지할 수 있습니다. 또한 프로토콜 설정 및 IP 주소를 기반으로 보안을 보장할 수 있습니다. 방화벽은 여러 측면에서 데이터와 운영을 보호하도록 설계됩니다. 그러나 API 기반 시스템으로 진화하면서 최신 애플리케이션이 복잡해지고 취약점, 오용, 잘못된 구성 및 액세스 제어 우회로 인한 위험 표면이 확대되면서 WAF 및 WAAP 플랫폼에서 보다 전문적인 방어 기능을 필요로 하고 있습니다.

보다 세분화된 수준에서 방화벽은 컴퓨터 또는 네트워크와 인터넷 사이의 게이트키퍼 역할을 하며 도움을 줄 수 있습니다. 또한 방화벽을 통과할 수 있는 트래픽 유형을 결정하기 위해 미리 정의된 분류 및 기타 사양을 사용하여 웹 트래픽을 차단하도록 구성할 수도 있습니다. 예를 들어 콘텐츠 필터링은 "게임" 또는 "소셜 네트워킹"으로 분류된 모든 웹사이트를 차단하도록 설정할 수 있습니다.

URL 필터링은 회사 네트워크에서 특정 URL이 로드되는 것을 차단하는 방법입니다. 방화벽은 특정 URL을 직접 입력하거나 차단할 URL 카테고리를 선택하여 해당 URL을 차단하도록 구성할 수 있습니다. 직원이 차단된 URL을 방문하려고 시도하면 이 콘텐츠가 차단되었음을 알리는 페이지로 리디렉션됩니다.

이렇게 함으로써 이러한 방화벽은 사용자에게 필요한 모든 것에 액세스하고 필요하지 않은 것은 차단하여 일관되고 신뢰할 수 있는 사용자 경험을 제공합니다.

인터넷상의 표준이 끊임없는 변경되면서 인터넷을 대상으로 한 방화벽은 그 유효성에 영향을 미칠 수 있는 다양한 문제에 직면할 수 있습니다. 다음은 몇 가지 일반적인 문제입니다.

• 소프트웨어 취약점: 다른 소프트웨어와 마찬가지로 방화벽에도 공격자가 악용할 수 있는 취약점이 있을 수 있습니다. 펌웨어 취약점 역시 위험을 초래하며 보안 침해로 이어질 수 있습니다. 알려진 취약점을 해결하고 네트워크를 보호하려면 방화벽의 소프트웨어와 펌웨어를 정기적으로 업데이트해야 합니다.
  
• 잘못된 구성: 방화벽 침해의 주요 원인으로, 사용자 오류 또는 불충분한 조사로 인해 방화벽 설정이 부정확할 때 발생합니다. 잘못된 구성은 조직을 무단 액세스, 데이터 침해 및 예기치 않은 중단에 취약하게 만들 수 있습니다.
• 독점적 Threat Intelligence에 의존: 일부 방화벽은 독점적이고 폐쇄적인 Threat Intelligence에 의존하여 위협을 탐지하고 차단하기 때문에 끊임없이 변화하는 위협 환경에 따라 진화하는 데 한계가 있습니다. 네트워크를 효과적으로 보호하려면 방화벽이 최신 Threat Intelligence에 액세스할 수 있도록 해야 합니다.
• 애플리케이션 수준 공격: 기존 네트워크 방화벽은 크로스 사이트 스크립팅, SQL 주입, 강제 브라우징 및 쿠키 중독 등과 같은 취약점을 악용하는 애플리케이션 수준 공격을 차단하는 데 효과적이지 않을 수 있습니다. 이러한 공격은 특히 애플리케이션을 대상으로 하며 위험을 완화하려면 Web Application Firewall(WAF)과 같은 특수 보호 메커니즘이 필요합니다.
• 광범위한 SSL/TLS 연결: 인터넷 트래픽은 대부분 암호화되어 있으며 많은 기존 방화벽과 NGFW 방화벽은 대규모로 암호 해독을 수행하도록 설계되어 있지 않습니다. 또한 대부분의 보안 생태계는 다양한 도구로 검사해야 하므로 보안과 사용자 개인정보 보호의 균형을 맞추기 위해 중앙화된 암호 해독 및 암호화 브로커가 필요하게 됩니다.