방화벽(Firewall) / 웹 방화벽(Web Application Firewall)

그림 1

방화벽이란?

외부로부터 내부망을 보호하기 위한 네트워크 보안 시스템중 하나이다. 그림 1과 같이 불필요한 접근은 차단할 수 있고, 반대로 허용할 수도 있다. 방화벽은 하드웨어, 소프트웨어 두 가지로 나눌 수 있다. 하드웨어 방화벽은 인프라에 설치되는 독립적인 장비이며, 소프트웨어 방화벽은 윈도우의 방화벽이나 리눅스의 iptables, ufw 등이 이에 해당된다. 여기서는 하드웨어 방화벽에 대해 설명할 것이다.

 

방화벽의 종류

1. 패킷 필터링 방화벽

패킷 필터링 방식은 네트워크 계층과 전송 계층에서 동작한다. 단순히 미리 설정해둔 정책에 따라 특정 IP 주소나 포트를 허용 및 차단하는 작업을 한다. 비용이 적고 다른 방식에 비해 빠르다는 장점이 있지만, 설정해둔 정책의 개수나 순서에 따라 방화벽의 성능에 문제가 생길 수 있다. 또한 ACL 규칙을 만들때 인바인드, 아웃바인드 규칙을 모두 설정해야 해서 보안에 취약하다.

출발 IP	목적 IP	출발 Port	목적 Port	Permit / Deny
any	10.1.1.2	any	80	permit
10.1.1.2	any	80	any	permit

2. 스테이트풀 인스펙션

패킷 필터링 방식과 동일한 패킷 정보를 검사하지만 TCP 연결에 관한 정보를 기록한다. 또한 TCP 순서를 번호를 추적하여 새션 하이재킹 공격을 방어할 수 있으며, 모든 통신 채널을 상태 테이블에 유지하며 관리한다. 위에서 패킷 필터링 방식은 돌아오는 패킷에 대해 허용하는 정책을 추가해야 하는데, 스테이트풀 인스펙션은 인바인드 규칙만 추가해주면 TCP연결시 자동으로 아웃바인드 규칙을 추가하고 통신이 끝나면 자동으로 삭제한다.

 

3. 애플리케이션 방화벽

기존 방화벽이 IP 주소와 포트를 기반으로 규칙을 만들고 검증했다면, L7 방화벽에서는 실제 패킷 내용을 검사해서 어떤 애플리케이션과 통신하고 있는지 확인이 가능하고 좀 더 세밀한 규칙 설정이 가능하다. 예를 들어 카카오톡은 차단하고 텔레그램은 허용하는 만들 수 있다. 대표적인 장비로는 IPS, UTM, WAF 등이 있다.

 

4. 서킷 게이트웨이

서킷 게이트웨이는 세션 계층과 애플리케이션 계층 사이에 동작하며, 애플리케이션 방화벽과 달리 서비스별로 프락시가 존재하지 않고, 하나의 대표 프락시를 이용한다. 내부 IP 주소를 숨길 수 있지만, 별도의 프로그램을 배포해서 사용자 PC에 설치해야 하는 번거러움이 있다.

 

5. 하이브리드 방화벽

스테이트풀 인스펙션 + 애플리케이션 게이트웨이의 방식이며, 속도와 성능을 유지하면서 선택적으로 프락시 기능을 사용하는 장점이 있지만, 관리가 어렵고 복잡하다. 대부분의 방화벽이 하이브리드 방식을 사용한다.

 

5. L2 방화벽(브리지모드 or Transparent Mode)

TP모드를 사용하게 되면 Transparent의 뜻처럼 장비 사이에서 투명하게 자리 잡게 된다. 일반적으로 방화벽은 최소 두 개의 NIC를 사용하는데, L2 방화벽은 특성상 IP주소를 할당할 필요가 없으므로 두 인터페이스 모두 같은 IP 주소 대역을 사용할 수 있다. 그러므로 방화벽 설치시 기존 네트워크를 변경하지 않아도 되며, 설치 시간이 빠르고 장애 복구가 쉽다. 단점으로는 사설 IP를 변환시켜주는 NAT 기능을 사용할 수 없다.

 

6. 라우터 모드

브리지모드의 반대되는 개념으로 가장 일반적인 방화벽 구성 형태이다. 최소 두 개의 인터페이스를 가지고 있으며, 별개의 네트워크에 대한 라우팅 기능이 기본적으로 필요하다.

 

웹 방화벽(WAF)이란?

L7 계층에서 동작하며 웹 애플리케이션 보안에 특화되어 있는 솔루션이다. 말 그대로 웹을 보호하는 방화벽이며 SQL 인젝션, XSS 등과 같은 기본적인 웹 공격 대응뿐만 아니라, 정보 유출 방지, 부정 접근 방지, 웹사이트 위변조 방지도 가능하다. 침해사고 통계를 보면 대부분 외부에 노출되어있는 웹에서 발생하고 있고, 솔루션으로 웹 방화벽이 자리매김하고 있다.

 

웹 방화벽의 진화

1세대 웹 방화벽은 블랙리스트와 화이트리스트를 병행하는 방식을 사용했지만, 관리자가 직접 생성하고 관리하는 방식이기 때문에 관리 부담이 크다. 또한 공격 유형도 다양해짐에 따라 웹 방화벽에 등록된 시그니처의 수가 늘어나 성능 저하도 있다. 2세대 웹 방화벽은 분석을 통해 화이트리스트 생성을 자동으로 해주지만, 최종적으로 관리자가 검토 및 적용을 하기 때문에 여전히 관리적인 측면에서 부담이 발생한다. 1세대와 마찬가지로 성능 저하에 대한 문제점은 똑같다. 이러한 단점들을 보안해서 나온 것이 3세대 지능형 웹 방화벽이다. 3세대는 웹 공격 유형별로 트래픽을 검사하여 공격 진위 여부를 판단하기 때문에 오탐률이 낮고, 최소한의 시그니처 추가만으로도 변종 공격에 대한 대응이 가능해서 성능 저하 발생률이 낮을 뿐만 아니라, 관리자의 시그니처 관리 부담이 사라져 효율적으로 운영이 가능하다.

 

참고 서적 : 인프라 보안 - 강병탁 지음