편리 추구하다보면 방화벽 무용지물 돼...꼼꼼한 설정 반드시 필요해
[보안뉴스 문가용 기자] 방화벽은 네트워크를 침입하려는 자들을 막는 가장 기본적이면서 가장 주요한 방어선이다. 하지만 지난 수년 동안 이 방화벽에 의존해왔으면서도 많은 조직들이 설정을 제대로 하지 못해 사이버 범죄 사건을 허용해준다. 가장 대표적인 유형 다섯 가지를 정리해보았다.
[이미지 = iclickart]
1. 클라우드 기반으로 변해가는 보안 인프라와 방화벽 사이에 불협화음이 난다
전통적인 관점에서 네트워크 경계선이라는 개념은 이미 사라졌다. 그러므로 방화벽 역시 여기 저기 분산 배포된 네트워크의 한 요소로 변모하는 것이 맞다. 보안 업체 바라쿠다 네트웍스(Barracuda Networks)의 수석 컨설팅 엔지니어인 스테판 샤칭어(Stefan Schachinger)는 “방화벽의 본질에 대해서 기존처럼 생각해서는 실패할 수밖에 없는 게 요즘 디지털 세상의 현실”이라고 지적한다.
“먼 도시나 다른 나라에 있는 파트너사들, 원격에서 근무하는 직원들, 무슨 일이 발생할 때마다 네트워크를 유지, 보수해야 하는 인원들은 항시 기업의 네트워크에 접속할 수 있어야 합니다. 또한 애플리케이션과 데이터와 같은 디지털 자산들은 빠르게 IaaS와 SaaS 플랫폼으로 옮겨가고 있죠. 이미 대다수 기업들이 클라우드에 한 발짝은 걸치고 있는, 즉 하이브리드 클라우드 체제에 돌입해 있습니다. 이런 변화무쌍하고 가변적인 네트워크에 기존 개념의 방화벽은 어울리지 않습니다. 심층방어라는 개념으로 방화벽을 이해해야 합니다. 즉 여러 보안 장치들 중 하나로서 방화벽을 생각해야 한다는 겁니다.”
2. 원격 접근 시 포트포워딩 규칙의 잘못된 적용
LAN으로 연결된 장비를 원격에서 접근하려고 할 때 포트포워딩을 사용하는 건 그리 좋은 생각이 아니다. 특히 포트나 출처 IP 주소들을 먼저 제한하지 않은 상태의 포트포워딩은 대단히 위험한 상황을 초래할 수도 있다. SD-WAN 장비 전문 업체인 머쉬룸 네트웍스(Mushroom Networks)의 CEO인 제이 아킨(Jay Akin)은 “그렇지만 수많은 조직들이 포트포워딩으로 원격에서 접근하는 걸 허용한다”고 말한다. “그게 연결시키는 데 있어 가장 쉬운 방법이기 때문입니다.”
만전을 기하지 않은 포트포워딩 설정은 보안 사고의 확률을 크게 높인다고 아킨은 강조한다. “로컬 네트워크에 있는 신뢰받는 장비를 승인되지 않은 외부인이 접근하거나 해킹하는 데 성공할 경우, 이 외부인은 그 장비로부터 네트워크 전체로 뻗어갈 수 있습니다. 특히 그 장비가 신뢰를 받는 장비이기 때문에 공격자가 횡적으로 움직이기는 더 용이합니다.”
3. 특수하고 정상적인 접근이 필요하다는 것을 잊는다
기업이 방화벽 규칙을 설정할 때 가장 염려하는 건 서비스나 업무가 방해받는 것이다. 그래서 ‘허용’ 옵션을 광범위하게 적용한다. 그러면서 조금씩 상황에 따라 허용되면 안 되는 것들을 지정한다. 이런 과정으로 방화벽을 진행하는 건 정말 건강하지 않다. 보안 업체 넷슈리온(Netsurion)의 부회장인 레니 만실라(Lenny Mansilla)는 “시작부터 데이터와 네트워크 접근에 대한 허용과 불허를 고민해서 조심스럽게 선택하는 것이 훨씬 더 나은 방향”이라고 강조한다. “왜냐하면 후자가 공격에 노출되는 물리적 시간이 훨씬 짧기 때문입니다.”
만실라는 “처음부터 대문을 확 열어놓고, 상황이 흘러가는 대로 조금씩 닫아가는 방식은 노출 시간을 지나치게 연장하게 된다”고 강조한다. “가장 중요한 애플리케이션과 서비스들이 무엇인지 목록으로 만들고, 매일 사업을 진행하면서 필요한 행위들에 어떤 것이 있으며, 그러할 때 어떤 데이터를 누구에게 열어두어야 하는 건지 정의하고 방화벽에 적용한다는 건, 비단 보안을 꼼꼼히 하는 것만이 아니라 자신이 벌이고 있는 사업에 대해 더 깊은 이해를 추구하는 것이기도 합니다.”
4. 바깥으로 나가는 트래픽에 이그레스 필터링 적용하는 것을 잊는다
네트워크 관리자라면 방화벽이 인그레스 필터링(ingress filtering)을 통해 보안을 강화하는 게 어떤 의미인지 이해하고 있다. 즉, 외부 인터넷 망으로부터 조직 네트워크 안으로 흘러 들어오는 트래픽을 차단함으로써 내부에 저장된 데이터를 지키는 게 어떤 개념인지 이해하고 있다는 것이다. 보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)의 CTO인 코리 나크레이너(Corey Nachreiner)는 “그러나 이그레스 필터링(egress filtering) 즉, 내부인이 외부 인터넷 망으로 트래픽을 내보내는 것을 차단하는 것에 대한 장점은 잊는 게 대부분”이라고 지적한다.
“특정 사이트를 내부 인원이, 내부 시스템으로 접근하지 못하게 하는 건 보안에 있어서 대단해 효과적인 일입니다.” 그러면서 나크레이너는 “제가 본 대부분의 조직들은 내부 인원들이 인터넷 상에서 아무런 제약 없이 활동하도록 놔두고 있으며, 따라서 그러한 방화벽 규칙을 수립하지 않고 있다”고 말한다. “이그레스 필터링을 적용해보세요. 네트워크의 안전도가 올라가는 것을 체감할 수 있을 겁니다.”
5. 방화벽 설정만 잘 해도 네트워크 보안은 끝난다?
공격자들은 날로 정교해지고 있다. 그러면서 데이터와 엔드포인트 보호는 갈수록 어려운 일이 되어간다. 공격자들은 와이파이 네트워크도 표적으로 삼을 수 있고, 라우터를 침해할 수 있으며, 피싱 캠페인을 자기가 원하는 그대로 진행하고, API 게이트웨이 요청도 스스로 만들어 백엔드로 보낼 수 있다. 그렇게 네트워크 안으로 침투한 뒤 여기 저기 휘저으면서 자기가 가장 원하는 부분에 도달하는 것도 예사롭지 않게 이뤄낸다.
네트워크 보안 업체인 42크런치(42Crunch)의 부회장인 드미트리 소트니코프(Dmitry Sotnikov)는 “제로트러스트 모델을 적용하라”고 권고한다. “네트워크의 형태가 변하고, 공격자들이 발전하면서, 이제 거의 모든 것들이 공격자들의 침해 범위 안에 들어가게 되었습니다. 모바일 애플리케이션, 소비자 장비, 직원 장비, 내부 네트워크 전부 다요.” 그러면서 그는 “방화벽이 중요한 수문장 역할을 여전히 하고는 있지만, 유일무이한 방어책이어서는 안 된다”고 강조한다.
3줄 요약
1. 방화벽, 오랜 시간 보안의 강력한 도구였으나 이제는 그 성격이 조금은 바뀔 때.
2. 네트워크의 ‘외곽’이라는 개념이 사라지면서 방화벽의 역할도 ‘일개 보안 요소’가 되어야 함.
3. 설정 실수의 가장 큰 원인은 ‘편리 우선, 보안 나중’
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>