차세대 방화벽은 웹방화벽이 아니다
NG 장비의 DPI (Deep Packet Inspection) 등 진일보한 기능을 통해 콘텐츠 레벨까지 검사가 가능하다? 이건 과장으로 보인다. 완전히 사실이 아니라고 단정할 수는 없겠으나 소비자의 심각한 오해를 불러일으킬 위험성이 있다.
기존 방화벽으로는 한계가 있다. 사실이다. 기존 방화벽은 패킷 페이로드 전체를 검사하지 않고 특정 포트 사용 여부만으로 트래픽의 적절성을 판단해 차단 또는 통과를 결정한다. 따라서 최소한의 조건만 충족하면 무사 통과되기 때문에 해당 트래픽이 진짜로 위험한지 아닌지는 알아낼 수 없다. 하지만 아직도 방화벽만으로 버티는 곳이 적지 않으니 매우 심각한 문제다. 대책이 절실하다.
지금 벌어지는 현실적 보안 위협이라면, 웹 보안 위협이 가장 크고 또 가장 위험하다. 웹 서비스의 폭발적 증가에 따라 웹 애플리케이션 콘텐츠가 주요 공격 지점이 되었다. 이는 주로 개방형 포트를 사용하므로 방화벽은 있으나 마나다. 패킷 상태만 보고 판단하면 전혀 문제가 없어 보이기 때문에 기존 방화벽 및 네트워크 보안 장비로는 막을 수 없다. 그래서 대안으로 제시된 것이 패킷 검사를 보다 강화한 이른바 ‘차세대’ 네트워크 보안 장비들이다.
■차세대 네트워크 보안 장비 = 진보한 L4 보안 장비
차세대 장비 제조사들이 제시하는 자료를 보면 매우 현란하다. 패킷 수준을 초월해 애플리케이션 수준의 검사를 거쳐 침입을 차단하는 등, 기존 방화벽의 기술적 한계를 뛰어넘고 지능까지 더한 보안 만병통치약처럼 보이기도 한다. 다른 보안 장치 따위 필요 없이 딱 이거 하나면 모든 문제가 해결될 것 같다. 하지만 내용을 자세히 들여다보면 묘한 과장이 있다.
▲ 네트워크 7계층 구조도
일정한 전기 신호의 흐름인 네트워크는 논리적으로 7개 계층으로 이루어진다. 개중 정보 보안 기술에 있어 가장 중요한 레이어는 주고 받은 패킷 신호를 데이터 형태로 서로 변환하는 4계층 인’Transport’ 레이어, 그리고 사용자로부터 데이터를 입력 받고 또 출력함으로써 응용 서비스를 수행하는 7계층 ‘Application’ 레이어다.
차세대든 구세대든, 방화벽과 IPS는 네트워크 레이어 중 4계층 ‘Transport’ 레이어에 해당하는 장비다. 따라서 원론적으로 해당 레이어의 역할 한계에 갇혀 있다. 요즘 한창 뜨거운 화제인 차세대 NG 장비들은 기존 장비에 추가로 콘텐츠 인지 기능을 일부 추가함으로써 트래픽 내용에 대해 일정 수준의 가시성을 확보한 물건이다. 기존 장비들에 비해서는 한층 나아졌다고 볼 수 있고 기능적 한계를 일정 부분 극복했다고 후하게 평가할 수 있다. 하지만 애초에 4계층이라는 구조적 한계에 머물러 있다는 것 또한 사실이다.
결국 그 콘텐츠 인지라 함은 일부 트래픽에 대하여 제한적으로 시그니처 목록에 따른 단순 검사를 한다는 뜻에 불과하다. 시그니처 검사란 일종의 약속대련이다. 미리 합을 맞추고 그대로 동작한다. 합에서 벗어난 공격은 방어할 수 없다. 물론 검사 대상의 수와 시그니처 수를 무작정 늘이면 탐지 및 차단 효과가 높아지는 건 사실이다. 하지만 그렇게 되면 그만큼 시스템 성능에 매우 나쁜 영향을 미치게 되므로 비효율적이다.
■최근 보안 위협 = L7 웹 애플리케이션 위협
최근 보안 위협은 웹 애플리케이션 영역에 집중해 발생하고 있다. 위에 언급한 네트워크 구조도 상 7계층 인 애플리케이션 레이어에 해당하고, 따라서 웹 프로토콜 및 웹 언어 전용 탐지 엔진을 통해서만 차단할 수 있는 위협들이다. 정책 자동 학습, 탐지된 위협에 즉시 대응하는 가상 패치, 자동화 봇과 실제 사용자를 구분하는 안티-오토메이션, 사용자 세션 모니터링을 통한 비즈니스 보호 등 웹 애플리케이션 보안의 고유 기능의 중요도가 점차 높아지고 있다는 뜻이다.
웹 애플리케이션 보안 기능은 7계층 보안에 특화된 ‘웹 애플리케이션 방화벽, 웹방화벽(WAF)’의 역할이다. NG 장비들이 위 기능의 일부를 제한된 범위 내에서 어느 정도 소화해 낸다고는 하나 기존 IPS와 FW에 비교해 그렇다는 말일 뿐, 애초에 웹 애플리케이션 레벨에 특화되어 개발된 WAF에 비할 바는 아니다. 예컨대 최근 보안 사고의 대다수는 보안성을 고려하지 않고 부실하게 설계된 웹 애플리케이션의 허점 때문에 발생하는데, 이를 막을 수 있는 것 또한 웹 언어 탐지가 가능한 WAF뿐이다.
시장 분석 업체 가트너가 최근 발표한 ‘WAF와 NGFW & IPS 비교’ 보고서를 살펴보자. NG 장비들과 WAF는 서로 담당하는 바 역할이 다르고, 그 전문성은 4계층과 7계층 등 네트워크 레이어의 기술적 차이를 그대로 따른다는 사실을 항목별 비교를 통해 확인할 수 있다. NG 장비와 WAF는 각각 L4와 L7을 감당한다. 애초에 존재 영역이 다른 것이다.
▲ 가트너, ‘WAF와 NGFW
■완벽한 보안 = L4, L7 각 영역에서의 최선의 방어
새삼스런 말이지만 WAF 또한 정보 보안의 만병통치약은 아니다. WAF의 L4 수준 보안 능력은 위 표를 보면 알 수 있듯 그다지 높지 않다. 완벽한 보안을 위해서는 모든 레이어에 각각 최선의 보안 조치를 취해야 한다.
물론 전체 보안성에 있어 각 영역의 중요도 위상차는 존재한다. 최근 보안 위협 추세에 따라 L7 웹 애플리케이션 보안의 중요도가 압도적으로 높기 때문에 WAF의 중요도가 여타 장비들에 비해 더 높은 것일 뿐, 오직 WAF만이 완벽한 보안을 이룰 수 있는 만병통치라는 뜻은 아니다.
대부분의 정보 보안 실패 사고는 ‘완벽한 보안’에 대한 환상과 ‘만병통치 장비’에 대한 과장 그리고 그에따른 오해에 기인한다. 그러한 위험으로부터 벗어나 진짜 완벽한 보안을 이루기 위해서는 안전한 IT 시스템에 대한 총체적이고 원론적인 이해로부터 출발해야 한다. 느리고 답답해 보이겠지만, 그것이 보안의 왕도다. 정보 보안, 만병통치약은 없다. 이 복잡하고 난해한 세상, 그렇게 쉽고 간단하게 탁 해결되는 문제가 어디 있던가.