URL : http://www.ciokorea.com/news/143664#csidx1e4a667aa0d65d2bfcfee5a79f77e6b

방화벽은 네트워크 보안의 필수 요소로 계속 발전하고 있다. 독립형 장치의 기능을 통합하고, 네트워크 아키텍처 변경을 수용하며, 외부 데이터 소스를 통합해 의사 결정을 돕는 지능을 추가하는 등 따라 잡기 벅찰 만큼의 엄청난 가능성을 제공한다. 
이런 풍부한 기능 때문에 차세대 방화벽은 완전히 마스터하기 어려울뿐더러, 중요한 기능이 때때로 간과될 가능성이 있고 실제로 간과되기도 한다. 
IT 전문가가 알아야 할 방화벽의 새로운 기능을 간단히 소개한다. 
 

네트워크 세분화(Network segmentation)

네트워크 세분화는 하나의 물리적 네트워크를 여러 논리적 네트워크로 나누고, 각 세그먼트가 자체의 물리적 네트워크에서 실행되는 것처럼 작동시키는 것이다. 한 세그먼트의 트래픽은 다른 세그먼트에서 보거나, 다른 세그먼트로 전달될 수 없다. 
네트워크 세분화는 침해 시 '공격 노출 영역(attack surface)’을 현저히 감소시킨다. 예를 들어, 병원이 모든 의료 기기를 한 세그먼트에 넣고 환자 기록은 다른 세그먼트에 넣으면, 해커가 보안이 약한 심장 펌프에는 침입할 수 있어도 개인 환자 정보에는 접근할 수 없다.  
사물 인터넷을 구성하는 많은 기기가 오래된 운영체제를 실행해 본질적으로 안전에 취약하고, 공격자의 진입 지점 역할을 할 수 있다는 사실에 유의해야 한다. IoT의 성장과 분산 특성으로 인해 네트워크 세분화의 필요성은 더욱 커지고 있다.
 

정책 최적화

방화벽 정책과 규칙은 방화벽을 작동하는 엔진이다. 대부분의 보안 전문가는 언제, 왜 그런 정책을 시행했는지 모르기 때문에 오래된 정책을 없애는 것을 두려워한다. 결국 규칙은 전체 규모를 줄이기는커녕 계속 추가되기만 한다. 수백만 개의 방화벽 규칙을 시행하는 기업도 있다. 사실 규칙이 너무 많으면 복잡성이 더 커지고, 규칙끼리 서로 충돌할 수 있으며, 관리와 문제 해결에도 많은 시간이 소모된다. 
정책 최적화는 사용 중인 애플리케이션에 따라 트래픽을 허용하거나 거부하는 애플리케이션 기반 규칙으로 기존 보안 정책 규칙을 마이그레이션한다. 이를 통해 공격 노출 영역을 줄여 전반적인 보안을 강화하고, 애플리케이션 액세스를 안전하게 활성화 할 수 있도록 가시성을 제공한다. 정책 최적화는 포트 기반 규칙을 식별해 응용프로그램 기반 화이트리스트 규칙으로 변환하거나, 애플리케이션 가용성을 떨어뜨리지 않고 포트 기반 규칙에서 기존 애플리케이션 기반 규칙으로 애플리케이션을 추가할 수 있다. 또한 오버 프로비저닝된 애플리케이션 기반 규칙을 식별한다. 정책 최적화는 마이그레이션할 포트 기반 규칙의 우선 순위를 정하고, 사용하지 않는 애플리케이션을 허용하는 애플리케이션 기반 규칙을 식별하며, 히트카운트와 같이 특정 규칙이 적용되는 빈도와 모든 규칙이 적용되는 빈도를 비교하는 등의 규칙 사용 특성 분석에 도움이 된다. 
포트 기반 규칙을 애플리케이션 기반 규칙으로 변환하면, 기업에서 허용하려는 애플리케이션을 선택하고 다른 모든 애플리케이션은 거부할 수 있으므로 보안 태세가 강화된다. 이를 통해 원치 않는 잠재적 악성 트래픽이 네트워크에서 제거된다. 
 

자격 증명 도난 방지

과거에는 직원들이 사내에서 기업 애플리케이션에 액세스했지만, 이제는 사무실, 집, 공항 등 어디서든 레거시 앱, SaaS 앱, 기타 클라우드 서비스에 액세스할 수 있다. 따라서 위협 행위자가 자격 증명을 훔치기가 훨씬 쉽다. 버라이즌의 데이터 침해 조사 보고서에 따르면, 해킹 관련 침해의 81%가 도난되었거나 취약한 비밀번호를 사용했다.
자격 증명 도난 방지는 직원이 페이스북이나 트위터 같은 사이트에서 기업 자격 증명을 사용하지 못하게 한다. 허가된 애플리케이션일지라도, 기업 자격 증명을 이용해 액세스하면 기업 운영이 위험에 처하기 때문이다.
자격 증명 도난 방지는 웹사이트 입력된 사용자 ID와 비밀번호를 스캔하고 회사의 공식 자격 증명과 비교한다. 기업은 웹사이트의 URL 범주에 따라 기업 자격 증명 제공을 허용하거나 차단할 웹사이트를 선택할 수 있다. 
방화벽이 제한된 범주의 사이트에 자격 증명을 제공하려는 사용자를 감지하면, 사용자를 제지하는 차단 메시지를 표시할 수 있다. 또는 특정 URL 범주로 분류된 사이트에 자격 증명을 제공하지 않도록 사용자에게 경고하지만, 진행은 허용하는 페이지를 표시할 수도 있다. 보안 전문가는 이런 차단 페이지를 활용해 합법적이고 피싱 사이트가 아닌 곳일지라도 기업 자격 증명을 재사용하지 않도록 사용자를 교육할 수 있다. 
    

DNS 보안

머신러닝, 분석, 자동화의 조합은 DNS(Domain Name System)를 활용하는 공격을 차단할 수 있다. 많은 기업에서 DNS 서버는 안전하지 않으며, 사용자를 악성 사이트로 리디렉션해 개인 정보와 데이터를 탈취하는 공격에 완전히 노출돼 있다. 보안 팀은 공격자가 DNS 서비스를 사용해 감염된 장치에 대한 제어를 유지하는 방법에 대해 거의 파악하지 못하기 때문에, DNS 기반 공격에서 위협 행위자는 높은 수준의 성공을 거두고 있다. 일부 독립형 DNS 보안 서비스는 적당히 효과적이지만 모든 공격을 판별할 데이터의 양이 부족하다. 

DNS 보안이 방화벽에 통합되면, 머신 러닝은 방대한 양의 네트워크 데이터를 분석할 수 있으므로 독립형 분석 도구가 불필요하게 된다. 방화벽에 통합된 DNS 보안은 악성 도메인을 찾아 실시간으로 분석하는 자동화를 통해, 예측하고 차단할 수 있다. 악성 도메인이 급증해도, 머신 러닝이 빠르게 팀지해서 문제를 방지할 수 있다. 

DNS 보안 통합으로 머신 러닝 분석을 활용해 DNS 터널링을 무력화할 수 있다. DNS 터널링은 DNS 요청 내에 숨어 방화벽을 통과해 데이터를 몰래 밀반입/출하는 공격 기법이다. DNS 보안은 악성 소프트웨어 명령 및 제어 서버도 찾을 수 있다. 시그니처 기반 시스템 위에 구축되어 고급 터널링 방법을 식별하고 DNS 터널링 공격을 자동으로 종결한다.
 

동적 사용자 그룹

직원의 비정상적인 활동에 대한 교정 조치를 자동화하는 정책을 만들 수 있다. 단, 그룹 내 사용자의 역할, 즉 네트워크 행동이 서로 비슷해야 한다는 것을 전제로 한다. 예를 들어 한 직원이 피싱 공격을 받아 이상한 앱이 설치된 경우는 뚜렷이 식별할 수 있고, 곧 침해를 의미한다.

기존에는 하나의 사용자 그룹을 격리할 때 많은 시간이 소요됐다. 그룹의 각 구성원을 개별적으로 다루고 정책을 적용해야 하기 때문이다. 그러나 동적 사용자 그룹을 사용하면, 방화벽이 이상을 발견하고 대응 정책을 생성해 사용자 그룹으로 내보낸다. 정책을 수동으로 생성하고 커밋할 필요 없이 전체 그룹이 자동으로 업데이트된다. 예를 들어 회계 부서의 모든 직원은 수동이 아니라, 자동으로 동시에 정책 업데이트를 받는다. 방화벽과 통합하면 사용자 그룹에 대한 정책을 다른 방화벽, 로그 수집기, 애플리케이션을 포함해 다른 모든 인프라에 배포할 수 있다. 

방화벽은 사이버 보안의 기반이 되어 왔으며 앞으로도 계속될 것이다. 방어의 가장 선두에 있으며 기업 네트워크에 침입하기 전에 많은 공격을 저지할 수 있다. 방화벽의 가치를 극대화하려면 많은 고급 기능을 활성화해야 한다.  일부는 수년 전부터 방화벽에 있었지만 여러 이유로 사용되지 않았던 기능들이다. editor@itworld.co.kr