방화벽은 인터넷을 경유해서 침입을 시도하는 크랙커(cracker)로부터 사내시스템을 보호하기 위한 기기(機器)이다. 사내LAN과 인터넷이 접속하는 부분에 설치하여 인터넷에서 사내LAN으로 들어가는 패킷이나 역으로 사내LAN에서 인터넷으로 나가는 패킷은 반드시 방화벽이라고 하는 체크 포인트를 통과하게 된다.

예를 들자면 중세의 성채도시와 비슷하다. 성채도시의 주위는 성벽으로 둘러싸여 있고 성문을 통하지 않으면 출입을 할 수 없다. 도시내의 안전성이 성벽으로 보호되는 것과 같이 방화벽이 사내시스템을 외부로부터 보호하고 있는 것이다(그림 1)

5가지 보안기능으로 크랙커를 격퇴

방화벽에는 특징적인 제품이 여러 가지 있다. 운용성을 중시한 제품이 있는가 하면 보안기능을 중시한 제품도 있다. 또한, PC나 워크스테이션에 설치하여 사용하는 소프트웨어 제품외에도 전용 하드웨어에 들어가는 일체형 제품이 등장하였다.

방화벽상에서 실행 가능한 보안기능은 크게 5종류가 있는데, ① 패킷 필터링 기능, ② 액세스 제어기능, ③ 액세스 감시기능, ④ 사용자 인증기능, ⑤ 암호화 기능 등 이다. ④와 ⑤는 원래는 부가적인 기능이었지만 지금은 많은 제품의 표준으로 탑재되고 있다.

첫 번째의 패킷 필터링 기능은 패킷 헤더에 포함되어 있는 IP어드레스나 포트번호 등을 기초로 패킷의 통과를 제어하는 것이다. 도착한 패킷이 통과할 수 있는지 어떤지를 네트워크층의 레벨로 체크한다. 예를 들어 특정의 발신원 IP어드레스를 가진 패킷만 통과시킨다고 하는 제한을 둘 수 있다.

두 번째의 액세스 제어기능은 패킷 필터링 기능과 마찬가지로 통과하는 패킷을 제어하는 기능으로서 HTTP(hypertext transfer protocol) 등의 응용 프로토콜마다 제어가 가능하다는 점이 다르다. 액세스 제어 기능은 일반적으로 프록시 서버로 실행된다. 인터넷상의 서버와 직접 통신하는 것은 사내LAN에 있는 PC가 아니라 방화벽이 된다. 즉, 방화벽이 통신을 떠맡고 있기 때문에 크랙커가 인터넷에서 사내LAN으로 직접 패킷을 보내는 일이 어려워지는 것이다. 최근에는 프록시를 응용하여 바이러스 체크나 컨텐츠 내용을 체크할 수 있는 방화벽 제품도 등장하고 있다.

세 번째가 액세스 감시기능이다. 액세스 감시기능에 의해 모든 접속요구는 기록된다. 만의 하나 의심스러운 접속요구가 있는 경우에는 관리자에게 전자 메일이나 호출기로 경고를 보내는 일이 가능하다.

방화벽이 갖는 네번째의 보안기능은 사용자 인증이다. 사내LAN으로의 접속요구가 있는 경우에 본인인지 아닌지를 확인하다. 방화벽이 탑재하는 사용자 인증기능에는 RADIUS(remote authentication dial-in user service) 등의 인증시스템이나 일회용 패스워드를 사용하는 원타임 패스워드 시스템과 연계시킬 수 있는 것도 있다.

마지막으로 암호화기능은 통신중의 데이터를 암호화하여 제3자가 데이터의 내용을 모르게 하는 것이다. 인터넷상의 다른 방화벽이나 PC가 같은 암호화기능을 갖추고 있는 경우에 이용할 수 있다. 암호화기능에는 사내LAN으로의 침입을 저지할 수 없지만 통신 경로상에서 데이터가 크랙커에게 누출되는 것을 방지하는 효과가 있다.

운용이나 사용자 의식 여하에 따라 효과는 반감

이러한 방화벽도 단지 설치하는 것만으로는 그 효과를 충분히 발휘할 수 없다. 보안 대책에 근거하여 정확하게 설정하고 매일같이 감시를 거르지 않도록 한다. 가능한 한 빠른 시점에서 침입 사실을 파악하는 것이 최소한으로 피해를 줄일 수 있는 길이기 때문이다. 세번째의 액세스 감시기능을 충분히 활용하여 크랙커의 공격을 절대로 놓치지 않도록 운용해야 한다.

방화벽이 크랙커의 공격을 방지하는 수단으로 효과적인 것은 사실이나 과신하는 것은 금물이다. 정면에서 방화벽을 돌파하지 않고 간단한 방법으로 사내LAN으로 침입한 실례도 보고되고 있다.

예를 들면, 사내LAN상의 어딘가에 제멋대로 액세스 서버를 설치하는 경우 그곳으로 침입당할 위험이 발생할 수 있다. 또한 애써 사용자 인증을 실행해도 패스워드 관리가 불충분하면 크랙커의 침입방지에는 어떠한 도움도 되지 못한다. 사용자의 의식하나로 방화벽의 효과가 반감되어 버리는 것이다. 사내 사용자의 보안의식을 향상시키는 교육도 중요하다 할 것이다.

간단한 용어해설

☞ 크랙커(cracker)

네트워크상에서 부정행위를 하는 자. 특히 다른 네트워크 등에 침입하는 크랙커를 인트루더(intruder)라고 부른다. 해커는 오용되고 있는 말로서 본래 컴퓨터에 정통하고 출중한 능력의 사용자를 가리킨다

☞ 네트워크층

OSI(open systems interconnection) 참조 모델 중의 한 계층. OSI참조모델은 네트워크상에서 통신할 때의 기능을 설명하기 위해 ISO(국제표준화기구)가 정의한 것. 네트워크층에는 하위의 각종 네트워크 차이를 흡수하여 데이터전송을 실현하는 역할이 있다. OSI프로토콜이외에서는 IP나 IPX가 해당한다. 덧붙이면, TCP나 UDP는 하나 상위의 트랜스포트층에 속한다.

☞ 프록시 서버(proxy server)

PC 등의 접속요구를 담당하는 소프트웨어. 원래 사내 LAN상의 private 어드레스가 부여된 PC에서 글로벌 어드레스를 이용한 인터넷에 접속할 수 있도록 하기 위해 개발되었다. 캐쉬기능 등의 부가기능을 가진 전용 프록시 서버제품도 있다.

☞ 사용자 인증

이용자가 정식인지 아닌지를 식별하는 것. 일반적으로 사용자ID와 패스워드의 두가지를 사용하여 식별한다.

☞ 보안 대책

조직의 보안에 대한 기본적인 사고방식. 일반적으로 방화벽 등으로 보안을 강고히 하면 할수록 사용하는 측은 불편해진다. 사용하기 어려워지면 이용에 장애를 받기 때문에 편리성도 고려하여 시스템을 설계하도록 한다. 보안 대책을 검토할 때에는「무엇을 보호할 것인가」,「무엇으로부터 보호할 것인가」,「시스템을 어떻게 이용할 것인가」라고 하는 요소를 생각한다.