방화벽 시스템이 침해 당할 수 있다면, 내부 네트워크로 들어오기 위해 어떤 취약점들이 이용될 수 있으까?
- 위험 지역(Zone of risk) : 일반적인 관리 상황에서 위험이 있는 곳이 얼마나 큰가? 이 것의 측정은 외부에서 손쉽게 접근 가능한 내부망의 호스트 수와 라우터 수이다.
- 시스템 실패 환경(Failure mode) : 만약 방화벽 시스템이 침해 당한다면 얼마나 쉽게 이것을 탐지할 수 있는지, 얼마나 쉽게 미리 감지되어지는지, 침투 수법, 경로 등을 검사하는데 필요한 정보가 얼마나 남아 있을 수 있는지를 검토한다.
- 쉬운 이용 환경(Ease of use) : 일반 사용자가 사용할 경우 방화벽 시스템이 얼마나 불편함을 주는지를 고려한다.
- 기본 입장(Stance) : 자신의 기관에서 설치할 방화벽 시스템의 기본적인 구축 개념이 무엇인지를 정확하게 정의해야 한다. 즉 네트워크 레벨의 방화벽을 구현할 것인가, 아니면 응용 레벨의 방화벽을 구현할 것인가 하는 것을 말한다.
5. 결 론
현재 어떤 기관이 인터넷에 연동할 때 가장 효과적인 보안 대책은 방화벽(Firewall)을 설치하는 것라고 할 수 있지만, 방화벽의 상용 제품은 하드웨어 플랫폼, 컨설팅, 네트워크 재 설계 등으로 인한 비용이 많이 된다. 따라서 비용에 해당하는 완벽한 보안 해결책을 제공받을 수 있는지 의문이 있을 수 있다.
방화벽이 가장 우수한 해결책이라 하더라도, 먼저 공개 도구를 설치하거나 라우터 등에서 방화벽의 설치 및 운영 경험을 갖는 것이 중요하다. 라우터에서 제공하는 패킷 스크린 기능은 외부의 어떤 특정 네트워크, 호스트 등에 대해 또한 응용 프로토콜 등에 대한 액세스 제어 기능을 제공하므로 가장 기본적인 방화벽을 만들 수 있고 그밖에 필요한 사용자 인증, 응용 계층 프락시 등은 공개 도구를 이용하여 사용자 인터페이스나 여러 관리 지원 기능 등을 해결할 수 있다.
방화벽이 완전한 보안을 제공하는 것은 아니다. 방화벽은 단지 인터넷 등의 전산망에서의 보안 격리만을 제공할 뿐이며, 또한 이에 대한 비효율적인 운영과 완전하지않은 정책 채택은 더 문제가 될 수 있다. 방화벽은 단순히 전산망의 기술적인 보안 문제를 해결할 뿐이며, 그 밖에 호스트에서의 보안 문제, 보안 감시, 중앙집중적인 보안 관리, 정책, 교육 등이 총 망라되어야 할 것이다. 집중적으로 보안을 담당할 인력을 보강하고 구체적인 대책과 관리에 신경을 쓴다면 효율적인 대책을 수립할 수 있다.
- 네트워크 보안을 위해 자체적인 방화벽 환경의 구축,
- 각 호스트별 접근 제어로서 TCPWRAPPER 등의 설치,
- 시스템 및 각 응용 프로그램 등의 최신 버젼 패치(Patch),
- 시스템 보안 감시 및 일일 주간 체크리스트의 활용,
- 주기적인 부분/전체 백업,
- 보다 우수한 사용자 인증 방법
등의 채택은 가장 필수적인 보안 기술 대책 요소라고 할 수 있다. 물론 이러한 대책을 지원하는 공개 소프트웨어 도구는 많이 있으며, 또한 담당 인력의 주의와 노력이 요구된다.