1. 방화벽의 개념

요즘들어, 신문이나 뉴스에서 해커나 크래커들이 개인 정보를 해킹하여 매매한다는 기사를 자주 보았을 것이다. 인터넷의 편리함이 가져다준 또다른 면이 아닌가 한다. 온라인상에서 모든 것을 해결할 수 있을 것만 같은 시대에 살고 있지만, 그것을 위해서는 온라인상의 나를 증명해주는 개인 정보도 보호할 줄 알아야 하는 것이다. 기업차원에서도 정보의 유출이 가져다 줄 피해가 크기 때문에, 어떠한 형태로든 이를 막으려고 할 것이다. 결국 개인이나 기업 모두 보안에 관심을 갖게 되었고, 방화벽은 보안하면 가장 먼저 떠오르는 단어가 아닌가 싶다. 사실 몇 년 전만해도 우리나라의 보안에 대한 인식은 인터넷 강국임을 무색하게 할 정도로 후진국의 수준을 벗어나지 못하였다. 외국의 해커들이 해킹을 위해 우리나라를 전진 기지쯤으로 생각할 정도였으니 말이다. 각설하고 지금부터 방화벽에 대해서 살펴보도록 하겠다.

방화벽은 오늘날 가장 많이 사용되고 있는 보안 시스템으로, 내외부 네트워크를 분리해 허가된 데이터는 통과시키고 그렇지 않은 데이터는 차단하는 기능을 수행한다. 이런 방화벽을 구축하는 방법에는 여러 가지가 있을 수 있으며, Mac OS X에서는 OS 차원에서 지원을 해주고 있다.(Mac OS X 10.2 버전부터 지원을 한다.)
오늘날 인터넷에서 공통적으로 사용하는 방화벽 유형으로는 3가지 정도를 들 수 있다. 첫번째 유형은 패킷 필터링으로, 여러 곳에 연결된 기계의 커널이 일련의 규칙에 의거해 패킷을 전달할지 막을지를 결정하는 방식을 말한다. 두번째 유형은 애플리케이션 게이트웨이(또는 프록시 서버)로, 커널 패킷 전달 기능을 막은 여러 곳에 연결된 기계에 의해 인증을 제공하고 패킷을 전달하는 데몬에 의존하는 방식을 말한다. 마지막은 앞의 2가지 유형을 조합한 것으로 다단계 인증을 통한 하이브리드 방식이 있다. 그럼 이 3가지 방식에 대해 좀 더 알아보자.

2. 방화벽의 유형

1.1. 패킷 필터링 방식

패킷 필터링 방식은 패킷 내부의 헤더 정보(송/수신측 IP, 포트 번호, 패킷 타입 등)를 보고, 관리자가 보안 룰을 적용한 규칙과 비교해 패킷을 통과시킬지 거부할지를 결정하는 형태를 말한다.
일련의 규칙 중 패킷 헤더의 내용과 일치하는 규칙이 발견되면 해당 규칙에 정해진대로 행동하게 되는데, 패킷을 버릴 수도 있고, 통과시킬 수도 있으며, 보낸 사람에게 ICMP 메시지를 되돌려 보낼 수도 있다. 규칙 비교는 순차적으로 이루어져서 첫번째로 만난 규칙을 적용하므로, 규칙의 정립에 있어서 신중을 기해야 할 것이다.
패킷 필터링 방식은 위와 같이 비교를 통해 동작하는 것이 전부인 단순한 프로세스를 가지고 있어서 처리 속도가 빠르지만, TCP/IP 패킷을 누군가 조작하면 통과시킬 우려가 있으며, 메일 바이러스 등에 취약한 면이 있다. 메일 바이러스는 대게 전자우편의 내용에 바이러스 프로그램이 삽입돼 있다가 메일을 볼 때 활동하는데, 패킷 필터링 방식은 패킷 헤더에 대한 정보만을 기준으로 통과할지 거부할지를 결정하므로 전자우편의 데이터에 대한 분석을 못하기 때문이다.
참고로 하드웨어 장비인 라우터에서 엑세스-리스트 명령으로 패킷 필터링을 할 수도 있는데, 이런 기능을 스크린 라우터(screen router)라고 한다. 다만 라우터를 조작해야 한다는 부담감이 있고, 로그를 통한 모니터링이 불가능하며, Ping을 통한 공격 등에 허술한 단점을 지니고 있다. 물론 라우터도 지금은 운영체제 상에서 문제를 해결해서 Ping의 크기를 제한하고 있기는 하지만, 좀 더 안전한 환경을 위해서는 1차적인 필터링으로 적당할 것으로 생각된다.

1.2. 애플리케이션 게이트웨이(프록시 서버)

애플리케이션 게이트웨이는 프록시(proxy) 서버를 통한 방식을 말한다. 프록시 서버의 본래 목적은 컴퓨터의 모든 데이터 트래픽을 중계해 접속자의 로깅 정보나 승인된 접속자인지를 확인하는 역할을 하는 것이다. 이를 위해 기업 내부의 네트워크(인트라넷)와 인터넷의 경계 지점에 위치해 유통되는 정보를 감시, 비정상적인 침입이나 유출을 차단하는 역할을 수행한다. 내부의 구조가 알려지면 안 되는 건물이 있다고 생각해보자. 그런데 누군가 찾아와 누군가를 만나고 싶다고 요청을 했을 경우, 이 사람을 건물 내로 안내하여 만나게 해줄 수는 없을 것이다. 그런 경우, 문지기는 건물 내의 사람을 불러내어 만나게 해주면 해결이 되는데 이때의 문지기가 프록시 서버의 역할을 하는 것이다. 즉, 외부로부터의 접근에 프록시 서버가 대신 대응을 해주므로 내부로의 접근은 이루어지지 않는 것이다.
또한 프록시 서버는 캐시(Cache)를 갖고 있어서 여러 사람들이 자주 들어가는 웹사이트의 데이터를 캐시에 저장해 뒀다가 요청이 있을 경우 서버 대신 빠른 속도로?클라이언트에게 이를 제공하므로 외부 인터넷 회선의 트래픽을 줄일 수 있고, 사용자 입장에서는 인터넷 접속이 빨라졌다는 효과를 얻을 수 있다. 단, ISP 업체의 프록시 서버가 다운됐거나 용량이 초과된 경우에는 오히려 속도가 느려지는 부작용도 생길 수 있다.
초창기 프록시 서버는 많은 트래픽이 발생하는 대기업이나 인터넷 서비스 제공 업체 등을 중심으로 사용되었으나, 최근에는 자신의 컴퓨터를 프록시 서버로 만들 수 있는 소프트웨어가 널리 보급됨에 따라 누구나 손쉽게 프록시 혜택을 누릴 수 있게 됐다.
Panther에서 프록시 서버를 사용하려면, 일단 프록시 서버를 구성하고 시스템 환경설정>네트워크>프록시 탭에서 지정을 해주어야 한다. 그에 대한 자세한 것은 "네트워크 환경설정"의 프록시 부분을 참고바란다.

1.3 하이브리드 게이트웨이

하이브리드 게이트웨이는 패킷 필터링 방식과 애플리케이션 방식을 혼합한 것이다.
장점이라면 속도가 빠르고, 가장 강력한 보안을 제공하며, 유연성 있는 보안 정책의 적용이 가능하다는 것을 들 수 있다.
반면 관리 및 구축이 어렵고, 보안에 비례해 복잡성이 증가한다는 단점도 있다. 또 필터링 게이트웨이에서 볼 수 있는 약점도 마찬가지로 갖고 있으며, 방화벽에서 운용되는 서버들이 노출될 수 있다는 것과 가격이 비싼 것도 단점이다.

3. Panther에서의 방화벽 설정

개인 정보의 불법적인 유출과 각종 바이러스의 피해가 속출하면서 보안에 대한 중요성이 부각되고 있다. Mac OS X에서는 OS 차원에서 간단한 패킷 필터링 방식의 방화벽 기능을 지원하고 있다.(Mac OS X 10.2 버전부터 지원을 한다.)
Panther와 Jaguar에서 설정의 차이가 없으니, Panther를 기준으로 설명을 하기로 한다.
방화벽 탭을 선택하면 다음과 같은 패널이 뜨는데 허용 리스트 목록을 잘 보면, 어디선가 많이 본듯한 것들일 것이다.


<그림 1. 방화벽 탭 선택시 뜨는 화면>

이것들은 서비스 탭에서의 서비스 중 Apple Remote Desktop을 제외한 7가지와 iChat Rendezvous, iTunes 음악 공유를 나타내는 것으로 공유가 활성화되어 있는 것들은 체크 상자에 선택이 되어있는데, 이는 방화벽을 켜더라도 이 공유 서비스에 대해서는 트래픽을 허용한다는 의미이다. 즉, 서비스 탭에서 활성화시킨 서비스는 방화벽의 영향을 받지 않는 것이다. 리스트 제목 옆의 번호들은 그 서비스가 사용하는 포트의 번호를 의미한다.
"시작" 버튼을 누르면 방화벽이 켜지면서 버튼의 이름이 "중단"으로 바뀌게 된다. 다시 "중단"을 누르면 방화벽이 꺼지게 된다.

방화벽 설정의 기본은 모든 것을 막아놓은 상태에서 허용이 필요한 부분을 설정해 주는데 있으며, 이는 Mac OS X에서도 마찬가지이다. 그럼 방화벽 설정의 단계를 살펴보도록 하자.

1) 우선은 "시작" 버튼을 클릭하여 방화벽을 켜보자. 그럼 허용 리스트에 체크된 공유 서비스 이외의 들어오는 트래픽은 모두 막힐 것이다.

2) 다음은 허용을 원하는 서비스를 설정하기 위하여 "신규" 버튼을 누른다. 그럼 다음과 같은 패널이 뜨게 된다.


<그림 2. 허용을 원하는 서비스를 설정>

포트 이름 팝업 메뉴를 선택하면 다음과 같은 다양한 형태의 서비스가 보일 것이다.


<그림 3. 포트 이름 팝업 메뉴>

3) 허용을 원하는 서비스를 선택하면, 아래에 포트 번호, 범위 또는 일련 번호가 자동으로 입력이 되어진다.

4) "승인" 버튼을 클릭한다. 그럼 선택된 서비스가 허용 리스트에 체크된 상태로 나타나게 된다. 체크 상자를 선택 해제하면, 그 서비스도 허용되지 않게 되니 주의하길 바란다.
또한 MSN Messenger 등의 채팅 서비스를 막아도, 채팅은 가능하고 파일 전송만 막게 된다. 이것은 메시지를 주고 받는 포트는 다른 것을 사용하기 때문이다. 이렇게 생성된 설정은 "편집" 버튼을 사용하여 편집이 가능하다.(기본적인 공유 서비스는 편집이 가능하지 않다.)

5) 2~4번을 반복하여 여러 서비스를 허용하거나 차단할 수가 있다. 또한 "기타"를 선택하여 자신이 차단하고자 하는 기타 서비스를 막을 수도 있다. 다만 이 경우에는 막고자 하는 서비스가 사용하는 포트 번호를 알고 있어야 한다.


<그림 4. "기타"를 선택하여 자신이 차단하고자 하는 기타 서비스를 막을 수도 있다.>

예를 들어, 요즘 과도한 ICMP 패킷의 생성으로 문제가 되고 있는 소리바다를 막고자 한다면, 포트 번호로 9001-9004를 사용하면 된다. 다른 서비스에 대해서도 웹사이트에서 검색하면 쉽게 찾을 수 있을 것이다. 일부 응용 프로그램은 버전이 업그레이드되면서 사용하는 포트 번호도 바뀌는 경우가 있으니 주의하기 바란다.

지금까지 방화벽의 개념과 Panther 차원에서 지원하는 방화벽의 설정에 대해서 알아보았다.
주어진 환경에 적합한 방화벽 시스템을 구축하는 것은 많은 고려사항과 노력이 필요한 일이다. 이를 선택하기 위해서는 구축 비용의 기대효과, 사용하는 네트워크 기술, 보호해야 할 정보, 보안 정책, 조직의 네트워크에 대한 정책 등을 신중히 고려하여 자신의 네트워크에 가장 타당한 방화벽 시스템을 선택하여야 한다. 그러나 방화벽 시스템이 해커 및 불법 침입자로부터 내부 네트워크의 모든 자원 및 정보를 보호해 준다고 믿어서는 안되며, 단지 방화벽 시스템은 내부 네트워크를 보호하기 위한 1차 방어선으로 생각하고 암호화 기법 및 강력한 인증 서비스 등과 같은 안전한 정보 보호 서비스를 구현하여야 한다.
실제로 통계에 의하면 네트워크를 통한 해킹에 의한 정보 유출보다 내부 직원 또는 전에 근무했던 직원에 의한 보안의 파괴가 더 심하다고 한다. 이러한 통계에 비추어 볼 때 강력한 방화벽의 구축에 병행하여 사용자와 관리자의 보안 의식 함양을 위한 보안 교육도 꾸준히 시행하여야 한다.