들고 나는 트래픽을 거르는 첫 관문
네트워크 보안의 가장 바깥 경계에는 방화벽이 있습니다. 방화벽은 미리 정한 규칙에 따라 들어오고 나가는 트래픽을 허용하거나 차단하는 장치입니다. 어떤 출발지에서 어떤 포트로 들어오는 트래픽을 받아들일지, 내부에서 외부 어디로 나가는 통신을 허용할지를 규칙으로 정의해, 허가되지 않은 접근을 입구에서 끊어냅니다.
방화벽을 건물의 출입 통제에 빗대면 이해하기 쉽습니다. 신분증을 확인하고 허가된 사람만 들여보내는 경비처럼, 방화벽은 모든 트래픽을 규칙과 대조해 통과 여부를 결정합니다. 규칙이 없는 트래픽은 기본적으로 막는 것이 안전한 설정의 원칙입니다. 일단 들여보낸 뒤 막는 것보다, 명시적으로 허용한 것만 통과시키는 편이 훨씬 견고하기 때문입니다.
방화벽이 판단하는 방식
방화벽은 기술이 발전하면서 트래픽을 들여다보는 깊이가 점점 깊어졌습니다. 얕게 볼수록 빠르고, 깊게 볼수록 정교하지만 부담이 커집니다.
패킷 필터링
가장 기본적인 형태로, 패킷의 출발지와 목적지 IP, 포트 번호만 보고 규칙과 대조해 통과 여부를 정합니다. 처리가 빠르고 부담이 적지만, 각 패킷을 따로따로 볼 뿐 그 패킷이 어떤 연결의 일부인지는 알지 못합니다. 맥락 없이 단편적으로 판단한다는 한계가 있습니다.
스테이트풀 검사
연결의 상태를 추적하는 한 단계 발전한 방식입니다. 이미 맺어진 연결에 속한 패킷인지, 아니면 새로 들어오는 요청인지를 구분해 판단합니다. 예를 들어 내부에서 먼저 시작한 통신에 대한 응답은 자동으로 허용하면서, 밖에서 아무런 맥락 없이 갑자기 들어오는 요청은 규칙으로 거릅니다. 연결의 흐름을 기억하므로 패킷 필터링보다 훨씬 똑똑하게 동작합니다.
차세대 방화벽
여기에 더해 애플리케이션 수준까지 트래픽을 해석하고, 침입 탐지 기능을 통합한 형태입니다. 단순히 포트 번호만 보는 게 아니라 그 트래픽이 어떤 애플리케이션의 것인지까지 식별합니다. 같은 포트를 쓰더라도 정상 트래픽인지 우회를 시도하는 트래픽인지 구분할 수 있어, 현대의 복잡한 위협에 대응합니다.
탐지와 차단의 차이: IDS와 IPS
방화벽이 경계에서 규칙으로 거른다면, IDS와 IPS는 그 경계를 통과한 트래픽 안에서 공격의 징후를 찾아냅니다. 방화벽이 출입 통제라면 이쪽은 내부를 순찰하는 경비에 가깝습니다.
IDS, 탐지에 집중
IDS(침입 탐지 시스템)는 트래픽을 관찰하다 의심스러운 패턴을 발견하면 경보를 울립니다. 직접 차단하지는 않고, 관리자에게 알리는 역할에 집중합니다. 실제 트래픽 경로 바깥에서 복사본을 들여다보는 식으로 배치되는 경우가 많아, 통신 흐름 자체에는 영향을 주지 않습니다. 무엇이 일어나고 있는지 파악하는 눈의 역할입니다.
IPS, 차단까지 수행
IPS(침입 방지 시스템)는 한 발 더 나아가 의심 트래픽을 실시간으로 막습니다. 트래픽이 지나가는 경로 위에 직접 놓여, 공격으로 판단되는 패킷을 즉시 떨어뜨립니다. 탐지에서 그치지 않고 능동적으로 개입한다는 점이 IDS와의 결정적 차이입니다. 다만 경로 위에 있는 만큼, 오판으로 정상 트래픽을 막으면 곧바로 서비스에 영향을 주므로 정확도가 중요합니다.
무엇을 기준으로 위협을 가려내나
IDS와 IPS가 공격을 판별하는 방법은 크게 두 갈래입니다. 하나는 알려진 공격의 특징을 미리 등록해두고 들어오는 트래픽과 대조하는 시그니처 기반 방식입니다. 이미 알려진 위협에는 정확하게 대응하지만, 등록되지 않은 새로운 공격은 놓칠 수 있습니다.
다른 하나는 평소의 정상 패턴을 학습해두고 거기서 크게 벗어나는 이상 행동을 잡아내는 이상 탐지 방식입니다. 미지의 공격까지 포착할 수 있다는 장점이 있지만, 정상적인 변화도 이상으로 오해하는 오탐이 늘기 쉽습니다. 두 방식은 서로의 약점을 보완하므로 실무에서는 함께 씁니다. 알려진 것은 시그니처로 빠르게 거르고, 낯선 것은 이상 탐지로 살피는 식입니다.
규칙은 단순할수록 안전하다
방화벽 규칙은 시간이 지나면 쌓이기 마련입니다. 임시로 열어둔 포트, 더는 쓰지 않는 서비스를 위한 허용 규칙이 정리되지 않은 채 남으면, 그 자체가 빈틈이 됩니다. 공격자는 바로 이런 잊힌 구멍을 노립니다. 그래서 규칙은 주기적으로 점검해 불필요한 것을 걷어내고, 가능한 한 단순하게 유지하는 것이 안전합니다.
규칙이 복잡할수록 어떤 트래픽이 왜 허용되는지 파악하기 어려워지고, 의도치 않은 통로가 생길 가능성도 커집니다. 명시적으로 허용한 것만 통과시키고 나머지는 모두 막는 기본 차단 원칙을 지키면서, 허용 규칙을 최소한으로 관리하는 것이 결국 가장 견고한 방화벽으로 이어집니다.
어디에 놓느냐에 따라 달라진다
같은 방화벽이라도 어디에 배치하느냐에 따라 역할이 달라집니다. 네트워크 경계에 두는 방화벽은 외부 인터넷과 내부망 사이를 지키며 큰 흐름을 거릅니다. 반면 내부 구역 사이에 두는 방화벽은 이미 들어온 트래픽이 구역을 넘나드는 것을 통제합니다. 외부 방어만 두텁고 내부가 무방비면, 한 번 뚫린 공격자가 내부를 자유롭게 휘젓게 됩니다.
최근에는 서버 한 대 한 대에 방화벽 기능을 붙이는 방식도 널리 쓰입니다. 각 자원이 자기를 지키는 규칙을 직접 갖는 셈이라, 내부 어디서든 허가되지 않은 통신은 차단됩니다. 경계 한 곳에 모든 것을 거는 대신, 보호 지점을 자원 가까이로 분산하는 흐름입니다. 이렇게 하면 내부에서 시작된 위협에도 대응할 수 있습니다.
경계는 한 겹이 아니다
견고한 보안은 방화벽 하나에 의존하지 않습니다. 단일 방어선은 그것이 뚫리는 순간 전부가 노출되기 때문입니다. 그래서 여러 겹의 방어를 쌓는 심층 방어가 원칙입니다.
외곽을 지키는 방화벽, 내부를 구역으로 나누는 세그먼트 분리, 자원마다 거는 접근 통제가 겹겹이 쌓이면, 한 겹이 뚫려도 다음 겹이 피해를 막아섭니다. 특히 네트워크를 여러 구역으로 나눠두면 공격자가 한 곳에 침입해도 다른 구역으로 옆걸음치며 번지는 것을 제한할 수 있습니다. 이러한 분할 전략의 효과는 Cloudflare Learning의 네트워크 분할 문서에서 사례와 함께 설명합니다.