고물이다 : 네트워크의 틀 자체가 방화벽과 안 어울리게 변화

현역이다 : 방화벽은 ‘다중 보안’의 가장 밑바탕이 되는 장치

[보안뉴스 문가용] 방화벽에 대한 의견이 첨예하게 갈리고 있다. 현대의 네트워크 환경에서 방화벽이란 전혀 어울리지 않는 방어책이라는 의견과 네트워크 환경의 변화는 표면에서 일어나는 것일뿐 그 본질은 그대로 유지될 수밖에 없기 때문에 방화벽은 언제나 유효할 것이라는 의견이 대립하고 있는 것이다. 양측의 의견을 모두 듣기 위해 수카사(Sookasa)의 CEO인 아사프 시돈(Asaf Cidon)과 파이어몬(Firemon)의 CEO인 조디 브라질(Jody Brazil)을 한 자리에 모셔보았다.

보안뉴스 : 방화벽이 더 이상 유효하지 않다고 하시는 시돈 대표님은 왜 그렇게 주장하시는 건지요?

아사프 시돈 : 현대의 네트워크는 한 공간에 집약되어 있지 않습니다. 다양한 공간과 시간 속에 여기 저기 퍼져있는 이들이 모바일 기기 등으로 클라우드에 연결되어 있는 형태가 오늘날의 네트워크입니다. 이런 환경에서 기업 내 모든 정보를 보호할 수 있는 방법은 어느 한 군데 방화벽을 설치하는 게 아니라 사용자들의 기기 하나하나와 그 기기들이 접속하는 클라우드 애플리케이션을 강화하는 겁니다. 이제 더 이상 우리가 여태까지 알아왔던 네트워크라는 환경 안에 기업 정보가 갇혀있는 시대가 아니라는 겁니다.

조디 브라질 : 네트워크의 진화가 한창 이루어지고 있는 건 사실입니다. 그에 따라 전통의 개념에서 우리가 알고 있는 네트워크의 형태도 많이 변했음도 사실입니다. 모바일 기술, 가상화가 여기에 많이 작용했고, 이런 식의 발전 때문에 정보를 보호하는 방법 역시 변화된 길을 걸어가야 합니다. 그리고 현재까지 알려진 가장 좋은 방법은 멀티레이어, 즉 다중의 보안장치를 설치하는 겁니다. 그리고 다층 혹은 다중의 보안이라는 개념에 있어 방화벽은 가장 밑바닥에서 든든히 보안 전체를 받쳐주는 머릿돌 같은 존재가 됩니다.

아사프 시돈 : 전 그게 그냥 관성적인 생각이라고 봅니다. 우린 간단히 말해 너무 오랫동안 방화벽을 사용해왔어요. 익숙해 진거지. 1980년대부터 사용해온 거니까 그럴 수밖에 없습니다. 게다가 방화벽 만드는 거나 설치가 간단히 되는 것도 아니죠. 어마어마한 땀을 쏟아야 합니다. 그러니 정말 귀하고 귀한 존재가 된 거에요. 즉, 오늘날의 네트워크 환경에서 방화벽에 의존하는 건 우리가 여태까지 쏟아온 노력들에 대한 보상심리도 끼어든 것입니다.

방화벽이 가장 든든한 머릿돌이 되어주는 네트워크 환경을 보세요. 해커들은 항상 비집고 들어올 틈을 찾아냅니다. 방화벽에서부터 이제 독립해 나와야 할 때라는 주장에 이보다 더 확실한 증거는 없습니다.

조디 브라질 : 방화벽의 잘못된 사용과 관리에 의해 생기는 문제들이 있을 수는 있습니다만, 그게 방화벽의 존재 자체를 부정하는 건 아니라고 봅니다. 말씀 드렸다시피 방화벽은 다중의 보안이란 개념에서 일부를 차지하고 있을 뿐 전부가 아닙니다. 즉 전체 보안 강구책에서 중요한 일부라는 것이지 방화벽 하나가 슈퍼맨 같은 능력을 부릴 수 있는 게 아니라는 거죠.

예를 들자면 암호화 기술과 함께 맞물렸을 때 방화벽은 더 빛을 발하고, 암호화도 더 강력해지도록 만들어주죠. 암호만으로 모든 정보를 보호하겠다는 생각, 요즘 안 하잖아요? 효과도 없고요. 방화벽도 마찬가지입니다. 암호라는 시스템이 지문 인증 시스템이나 캡차 등의 기술과 맞물렸을 때 훨씬 강력해지듯, 방화벽도 그렇게 될 수 있는 존재입니다.

아사프 시돈 : 관리로 될 문제가 아니라는 거죠. 요즘 사람들은 일의 효율을 높이기 위해서 별별 수단을 다 동원합니다. 회사 컴퓨터로 작업하다가 중간까지만 마친 파일을 드롭박스에 올려놓고 집에 갑니다. 그리고 집 소파에 앉아서 탭을 열고 다시 드롭박스에 접속합니다. 그리고 일을 마치고 다시 드롭박스에 올려놓고 다음날 회사에 가서 보고서로 만듭니다.

이걸 대체로 누구나 다 하고 있다고 상상해보세요. 이런 활동들을 일일이 파악하기도 힘이 듭니다. 물리적으로 불가능해지죠. 추적은 더 말할 것도 없고요. 즉 기업의 정보가 아무도 모르는 곳에 암호화도 되지 않은 채 여기저기 널려 있는 거에요. 그게 딱 요즘 기업과 정보의 관계입니다. 이건 관리로 어떻게 해볼 수 있는 영역이 아닙니다.

조디 브라질 : 2015년 PCI 컴플라이언스 보고서를 보면 정보유출 사고를 겪은 기업들 중 73%가 PCI DSS의 정책을 지키지 않은 것으로 나타났습니다. 그리고 그건 방화벽 관리와 관련되어 있는 정책이었죠. 즉 방화벽 관리가 제대로 되어 있지 않은 것만으로 그 많은 사고가 일어난 겁니다. 이 말은 바꿔 말해서 방화벽 관리가 실제 현장에서 얼마나 중요한 영향력을 가지는지 보여주는 자료라고 봅니다.

방화벽의 존재 의의는 접근을 제어한다는 것에 있습니다. 정말 필요한 사람에게 필요한 정보만을 허가하는 게 바로 방화벽이죠. 이 본질은 네트워크 형태가 어떻게 변하든 그대로 남아있을 겁니다. 그러므로 방화벽 관리를 잘 한다는 건 네트워크로의 접근 경로를 줄인다는 것이고 이는 곧 공격의 방법들을 줄인다는 겁니다. 까다로운 문지기가 되어 데이터가 안전하게 머무르는 집을 만드는 게 방화벽의 역할이라는 것이죠.

보안뉴스 : 두 분 말씀이 모두 일리가 있어 이야기가 끝이 나지 않을 듯 합니다. 그렇다면 각자의 관점에서 현대의 네트워크를 가장 잘 보호할 수 있는 방법은 뭐라고 보시나요?

아사프 시돈 : 방화벽 너머를 볼 줄 알아야 한다고 봅니다. 차세대 방화벽이라고 불리는 것들도 마찬가지에요. 물론 최신 방화벽의 기능이 좋아진 건 사실입니다. 어느 정도 데이터를 보호하는 데 유효한 도움을 줄 수도 있습니다. 하지만 방화벽은 결국 생산성을 최고의 가치로 여기는 사람과 충돌할 수밖에 없는 존재입니다. 사용자 하기에 따라서 그 보안의 기능이 천차만별이라는 겁니다. 이전에 기대왔던 고마운 존재에 타성적으로 기대지 말아야 한다는 뜻입니다.

이제 그런 고마운 방화벽을 좀 은퇴시키고 일반 대중들이 사용하는 클라우드와 모바일 기기들에 대한 보안을 더 강력하게 할 수 있는 솔루션을 고안해야 할 때입니다. 방화벽의 모든 걸 부정하는 게 아니에요. 이제 그걸 넘어설 때가 되었다는 것이죠.

조디 브라질 : 하지만 현장에서는 방화벽에 대한 의존도가 높아만 지고 있습니다. 2014년 파이어몬스테이트(FireMon State)에서 발간한 보고서에 따르면 95%의 응답자가 ‘방화벽은 여전히 중요하다’고 답했으며 88%의 응답자는 ‘차세대 방화벽을 설치했다’고 했습니다. 저는 오히려 방화벽을 더 깊고 넓게 활용할 줄 알아야 하는 게 더 강력한 보안의 첫 걸음이라고 봅니다. 누누이 강조하지만 방화벽은 다른 보안 요소와 맞물렸을 때 더 강력해지니까요.

아사프 시돈 : 보안을 ‘덧대는 것’으로 여기는 기본 관념부터 고쳐야 합니다. 왜 사용자들이 위험하다고 해도 드롭박스를 사용할까요? 편해서입니다. 복잡하면 안 써요, 사람들이. 아주 간단합니다. 결국 가장 안전한 세상은 사람들이 안전을 꾀하게끔 하는 세상인데, 이런 세상을 만들려면 보안도 편해야 한다는 겁니다. 아니, 심지어 자기가 뭔가를 보호한다는 것도 모르도록 해야 해요. 즉 하던 대로 업무를 진행했을 뿐인데 이전보다 안전하더라, 라는 느낌만을 주도록 하는 것이죠. 보안은 최대한 간단하고 편하며 친절해야 합니다. 그게 많은 사람을 동원하는 길이고, 많은 사람들이 안전해야 세상이 안전한 겁니다.

조디 브라질 : 거기엔 동의합니다. 결국 방화벽이란 것도 여러 층위의 보안 방책의 일부로서 녹아들어야 합니다. 그게 차세대 방화벽의 과제이겠죠. 기업들의 보안 모델이 계속해서 진화해가고 있고, 성숙해져가고 있습니다. 그리고 그 가운데 보안이 해야 할 일은 ‘정확한 사람에게 딱 맞는 정도의 정보만’을 허락하는 겁니다. 이건 변하지 않을 겁니다. 그게 바로 방화벽의 역할이고요. 다만 이것이 사용자 입장에서 ‘쉽고 간단하게’ 이루어지면 더 좋겠죠. 아마 ‘쉽고 강력한 보안’에 대해서는 방화벽을 반대하는 입장에서도 동의할 겁니다. ‘방화벽이 있으면 쉽고 강력하게 되지 않는다’는 생각과 ‘방화벽을 가져가도 쉽게 할 수 있고 더 강력하게 할 수 있다’는 생각의 차이가 존재하긴 하겠죠.

아사프 시돈 : 지금으로선 정답이 없는 문제라고 보입니다. 결국 정보의 관리를 쉽고 효과적으로 해주는 게 관건인 건데 ‘쉽다’와 ‘효과적’이라는 개념부터가 각자의 가치관에 따라 달라지고요.

조디 브라질 : 동의합니다. 방화벽의 필요에 대해 반대하든 찬성하든 결국 반대를 위한 반대, 찬성을 위한 찬성만 하지 않는다면 상호보완의 효과가 생기지 않을까요.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>