[인터뷰] 인포시즈 정욱 이사 “방화벽 관련 사고 대부분은 Human Error”

[2022.09.06]

보안담당자, 평균 200여개 이상의 방화벽 운영…수동 입력 및 과다 오픈 등 문제 발생
방화벽 정책관리 솔루션 통한 효율적인 정책 수립과 운영, 그리고 자동화 요구 커져
방화벽 정책의 운영현황 파악, 최적화 위한 ‘분석/관리’, 방화벽 신청 ‘설계/적용’ 구분

[보안뉴스 김경애 기자] 코로나19로 인한 재택근무 활성화, 디지털 전환 추세, AI 기술 발전 및 활성화, 보안인력 수급 부족 등에 따라 보안에도 ‘자동화’ 바람이 불고 있다.

이러한 자동화 흐름은 시장의 판도를 바꾸며, 자동화를 적용한 관리 솔루션으로 시선이 이동하고 있다.

이러한 관리 솔루션 중에서도 기업에서 많이 사용하고 있는 방화벽을 효율적으로 관리해주는 방화벽 정책관리 솔루션에 관심이 모아지고 있다.

 

복잡다단해진 IT 환경과 수백개의 방화벽 사용을 위한 정책 설계와 적용은 보안담당자가 일일이 수동으로 하기엔 한계가 있다.

설정 오류로 보안이슈가 발생하는가 하면, 누구나 통과할 수 있는 과다 허용의 방화벽 정책 설정은 결국 보안사고로 이어진다.

 

이러한 문제 해결을 위해 등장한 방화벽 정책관리 솔루션은 복잡한 방화벽 사용을 효율적으로 설계 및 운영·관리해 준다.

이기종 방화벽 간의 보안정책을 통합 관리하거나 컴플라이언스 준수를 위한 정책을 설정 및 관리해줄 뿐만 아니라,

기존의 방화벽 기능의 한계를 자동화 기능으로 손쉽게 적용함으로써 효율성을 높여준다.

이와 관련 NxPortrait 총판사인 인포시즈 정욱 이사와의 인터뷰를 통해 방화벽 정책관리에 대해 들어봤다.

먼저 방화벽 정책관리에 대해 설명 부탁드립니다.
네트워크 방화벽은 각 기업들마다 자사 환경에 맞추어 정책을 생성/등록해 운영합니다.

이렇다보니 사용하는 기능과 정책 운영 방식이 각 회사마다 편차가 있으며, 운영자별로 방화벽 정책을 운영/관리하는 방식이 다를 수 있어요.

시간이 지나면 불가피하게 중복되거나 정리가 안된 정책이 존재하게 됩니다.

방화벽은 서비스에 직접적으로 관련되는 중요한 보안장비여서 이러한 정책에 대한 정리를 매우 보수적으로 진행할 수밖에 없는 한계가 있습니다.

이를 해결하기 위해서는 방화벽에 대한 정책을 세워야 하며, 효율적인 관리방안이 도출돼야 합니다.

그런 측면에서 방화벽 정책관리는 방화벽 정책의 운영(사용) 현황 파악과 불필요한 정책 확인, 최적화를 위한 정책의 ‘분석/관리’,

마지막으로 신규로 요청하는 방화벽 신청에 대한 ‘설계/적용’으로 크게 구분해 운영돼야 합니다.

방화벽 정책관리가 필요한 이유는 무엇인가요?
방화벽 관련 사고의 대부분은 장비 자체의 결함이 아닌 운영과정에서의 휴먼 에러(Human Error)에 의해 발생합니다.

일반적으로 기업의 규모에 따라 다르지만 적게는 10여개부터 금융권의 경우 평균 200여개 이상의 방화벽을 운영하고 있습니다.

반면, 수많은 방화벽에 대한 정책 및 운영관리는 소수 인원의 보안담당자가 일일이 수동으로 입력하고 과다 오픈 설정, 입력 오류 등 정책 설정부터 관리, 운영까지 모두 도맡아 문제가 발생하죠.

사고의 원인이 되는 Human Error를 줄이려면, 정책 설정과 수십 수백대의 방화벽 장비, 오랜기간 운영된 정책을 최적화해 정리하고, 자동으로 관리 운영해 효율성을 높여야 합니다.

또한, 최근 추세는 방화벽 정책 작업에 소요되는 시간과 인적 리소스에 대한 절감이 방화벽 운영/관리와 관련된 주요 요건으로 꼽히고 있습니다.

이를 위해서는 방화벽 정책관리와 같은 솔루션의 도움이 있어야 가능합니다.

방화벽 정책관리 솔루션 시장 현황에 대해 말씀해 주신다면?
방화벽 정책관리 솔루션은 2000년 초에 처음 출시됐으며, 국내의 경우 2011년부터 소개되기 시작했습니다.

초기 시장은 금융사를 중심으로 도입됐으며, 방화벽 정책시 ‘ANY 정책’ 등 과다허용 정책에 대한 분석기능을 중심으로 방화벽 정책 정리를 위해 도입되기 시작했습니다.

*ANY 정책: 보통 방화벽 정책 시 IP, 객체명 등을 넣어 차등해 방화벽을 오픈하는 반면, ‘ANY’를 넣을 경우 모두 오픈

2010년대 중반에는 방화벽 신청, 적용 이력을 시스템적으로 1년 이상 저장/관리해야 한다는 컴플라이언스 요건이 강화되며, 방화벽 정책 분석/신청관리 쪽으로 범위가 확대됐습니다.

이후 코로나 팬데믹으로 인해 재택근무가 활성화되고 IT 인력 수급이 어려워지면서 방화벽 정책관리의 자동화로 고객사의 관심과 요구조건이 확대되면서

현재는 금융, 기업 전반에서 관련 솔루션/기능에 대한 관심이 높아지고 있습니다.

현재 국내 방화벽 정책관리 솔루션 도입현황과 관련 보안수준은?
국내 방화벽 운영 관련 보안수준은 글로벌 대비 높은 수준이나, 방화벽 정책관리 솔루션 도입률은 매우 낮은 편입니다.

방화벽 정책관리 솔루션을 도입하는 곳은 금융권, 공공기관, 이동통신사, 게임사 등이 주를 이루고 있습니다.

방화벽 도입률은 높은데 방화벽 정책관리 솔루션 도입이 낮은 이유는 무엇인가요?
방화벽 정책관리 솔루션 시장이 기존에는 ‘정책 분석’ 기능 위주의 시장이었고 현재는 ‘자동화’ 기능 위주의 시장입니다.

정책 분석은 미사용 정책/객체, 중복 정책, 컴플라이언스 위배 정책, 과다허용 정책 등의 기능을 말하는데요.

이러한 정책 최적화 분석은 조치가 끝나고 나면 솔루션의 활용 범위가 적어지고,

일부 분석 데이터는 기존 방화벽 정책관리 솔루션을 사용하지 않아도 해결할 수 있어 그간 도입이 활성화되지 않았습니다.

방화벽 정책관리와 관련된 주요 보안이슈는 무엇인가요?
보안 이슈보다는 운영관리 효율성 이슈가 더 큽니다. 보안 통제/관리 요건이 점차 강화되면서 인적 리소스를 늘리는 것이 상대적으로 제한되다 보니

기존 업무의 효율성을 개선해 누락/지연 없이 관련 업무를 처리하는 것이 주요 이슈입니다.

예를 들어 2~3번 재신청을 해야 필요한 통신이 허용되는 케이스를 한번에 처리 가능하도록 한다거나,

방화벽 정책 신청 후 2~3일 소요되는 작업 완료 시간을 당일 바로 처리를 한다거나,

미사용 정책 등 불필요 정책에 대한 관리/정리 주기를 최소화하거나, 과다허용 정책에 대한 정비 프로세스를 개선하는 등

운영/관리 상의 효율성 이슈가 더 크며, 이를 통해 종합적으로 보안성 강화 효과를 기대할 수 있습니다.

기존 방화벽에도 방화벽 정책관리 기능이 일부 포함돼 있는데, 방화벽과 방화벽 정책관리 솔루션과의 가장 큰 차이점은 무엇인가요?
현재 방화벽의 자체 기능을 통해 미사용 정책, 객체와 중복 정책 분석 기능은 활용할 수 있습니다.

또한, SIEM과 같은 솔루션에서도 방화벽 로그 수집을 하기 때문에 추가 개발 시 일부 분석 데이터를 추출할 수 있습니다.

하지만 분석 기능 관점에서는 큰 차이가 있습니다.

컴플라이언스 위배 정책 분석과 과다허용 정책 분석기능을 기존 솔루션에서는 사용할 수 없습니다.

방화벽 정책관리 솔루션 사용이 증가하고 있는 가장 큰 이유입니다.

현재 기업은 자동화 요건이 중요하기 때문에 전문화된 방화벽 정책관리 솔루션에 대한 검토와 도입이 과거와 비교해 활발하게 진행되고 있는 상황입니다.

방화벽 정책관리와 관련해 기업에 당부하고 싶은 내용은 무엇인가요?
방화벽 정책관리는 솔루션을 도입했다고 해결되는 것이 아니고 정책관리 프로세스에 대한 정비와 개선이 필요합니다.

방화벽 정책관리 솔루션은 이를 가능하도록 한다고 보시면 될 것 같습니다.

한편, 방화벽 정책통합관리 솔루션(NxP) 파트너사인 지란지교에스앤씨는 솔루션의 도입 및 기술지원 역할을 담당하고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

기사바로가기

[인터뷰] 인포시즈 정욱 이사 “방화벽 관련 사고 대부분은 Human Error” (boannews.com)

 

  • Post author:
  • Post category:NEWS