[GSC 2012] 차세대 방화벽을 통한 게임업체 보안 인프라 - 팔로알토 이창빈 부장

2012년 4월 4일, 서울 삼성동 그랜드인터컨티넨탈 호텔에서 '제 1회 게임 보안 컨퍼런스(이하 GSC 2012)'가 열렸다. 최근 게임업체들의 보안 관련 관심도가 높아지고 있는 가운데 열린 이번 컨퍼런스는 동아닷컴이 주최, 게임동아가 주관하고, 안철수 연구소, 팔로알토(Palo Alto) 네트웍스, VMware, 소프트포럼, 한국 맥아피, 싸이버원, RSA 시큐리티, 한국 주니퍼 네트웍스 등 유명 보안 솔루션 회사와 넥슨, 엔씨소프트, NHN, 네오위즈게임즈 등 국내 유명 게임업체 보안 담당자 100여 명이 참석해 높은 관심을 드러냈다.

오전 9시부터 시작한 이번 행사는 경찰청, 팔로 알토, VMware, 소프트 포럼이 각각의 주제를 가지고 게임업체 담당자들 앞에서 공통세션을 진행했으며, 오후에는 온라인 게임과 모바일 게임으로 나뉜 트랙세션으로 진행했다. 특히, 8개 게임업체를 선정해 보안 업체가 1:1로 보안 관련 컨설팅을 진행하고, 최고의 보안 컨설팅 업체를 선정하는 ‘나는 보안이다’라는 스페셜 프로그램은, 게임사와 보안 업체가 서로 윈윈할 수 있는 좋은 계기가 되었다는 평가다.

GSC 2012의 두번째 공통세션에는 팔로 알토의 이창빈 부장이 나섰다. 그는 자사가 직접 개발한 차세대 방화벽에 대해서 설명했다.

차세대 방화벽을 통한 게임업체 보안 인프라

이 부장이 몸담고 있는 팔로 알토는 2005년 미국에서 설립됐으며, 2011년 4월 한국에 진출한 방화벽 서비스 업체다. 최근 팔로 알토는 ‘차세대 방화벽(The next generation securith solution)’을 세계 최초로 개발했는데, 이 차세대 방화벽이라는 단어는 시장조사업체 가트너에서 보안 업체의 다양한 솔루션을 검토한 이후, 자사의 방화벽을 보고 ‘새로운 개념의 방화벽’이라는 뜻으로 표기하면서 널리 알려지게 되었다고 한다.

이 부장은 “방화벽은 네트워크 보안의 중심이다. 제대로된 방화벽을 사용하면 모든 트래픽(traffic, 네트워크에서 흐르는 데이터의 양을 뜻한다)을 모니터링할 수 있다. 그런데 방화벽보다 프로그램의 발전이 빨라지면서, 이제는 일반 네트워크 방화벽을 사용하면 약 80% 이상의 프로그램을 감지하지 못한다. 예를 들어 유튜브나 구글톡, 네이트온, 페이스북, 판도라TV 등 다양한 프로그램을 제대로 탐지하지 못한다. 네트워크 보안은 이러한 프로그램이 사용하는 트래픽 정보를 제대로 알아야 할 수 있다”라며, “물론 몇몇 프로그램은 IPS나 웹 필터링 솔루션에서 차단되긴 하지만, 대다수의 암호화 통신을 사용하는 프로그램은 ISP에서 인식할 수 없다”라고 말했다.

그는 “차세대 방화벽을 사용하면 모든 프로그램을 모니터링할 수 있기 때문에 프로그램, 서비스, 그리고 해킹 공격 등을 미리 차단할 수 있다. 네이트온을 예로 들어보자. 네이트온 실행 유/무를 결정할 수 있다. 그리고 실행은 하되 실시간 채팅은 할 수 있으나, 원격제어는 못하게 하는 등의 제어도 할 수 있다”라고 설명했다.

참고로 가트너가 밝힌 차세대 방화벽은 기준은 다음과 같다.

1. 포트 기반이 아닌 프로그램을 식별 : 모든 포트에 대해 프로토콜, 암호화(SSL 또는 SSH), 우회 기술 등과 상관 없이 해당 프로그램을 정확하게 식별해야 한다.

1. IP 주소 기반이 아닌 사용자를 식별 : 각 PC마다 다른 IP 주소를 통해 사용자를 식별하는 것이 아니라, 나름의 사용자 인식 방법이 있어야 한다는 뜻이다. PC를 사용하는 사람이 다를 수도 있기 때문이다.

3. 실시간 콘텐츠 검사 : 프로그램을 통해 유입되는 악성코드, 위협 등을 실시간으로 방어해야 한다.

4. 손쉽고 간편한 정책 관리 : 사용하기 쉬운 사용자 인터페이스 툴로 안전하게 프로그램을 사용할 수 있으며, 이들을 통합 정책과 연동할 수 있어야 한다.

5. 논리적 경계 설정 : 물리적인 경계를 논리적인 경계로 확장해 출장 중이거나 재택근무하는 사용자들을 포함한 모든 사용자를 안전하게 보호해야 한다.

6. 멀티 기가비트의 처리 능력 : 지연율을 줄이고 모든 서비스를 사용할 수 있도록 하면서 멀티 기가비트의 성능을 제공해야 한다.

이어서 그는 자사의 차세대 방화벽 솔루션에 대해 설명했다. “자사의 차세대 방화벽은 모든 트래픽 정보를 알아낼 수 있다. 그리고 프로그램을 선정해 사용할 수 있도록 제어할 수 있다. 그리고 3가지 특화 기술이 있다. APP-ID, USER-ID, Content-ID이다. 이 3가지 기술을 통해 가트너가 언급한 차세대 방화벽의 기준을 통과할 수 있었다”라고 자신감을 보였다.

APP-ID는 Application-ID의 줄임말로, 사용되고 있는 프로그램을 탐지하는 기능이다. 현재 팔로 알토의 차세대 방화벽은 5개의 대분류와 25개의 소분류를 통해 2012년 3월 현재 1,451개의 프로그램을 실시간으로 감지할 수 있다. 국내에서 많이 사용하는 프로그램도 약 50여 개 정도가 포함되어 있다. 그리고 매주 업데이트를 통해 계속해서 감지할 수 있는 프로그램의 수는 늘어나고 있다.

USER-ID는 사용자 인식 기능이다. IP 주소에 종속하지 않은 정책 및 제어 기능으로 인증 서버(AD, LDAP 등)을 이용해 사용자 정보를 연동하는 것이다.

Content-ID는 실시간으로 네트워크를 위협하는(attack, scanm sptware, virus, bot 등) 활동을 감시할 수 있는 기능이다. 그리고 파일 타입분석 기법(Magic Nember)을 이용해 파일 업로드/다운로드 등을 제어할 수 있다.

마지막으로 그는 “가트너는 방화벽 제품 평가를 매년 해오고 있다. 아래 그림처럼 발표를 하는데, Leader(지도자), challenger(도전자), visionaries(공상가), niche player(틈새 시장 기업인) 총 4가지로 업체를 구분한다. 이 발표에 따르면 2009년과 2010년 쥬니퍼 네트웍스(Juniper Networks)와 체크포인트 소프트웨어(Check Point Software)가 지도자 자리에 위치해 있었다. 팔로 알토는 2010년 처음 시장에 나서 공상가 자리에 위치했다가, 2011년 체크포인트 소프트웨어와 함께 지도자 자리에 올랐다. 앞으로도 팔로 알토를 지켜봐 주길 바란다”라고 설명을 마쳤다.

글 / IT동아 권명관(tornadosn@itdonga.com)