방화벽이란?

방화벽은 조직의 이전에 설정된 보안 정책에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 필터링하는 네트워크 보안 디바이스입니다. 기본적으로 방화벽은 기본적으로 개인 내부 네트워크와 공용 인터넷 사이에 있는 장벽입니다. 방화벽의 주요 목적은 위협적이지 않은 트래픽은 허용하고 위험한 트래픽은 차단하는 것입니다.

전문가와 상담하기 2025 Gartner 보고서

방화벽의 정의 및 다양한 유형

방화벽의 역사

방화벽은 1980년대 후반부터 존재해 왔으며 컴퓨터 간에 전송되는 패킷 또는 바이트를 검사하기 위해 설정된 네트워크인 패킷 필터로 시작되었습니다. 패킷 필터링 방화벽은 오늘날에도 여전히 사용되고 있지만 방화벽은 수십 년 동안 기술이 발전함에 따라 먼 길을 왔습니다.

  • 1세대 바이러스
    • 1세대 1980년대 후반, 독립형 PC에 대한 바이러스 공격은 모든 비즈니스에 영향을 미쳤고 바이러스 백신 제품을 주도했습니다.
  • Gen 2 네트워크
    • 1990년대 중반의 2세대 인터넷 공격은 모든 비즈니스에 영향을 미쳤고 방화벽의 생성을 주도했습니다.
  • Gen 3 애플리케이션
    • 3세대, 2000년대 초반, 대부분의 비즈니스에 영향을 미치고 침입 방지 시스템(IPS) 제품(IPS)을 주도하는 애플리케이션의 취약성을 악용했습니다.
  • Gen 4 페이로드
    • 4세대, 약 2010년, 표적화된, 알려지지 않은, 회피적인, 다형성 공격의 증가로 대부분의 비즈니스에 영향을 미치고 안티봇 및 샌드박싱 제품을 주도했습니다.
  • 5세대 메가
    • 5세대, 약 2017년, 고급 공격 도구를 사용한 대규모, 다중 벡터, 메가 공격 및 고급 위협 차단 솔루션을 주도하고 있습니다.

1993년, 체크 포인트의 CEO인 Gil Shwed는 최초의 상태 저장 검사 방화벽인 FireWall-1을 도입했습니다. 27년이 지났지만 방화벽은 여전히 사이버 공격에 대한 조직의 첫 번째 방어선입니다. 차세대 방화벽 및 네트워크 방화벽을 포함한 오늘날의 방화벽은 다음과 같은 기본 제공 기능을 통해 다양한 기능을 지원합니다.

방화벽의 진화

방화벽이 보호하는 네트워크와 마찬가지로, 방화벽은 지난 10년 동안 상당한 변화를 겪어왔습니다. 초기 방화벽 도구조차 네트워크 보안에 필수적인 요소였으며, 1980년대에 처음 등장한 방화벽은 패킷 필터링 도구였습니다.

초기 개발: 패킷 필터링 방화벽

1980년대 후반에 도입된 1세대 방화벽은 단순한 패킷 필터링 방식을 사용했습니다. 이러한 도구는 네트워크 계층(OSI 계층 3)에서 데이터 패킷을 검사했고, IP 주소, 포트 및 프로토콜과 같은 매개변수를 통해 네트워크가 응답하는 패킷을 필터링했습니다. 그러나 상황 인식 부족과 개별 패킷에 대한 과도한 집중으로 인해 IP 조각화와 같은 복잡한 공격에 취약해졌습니다.

상태 기반 검사의 출현

1990년대에는 체크 포인트가 개척한 상태 기반 검사 방화벽이 등장했습니다. 이러한 2세대 방화벽은 연결 상태를 지속적으로 모니터링하여 패킷이 설정된 세션의 일부인지 확인했습니다. 이 개선으로 보안이 크게 강화되었습니다.

애플리케이션 계층 및 프록시 방화벽

애플리케이션 계층 방화벽과 프록시 방화벽은 거의 같은 시기에 등장했습니다. 전자는 계층 7에서 작동하며 애플리케이션별 데이터와 규칙 세트를 분석하고 적용할 수 있었습니다. 또한, 트래픽 요청을 기본 네트워크 아키텍처와 완전히 분리할 수 있는 기능을 자랑하며 보안성이 매우 뛰어났지만, 초기 모델은 처리 능력이 제한적이고 지연 시간이 길다는 단점이 있었습니다.

통합 위협 관리(UTM) 및 차세대 방화벽(NGFW)

2010년대에는 방화벽의 반응성과 안티바이러스, 침입 탐지 및 기타 엔터프라이즈 보안 시스템의 추가 데이터 포인트를 결합하려는 UTM 시스템이 등장했습니다. 차세대 방화벽(NGFW)은 심층 패킷 검사, 고급 위협 방지 및 애플리케이션 수준 필터링을 추가하여 이러한 통합 기능을 강화할 수 있었습니다.

현대적 적응: 클라우드 및 AI

오늘날 방화벽은 클라우드 환경과 컨테이너화된 애플리케이션에 맞춰 발전해 왔으며, 그 결과 서비스형 방화벽(FWaaS)이 등장했습니다. 교차 환경 데이터를 기반으로 하는 AI와 머신 러닝은 우수한 이상 탐지, 예측 위협 분석, 적응형 정책 적용을 위해 점점 더 많이 배포되고 있습니다.

정적 필터에서 지능적인 상황 인식 시스템에 이르기까지, 방화벽은 끊임없이 변화하는 위협 환경의 요구를 충족시키기 위해 지속적으로 발전해 왔습니다. 오늘날 방화벽을 매우 중요하게 만들어주는 모든 기능을 자세히 살펴보겠습니다.

다양한 유형의 방화벽

패킷 필터링

패킷 필터링은 방화벽에서 네트워크 간 데이터 흐름을 제어하는 데 사용되는 네트워크 보안 기술입니다. 들어오고 나가는 트래픽의 헤더를 미리 정의된 규칙에 따라 평가한 후 허용할지 차단할지 결정합니다.

방화벽 규칙은 방화벽 구성의 핵심적인 부분을 이루는 정확한 지침입니다. 소스 및 대상 IP 주소, 포트 및 통신 프로토콜과 같은 매개변수를 기반으로 트래픽이 허용되거나 차단되는 조건을 정의합니다. 엔터프라이즈 환경에서는 이러한 개별 규칙이 중첩되어 액세스 제어 목록(ACL)을 형성합니다. 방화벽은 트래픽을 처리할 때 각 패킷을 ACL 규칙에 대해 순차적으로 평가합니다. 패킷이 규칙과 일치하면 방화벽은 해당 작업(예: 트래픽 허용, 거부 또는 차단)을 적용하고 이후 규칙의 추가 평가 없이 해당 작업을 시행합니다. 이러한 체계적이고 방법론적인 접근 방식은 네트워크 접근을 엄격하게 통제하고 일관성을 유지하도록 보장합니다.

프록시 서비스

방화벽이 네트워크의 경계에 위치하기 때문에, 프록시 방화벽은 자연스럽게 단일 진입점으로 작용하기에 적합합니다. 이를 통해 각 연결의 유효성을 평가할 수 있습니다. 프록시 서비스 방화벽은 클라이언트 연결을 방화벽에서 종료하고 요청을 분석한 다음 내부 서버와 새로운 연결을 설정함으로써 내부와 외부를 완전히 분리합니다.

상태 기반 검사

상태 기반 패킷 검사는 데이터 패킷의 내용을 분석하고 방화벽을 이미 통과한 패킷에 대한 정보와 비교합니다.

상태를 기반으로 하지 않는 검사는 각 패킷을 개별적으로 분석하는 반면, 상태 기반 검사는 이전 디바이스 및 연결 데이터를 불러와 네트워크 트래픽 요청을 더 깊이 이해합니다. 이는 네트워크 데이터를 연속적인 스트림으로 보는 것과 더 비슷합니다. 활성 연결 목록을 유지하고 각 연결을 보다 거시적인 관점에서 평가함으로써, 상태 기반 방화벽은 장기적인 사용자 및 디바이스 프로필에 네트워크 동작을 할당할 수 있습니다.

웹 애플리케이션 방화벽

웹 애플리케이션 방화벽(WAF)은 특정 애플리케이션을 감싸고 해당 애플리케이션으로 전송되는 HTTP 요청을 검사합니다. 다른 유형의 방화벽과 마찬가지로, 미리 정의된 규칙을 적용하여 악성 트래픽을 탐지하고 차단합니다. 검토되는 구성 요소에는 헤더, 쿼리 문자열, HTTP 요청 본문 등이 포함되며, 이들은 모두 악성 활동의 징후에 영향을 줍니다. 위협이 식별되면 WAF는 의심스러운 요청을 차단하고 보안팀에 알립니다.

AI 기반 방화벽

방화벽은 본질적으로 강력한 분석 엔진이며, 머신 러닝 알고리즘을 구현하는 데 완벽합니다. 머신 러닝 알고리즘은 수동 방식보다 훨씬 더 많은 양의 데이터를 훨씬 빠르게 처리하고 분석할 수 있기 때문에, AI 기반 방화벽은 새로운(제로데이) 위협에 대응할 때 기존 방화벽보다 뛰어난 성능을 꾸준하게 보여왔습니다.

예를 들어, 방화벽 내에서 가장 일반적으로 구현되는 AI 중 하나는 사용자 및 엔드포인트 행동 분석(UEBA)입니다. 이 시스템은 전체 네트워크에서 과거 데이터를 취합하고, 각 사용자와 엔드포인트가 일반적으로 어떻게 상호 작용하는지를 설정합니다. 예를 들어, 어떤 리소스를 사용하는지, 언제 액세스하는지 등을 파악합니다.

고가용성 방화벽 및 하이퍼스케일, 복원력 있는 로드 셰어링 클러스터

고가용성(HA) 방화벽은 방화벽 장애 발생 시에도 네트워크 보호를 유지하도록 설계되었습니다. 이는 HA 클러스터링 형태의 이중화를 통해 달성됩니다. 즉, 여러 방화벽 피어가 함께 작동하여 중단 없는 보호 기능을 제공합니다. 디바이스 장애 발생 시 시스템은 자동으로 다른 디바이스로 전환되어 네트워크 보안을 원활하게 유지합니다. 전통적인 '고가용성' 설계를 넘어, 많은 조직은 이제 99.99999% 이상의 가동 시간과 최대 1,000Gbps의 네트워크 처리량을 보장하며 완전한 위협 차단 기능을 갖춘 초확장성 및 통신사급 복원력 방화벽 시스템을 필요로 합니다.  지능형 로드 셰어링 방화벽 설계는 방화벽 클러스터 전체에 네트워크 트래픽을 분산합니다. 예상치 못한 피크 트래픽 상황이 발생하거나 기타 사전 정의된 조건이 트리거되면 중요한 애플리케이션에 방화벽 리소스를 자동으로 재할당하고, 조건이 정상으로 돌아오면 해당 방화벽 리소스를 원래 그룹으로 다시 할당할 수 있습니다. 이를 통해 성능이 최적화되고 특정 디바이스가 과부하되는 것을 방지하며 모든 상황에서 최대 네트워크 성능을 보장합니다.

가상 방화벽

방화벽은 전통적으로 하드웨어 전용이었으며, ACL의 모든 규칙을 수동으로 하나씩 확인하려면 상당한 CPU 성능이 필요했습니다. 하지만 이제 방화벽 가상화 덕분에 그러한 처리 능력을 사실상 외부에 위탁할 수 있게 되었습니다. 가상 시스템은 내부 세분화를 지원합니다. 하나의 도구를 사용하여 여러 개의 세분화된 방화벽을 설정하고 모니터링할 수 있으며, 하위 방화벽이 자체 보안 정책과 구성을 갖출 수 있습니다.

가상 방화벽은 여러 가지 장점을 제공합니다. 예를 들어, 멀티테넌트 환경은 이러한 분할을 통해 이점을 얻을 수 있습니다. 또한 이를 통해 대규모 조직은 하나의 중앙 집중식 도구를 사용하여 보다 효율적인 방식으로 네트워크 세분화를 구현할 수 있습니다. 그 점을 제외하면 가상 방화벽은 하드웨어 기반 방화벽과 동일한 모든 기능을 제공할 수 있습니다.

클라우드 방화벽

가상화된 방화벽과 클라우드 방화벽을 혼동하는 경우가 흔하지만, 차이가 있습니다. 가상화된 방화벽은 기본 아키텍처를 설명하는 반면, 클라우드 방화벽은 보호하는 엔터프라이즈 자산을 의미합니다. 클라우드 방화벽은 조직의 공용 및 사설 클라우드 기반 네트워크를 보호하는 데 사용되는 방화벽입니다.

서비스형 방화벽(FWaaS)

클라우드 가상화 기술 덕분에 처리 능력을 원격으로 구매하고 사용할 수 있게 되면서 가상 방화벽이 가능해졌습니다. 이는 방화벽 아키텍처에 새로운 가능성을 열어주는데, 그중 하나가 서비스형 방화벽(FWaaS)입니다.

FWaaS는 다른 서비스형 소프트웨어(SaaS)와 마찬가지로 클라우드를 통해 배포되는 사전 구축된 방화벽 솔루션입니다. 모든 엔터프라이즈 트래픽이 사내 서버 룸을 통해 라우팅 및 분석되는 대신, FWaaS의 독특한 서비스는 글로벌 접속 지점을 갖는 경우가 많으며 이를 통해 더 지역적이고 지연 없는 방화벽 배포를 허용합니다.

관리형 방화벽

마지막으로, 방화벽을 갖추는 것은 좋지만, 이 도구는 지속적인 개선과 조정이 필요합니다. 이 내용은 곧 살펴보겠습니다. 일부 엔터프라이즈에서는 이러한 인적 요구가 소규모 사이버 보안 팀을 빠르게 압도할 수 있음을 발견합니다. 그래서 많은 엔터프라이즈가 위협, 이상 또는 비정상적인 트래픽 패턴을 지속적으로 모니터링하는 관리형 방화벽을 통해 트래픽을 라우팅하도록 선택합니다. 이러한 아웃소싱 방화벽은 공급업체의 고급 도구와 위협 인텔리전스를 활용할 수 있다는 장점도 있습니다.

방화벽 프로토콜의 중요성

기본적인 방화벽조차 모든 패킷의 출처, 목적지 및 사용된 프로토콜을 자세히 파악할 수 있습니다. 그러나 가시성만으로는 공격을 방지할 수 없습니다. 방화벽 규칙은 각 패킷에 대해 방화벽 도구가 어떻게 반응하는지를 결정합니다. 궁극적으로 패킷을 엔터프라이즈 네트워크로 통과시키거나 거부합니다.

이러한 규칙은 시스템에 대한 접근을 제어하여 네트워크 보안을 유지하는 데 필수적이며, 승인된 트래픽만 통과시키고 악의적이거나 원치 않는 데이터는 차단합니다. 시간을 절약하기 위해 시중에서 판매되는 대부분의 방화벽은 사전 구성된 규칙 세트를 제공합니다. 결국, 많은 위협은 업계나 직원의 특성에 관계없이 보편적입니다. 공격자가 공통적인 취약성을 찾기 위해 공개적으로 노출된 네트워크를 스캔할 수 있는 경우에 특히 그렇습니다. 최신 방화벽은 사전 구성된 규칙 집합으로 배포함으로써, 엔터프라이즈에 영향을 미칠 수 있는 잠재적 위협을 즉시 줄일 수 있습니다. 이는 배포에 큰 이점이며 관리자가 일반적으로 새 도구에 필요한 많은 설정을 수동으로 할 필요가 없게 됩니다. 이렇게 하면 오류가 줄어들고 업계 모범 사례를 준수할 수 있습니다.

방화벽이 필요한 이유는 무엇입니까?

방화벽, 특히 차세대 방화벽은 멀웨어 및 애플리케이션 계층 공격을 차단하는 데 중점을 둡니다. 침입 방지 시스템(IPS)과 통합된 이러한 차세대 방화벽은 전체 네트워크에서 공격을 신속하고 원활하게 탐지하고 대응할 수 있습니다. 방화벽은 이전에 설정된 정책에 따라 작동하여 네트워크를 더 잘 보호할 수 있으며, 멀웨어와 같은 침입적이거나 의심스러운 활동을 탐지하고 종료하기 위한 신속한 평가를 수행할 수 있습니다. 방화벽을 네트워크 보안에 활용하면 특정 정책을 설정하여 들어오고 나가는 트래픽을 허용하거나 차단할 수 있습니다.

방화벽 보안 모범 사례

방화벽은 설치 후 신경 쓰지 않아도 되는 솔루션이 아닙니다. 귀하의 조직이 직면하는 공격은 끊임없이 변화하고 있으며, 수동 규칙 업데이트에만 의존하는 방화벽은 똑같이 많은 시간과 주의가 필요합니다.

최소 권한 원칙에 따라 규칙 설정하기

효과적인 방화벽 규칙 관리의 기초는 최소 권한 원칙입니다. 기능적으로는 특정하고 필요한 비즈니스 기능을 수행하는 트래픽만 허용된다는 의미입니다. 이 원칙을 준수함으로써 향후 규칙 변경이 위험을 최소화하고 네트워크 트래픽에 대한 통제력을 강화하며 불필요한 네트워크 간 통신을 제한할 수 있습니다. 이를 규칙에 적용하려면 출발지와 목적지 IP 주소(또는 범위), 목적지 포트 같은 세부 사항이 항상 정의되어야 합니다. 이 때문에 'Any/Any'와 같은 지나치게 관대한 규칙은 모든 인바운드 및 아웃바운드 활동에 대해 명시적인 거부/허용 전략으로 대체되어야 합니다.

최신 문서 유지

사전 구성된 규칙이 변경 및 업데이트됨에 따라 명확하고 포괄적인 문서화가 필수적입니다. 네트워크 보안 팀의 구성원이라면 누구나 문서에 나와 있는 각 규칙의 목적을 쉽게 이해할 수 있어야 합니다. 최소한 규칙의 목적, 영향을 받는 서비스, 관련된 사용자 및 디바이스, 규칙 구현 날짜, 임시 규칙인 경우 만료 날짜, 그리고 규칙을 만든 분석가의 이름과 같은 세부 정보를 기록해야 합니다.

방화벽 자체를 보호하십시오

방화벽은 단순히 엔터프라이즈 보안의 중요한 요소일 뿐만 아니라 모든 네트워크 인프라 중 가장 공개적으로 노출된 부분입니다. 이로 인해 관리되지 않는 방화벽 자체가 위협이 됩니다. 방화벽을 보호하기 위해 몇 가지 핵심 모범 사례가 필수적입니다. telnet 및 SNMP와 같은 안전하지 않은 프로토콜은 완전히 비활성화되어야 하며 구성 및 로그 데이터베이스는 백업되어야 하고 네트워크 스캔으로부터 방화벽을 보호하기 위해 스텔스 규칙이 구현되어야 합니다. 마지막으로 방화벽 솔루션에 제공되는 업데이트를 정기적으로 확인해야 합니다.

규칙 및 네트워크를 해당 카테고리로 분류하기

엔터프라이즈 네트워크를 해당 보안 수준별로 구분하는 것은 네트워크 보안을 위한 또 다른 기본적인 모범 사례이며, 방화벽 규칙은 이러한 구분을 시행하는 데 매우 적합합니다. 관리를 간소화하려면 규칙의 기능이나 관련 특성에 따라 카테고리 또는 섹션으로 규칙을 정리하세요. 이 접근 방식을 사용하면 가장 효과적인 순서로 규칙을 구성하고 감독을 향상할 수 있습니다.

AI 기반 방화벽은 규칙 및 문서 자동화 기능을 점점 더 강화하고 있으며, 이러한 효율성의 비약적인 발전이 차세대 방화벽(NGFW)이 기존 모델을 대체하는 주요 이유입니다.

네트워크 계층 vs. 애플리케이션 계층 검사

네트워크 계층 또는 패킷 필터는 TCP/IP 프로토콜 스택의 비교적 낮은 수준에서 패킷을 검사하여 규칙 집합의 원본 및 대상이 IP(인터넷 프로토콜) 주소 및 포트를 기반으로 하는 설정된 규칙 집합과 일치하지 않는 한 패킷이 방화벽을 통과할 수 없도록 합니다. 네트워크 계층 검사를 수행하는 방화벽은 애플리케이션 계층 검사를 수행하는 유사한 디바이스보다 더 나은 성능을 발휘합니다. 단점은 원치 않는 애플리케이션 또는 멀웨어가 허용된 포트를 통과할 수 있다는 것입니다. 웹 프로토콜 HTTP 및 HTTPS, 포트 80 및 443을 통한 아웃바운드 인터넷 트래픽.

NAT 및 VPN의 중요성

방화벽은 NAT(Network Address Translation ) 및 VPN(가상 사설망)과 같은 기본 네트워크 수준 기능도 수행합니다. 네트워크 주소 변환은 RFC 1918에 정의된 대로 "개인 주소 범위"에 있을 수 있는 내부 클라이언트 또는 서버 IP 주소를 숨기거나 공용 IP 주소로 변환합니다. 보호된 디바이스의 주소를 숨기면 제한된 수의 IPv4 주소가 보존되며 IP 주소가 인터넷에서 숨겨지기 때문에 네트워크 정찰에 대한 방어가 됩니다.

마찬가지로 VPN(가상 사설망)은 인터넷을 통과하는 동안 패킷의 내용이 보호되는 터널 내의 공용 네트워크를 통해 사설망을 확장합니다. 이를 통해 사용자는 공유 또는 공용 네트워크를 통해 데이터를 안전하게 보내고 받을 수 있습니다.

차세대 방화벽과 그 이상

Next Generation Firewall은 TCP/IP 스택의 애플리케이션 수준에서 패킷을 검사하고 Skype 또는 Facebook과 같은 애플리케이션을 식별하고 애플리케이션 유형에 따라 보안 정책을 적용할 수 있습니다.

오늘날 UTM(Unified Threat Management) 디바이스 및 Next Generation Firewalls에는 멀웨어 및 위협을 탐지하고 방지하기 위한 침입 방지 시스템(IPS) 또는 Antivirus 와 같은 위협 차단 기술도 포함되어 있습니다. 이러한 디바이스에는 파일에서 위협을 탐지하는 샌드박싱 기술도 포함될 수 있습니다.

사이버 보안 환경이 계속 진화하고 공격이 더욱 정교해짐에 따라, 차세대 방화벽은 데이터 센터, 네트워크 또는 클라우드에 있든 관계없이 모든 조직의 보안 솔루션에서 필수적인 구성 요소로 남을 것입니다.

Protect your network using Check Point’s Check Point NGFW –  the most effective AI-powered firewalls, featuring the highest rated threat prevention, seamless scalability, and unified policy management.

Combining cutting-edge threat prevention, unparalleled performance, and streamlined efficiency, Check Point’s advanced capabilities include intelligent traffic inspection, seamless integration with cloud services, and in-depth incident automation. See for yourself how Check Point boasts effortless scalability and centralized policy management with a demo.

차세대 방화벽(NGFW)에 필요한 필수 기능에 대해 자세히 알아보려면 지금 바로 차세대 방화벽(NGFW) 구매 가이드를 다운로드하십시오.