6가지 주요 방화벽 위협 & 취약성 및 이를 완화하는 방법
방화벽은 기업의 내부 디바이스와 공용 인터넷 사이에 위치하여 그 사이를 오가는 모든 연결을 모니터링합니다. 이를 통해 엔드포인트에서 요청하는 정보에 대한 전례 없는 가시성과 제어가 가능합니다. 하지만 기업 네트워크에서 가장 멀리 떨어져 있는 보안 도구인 만큼 유해한 방화벽 위협과 취약성에 고유하게 노출되어 있기도 합니다.
주요 방화벽 위협 & 도전 과제
방화벽 제한을 악용할 수 있는 가장 일반적인 방화벽 위협은 다음과 같습니다.
#1. 내부자 위협
엔터프라이즈 방화벽의 주요 단점 중 하나는 내부자 위협에 대응하지 못한다는 점입니다.
이는 조직 내에서 신뢰할 수 있는 개인이 고의 또는 실수로 액세스 권한을 오용할 때 발생합니다. 방화벽은 일반적으로 사전 정의된 외부-내부 트래픽 규칙에 따라 작동하기 때문에 인증된 사용자의 측면 이동이나 의심스러운 활동을 모니터링할 수 있는 기능이 부족합니다.
#2. DDoS 공격
분산 서비스 거부(DDoS) 공격은 서비스 중단을 목적으로 네트워크를 과도한 트래픽으로 가득 채우는 공격입니다. 방화벽은 알려진 악성 IP의 트래픽을 차단할 수 있지만, 공격자가 다른 디바이스에서 요청을 배포하면 쉽게 우회할 수 있습니다.
최신 DDoS 공격은 종종 봇넷과 스푸핑된 IP 주소를 활용하여 방화벽 필터링 메커니즘을 우회합니다.
#3. 암호화된 트래픽
TLS와 같은 암호화 프로토콜은 점점 더 공용 네트워크의 중심이 되고 있습니다. 하지만 기존 방화벽이 패킷에 악성 페이로드가 있는지 검사하는 것을 계속 방해하고 있습니다. 많은 엔터프라이즈 방화벽은 높은 계산 오버헤드 때문에 강력한 SSL/TLS 복호화 기능을 제공하지 않습니다.
이러한 제한으로 인해 다음과 같은 전용 도구를 사용해야 합니다:
- SSL 복호화 프록시
- 인라인 복호화 어플라이언스
(이 모든 것이 엔터프라이즈 네트워크에 지연 시간을 증가시킬 수 있습니다.)
이러한 제한은 방화벽의 원초적인 보안 이점을 부정하는 것이 아니라 오늘날의 공격 표면의 한 측면일 뿐입니다.
핵심 방화벽 취약성
방화벽의 본질적인 한계뿐만 아니라 다른 비즈니스 펌웨어와 마찬가지로 방화벽도 악의적인 공격자에게 악용될 수 있다는 점을 염두에 두어야 합니다. 앞의 세 가지 위협은 방화벽의 사각지대인 반면, 다음 취약점은 방화벽 어플라이언스 자체를 대상으로 합니다.
공격자가 악용할 수 있는 설계, 구성 또는 구현의 결함에 중점을 둡니다.
#4. 명령 인젝션 취약성
이러한 유형의 취약성은 방화벽의 고유한 사용자 지정 기능을 이용합니다. 공격자는 합법적인 설정 변경이 아닌 명령 인젝션을 통해 정상적으로 보이는 입력에 운영 체제 수준의 명령을 숨길 수 있습니다. 방화벽이 조직 네트워크의 최전선에 있다는 사실은 이를 더욱 어렵게 만듭니다:
- 공용 인터넷에 가장 많이 노출되는 디바이스입니다.
- 보안 가시성을 확보하기 가장 어려운 부분
계정 권한으로 임의의 제3자가 명령을 보낼 위험을 줄일 수 있습니다. 높은 권한의 관리자 계정만 변경 사항을 실행할 수 있어야 합니다. 그렇기 때문에 인증을 우회하여 루트 액세스로 바로 건너뛰는 명령 인젝션 취약점은 매우 위험합니다.
루트 액세스 명령어 삽입을 통해 관리자 계정에 로그인하지 않은 상태에서도 누구나 코드를 실행할 수 있습니다.
#5. 로그에 저장된 클리어 텍스트 자격 증명
방화벽은 사용자를 인증하기 때문에 자격 증명과 정기적으로 상호 작용합니다. 방화벽은 네트워크의 가장자리에 위치하기 때문에 보호하기가 매우 어려울 수 있다고 말씀드린 것을 기억하시나요?
로그는 방화벽이 어떤 결정과 규칙에 따라 작동하는지 모니터링하는 방법입니다.
이러한 로그는 기업의 나머지 보안 노력에 유용하지만, 인증 인스턴스를 포함하여 관리자가 수행하는 모든 작업도 모니터링합니다. 형식이 잘못 지정되면 방화벽 로그 데이터에 비밀번호가 포함될 수 있습니다.
다른 취약점이나 내부자 액세스를 통해 로그 파일에 액세스하는 공격자는 이러한 자격 증명을 검색하여 공격을 확대하거나 침해를 시작할 수 있습니다.
#6. 서비스 거부
방화벽은 디바이스의 인터넷 연결을 처리하기 때문에 서비스 거부 공격의 표적이 됩니다. 이는 최근 Cisco 소프트웨어의 서비스 거부 취약성인 CVE-2024-20353에서 발견되었습니다.
이 결함은 Cisco ASA 및 FTD의 웹 서버 구성 요소가 특정 조작된 네트워크 패킷을 부적절하게 처리하는 데서 비롯됩니다. 이러한 구성 요소는 VPN 연결 및 관리 인터페이스 트래픽 처리를 담당합니다. 이 문제를 통해 공격자는 다음을 수행할 수 있습니다:
- 특수 제작된 패킷을 다음 서버로 전송합니다.
- 이렇게 하면 영향을 받는 디바이스가 예기치 않게 강제로 다시 시작되는 오류가 발생합니다.
VPN 재부팅하는 동안 디바이스에서 제공하는 연결, 방화벽 및 기타 중요한 서비스가 중단되어 사용자에게 영향을 미치고 이러한 시스템에 의존하는 기업의 다운타임을 유발합니다.
방화벽 보안을 위한 4가지 모범 사례
방화벽을 잘 유지 관리하려면 많은 시간과 노력이 필요할 수 있습니다. 그러나 보안 침해로 인한 비용과 노력은 훨씬 더 높습니다. 그렇기 때문에 모범 사례를 활용하여 제대로 작동하는 방화벽을 구축하면 보다 효율적으로 관리할 수 있습니다.
#1: 규칙을 엄격하게 조정
방화벽 규칙을 엄격하게 조정하려면 최소 권한 원칙 (PoLP)을 엄격하게 준수하는 액세스 정책을 만들고 시행해야 합니다. 즉, 필요한 트래픽만 허용하고 다른 모든 연결은 기본적으로 차단하는 규칙을 정의해야 합니다.
지나치게 허용적인 규칙이나 사용하지 않는 구성은 공격 벡터가 될 수 있습니다.
이러한 규칙을 정기적으로 감사하고 최적화하면 현재 네트워크 아키텍처 및 운영 요구 사항과 관련성을 유지할 수 있습니다.
#2번: 안전한 업데이트
방화벽 소프트웨어 및 관련 도구를 최신 상태로 유지하는 것은 취약성을 해결하고 기능을 개선하는 데 매우 중요합니다. 패치가 푸시되는 이유를 주시하세요. 취약한 게시물을 따르는 경우 가능한 한 빨리 업데이트하고 도구와 연관되어 방화벽에서 처리되는 모든 사용자 이름, 비밀번호 및 API 키를 교체하는것이 중요합니다.
이렇게 하면 취약성 기간 동안 잠재적으로 노출된 모든 자격 증명을 더 이상 사용할 수 없게 됩니다.
즉각적인 업데이트가 불가능한 환경의 경우 관리자는 방화벽에 대한 액세스를 제한하여 권한이 있는 사용자, 호스트 또는 네트워크에 대한 노출을 제한해야 합니다.
#3: 업데이트 확인
중요한 취약점이 확인되면 방어자와 공격자 간의 경쟁이 시작됩니다:
- 위협 행위자가 취약성 공개를 모니터링합니다.
- 위협 행위자들이 빠르게 개념 증명(PoC) 익스플로잇 코드를 개발합니다.
- 위협 행위자는 패치가 적용되지 않은 시스템에 대해 이를 사용합니다.
특히 제로데이 취약성에 대한 보안 패치가 출시되는 즉시 적용하는 것을 우선시해야 합니다.
패치 적용 후 관리자는 PoC를 사용하여 패치 또는 완화 조치가 효과적인지 테스트하고 검증하여 방화벽 및 기타 구성 요소가 보호되는지 확인해야 합니다.
#4: 침투 테스트 수행
침투 테스트는 방화벽 보안의 필수적인 부분입니다. 정기적인 펜 테스트는 식별에 도움이 됩니다:
- 방화벽 구성의 취약점
- 패치되지 않은 취약성
- 규칙 집행의 잠재적 공백
보안팀은 실제 공격을 시뮬레이션하여 방화벽이 특정 위협을 얼마나 잘 방어하는지 평가하고 실행 가능한 인사이트를 제공하여 전반적인 보안 태세를 강화할 수 있습니다. 펜 테스트와 다른 모범 사례를 결합하면 공격자가 문제를 악용하기 전에 선제적으로 문제를 발견하고 해결할 수 있습니다.
체크 포인트 포스로 DDoS, 내부자 위협 및 암호화로부터 보호하세요.
체크포인트는 액세스 가능한 통합 네트워크 정책 관리 플랫폼을 기반으로 높은 처리량의 방화벽을 제공합니다. 실시간 위협 가시성, 대규모 이벤트 로깅, 자동화된 보고 기능을 통해 방화벽, 애플리케이션, 사용자, 워크로드에 대한 감독을 간소화하여 보안 운영을 강화할 수 있도록 설계되었습니다.
방화벽 소프트웨어와 하드웨어 어플라이언스로 모두 제공되는 이 제품은 다용도로 사용할 수 있어 현재 시장에서 가장 적응력이 뛰어난 차세대 방화벽 중 하나입니다.
온프레미스 및 퍼블릭/프라이빗 클라우드 환경을 모두 지원하는 체크포인트는 다음과 같은 혜택을 제공합니다:
- 워크플로 및 API를 위한 고급 자동화
- 디바이스 컴플라이언스 점검
- 자동화된 위협 차단을 위한 사전 구성된 템플릿
여기에 다양한 처리량 및 성능 요구 사항에 맞는 10가지 어플라이언스 옵션을 제공하는 체크포인트 포스 시리즈의 다목적성이 더해져 체크포인트는 모든 환경에 맞는 솔루션을 제공합니다.
