PC방화벽
PC방화벽은 개인용 PC의 보안 위협을 제거하기 위해 네트워크 서비스 제어 및 실행 프로그램 제어를 하기 위한 제품 및 기술 표준을 다룬다.
4.1.1. PC방화벽 개요
4.1.1.1. PC방화벽 정의
PC방화벽이란 악의적인 행위를 방지하기 위한 개인용 PC전용의 소프트웨어 방화벽으로 개인용 방화벽이라고도 불린다.
PC방화벽 정의
참조: I-Defense
4.1.1.2. PC방화벽의 필요성 구분 필요성 네트워크 주체의 변화 • 기존의 네트워크는 한 조직에서 로컬 네트워크를 구성하고 거기에 인터넷 전용선을 연결하는 구조로, 한 네트워크의 주체는 동질성을 띤 구성원들로 이루어진 조직이었지만, 개인용 초고속 인터넷 환경이 보급되면서 네트워크의 주체가 조직에서 개인으로 바뀌고 있으며, 네트워크의 구성도 이질적인 구성원들로 이루어지고 있고, 개인용 PC를 이용하여 다양한 전자상거래 및 관련 중요 문서들을 보관하고 있어 최근에는 개인용PC를 대상으로 하는 침해사고가 빈번히 발생 기존 네트워크단위 방화벽의 한계점 • 이동 사용자 - 사용자가 내부 네트워크에서 인터넷에 접속하는 경우에는 회사의 네트워크 방화벽에 의해서 보호를 받을 수 있으나, 집이나 다른 회사의 네트워크 등에서 접속하여 내부자원을 액세스하는 경우에는 방화벽의 보호범위에서 제외 • 방화벽 게이트웨이의 제한적인 보안 기능 - 네트워크 방화벽이 상태기반 감시(Stateful Inspection) 기능을 제공한다고 해도, 거의 모든 처리가 기본적으로 네트워크 프로토콜의 헤더부분만을 감시하도록 되어 있어, 웜 및 바이러스의 유입을 방화벽이 막을 수 없으며, PC방화벽을 사용해야만 쿠키 및 스크립트 제어 및 웜 차단 등의 보다 상위수준의 제어가 가능 • 내부 네트워크에서의 공격 - 네트워크 방화벽은 악의적인 내부사용자 또는 웜의 공격으로 사용자를 보호할 수 없어, 내부 네트워크에 있는 다른 사용자는 네트워크 방화벽의 통제를 받지 않고 다른 사용자의 PC 등에 공격을 할 수 있으며, 웜이나 바이러스가 일단 투입된 경우에도 같은 경로로 전파되어, 이런 경우에 네트워크 방화벽은 통제 불가 • 그 외 네트워크 방화벽이 작동하기 어려운 경우들 - 가상 사설망(VPN, Virtual Private Network)을 구현하기 위해서 쓰이는 IPsec 프로토콜이나 SSL/TLS에 의해서 패킷이 네트워크/트랜스포트 계층 수준에서 종단간(End-to-End) 암호화되어 있는 경우에 네트워크 방화벽은 단순한 허용 또는 방지만을 할 수밖에 없는 반면, PC방화벽은 통신에 있어서 암호화가 끝나는 부분에서 작동하기 때문에 이렇게 암호화된 트래픽에 대해서도 보안정책 적용 및 선택적인 컨텐츠 보안에 대한 지원 가능 4.1.2. PC방화벽의 주요 특징 PC방화벽은 인터넷에 연결되어 있는 PC를 보호하기 위해서 개개의 PC에서 수행되는 소프트웨어형태로 구현되며 PC의 네트워크 인터페이스를 경유해서 들어오거나 나가는 패킷들을 검사해서 의심스러운 패킷들의 흐름을 차단함으로써 인터넷으로부터 들어오는 위협에 대해서 보호기능을 제공하게 되며 다음과 같은 특징을 제공하고 있다. 구분 특징 1 • 비 보안전문가도 설치할 수 있음 2 • MS 네트워크 기능 지원 3 • LAN 및 Dial-up 연결 지원 4 • 전형적인 공격에 대해서 방어 5 • 네트워크를 통해 외부로 나가는 트래픽 제어 6 • 발생하는 이벤트들을 일관성 있게 기록 또한, PC 방화벽은 네트워크를 액세스하려는 어플리케이션이 클라이언트 또는 서버로서 동작하는 것을 제어하는 기능을 가지고 있다. 4.1.3. PC방화벽 종류 PC방화벽은 크게 3가지의 형태로 출시되어 있으며 종류는 다음과 같다. 윈도우XP의 PC방화벽: Microsoft사에서 자사의 MS-Window XP계열 PC 보호하기 위해 설치되는 PC방화벽으로 메모리에 상주하며 PC구동시 항상 동작 패키지형태의 PC방화벽: 일반 기업에서 내부 직원들의 PC를 보호하기 위해 패키지형태로 설치되는 PC방화벽으로 메모리에 상주하며 PC구동시 항상 동작 ASP형태의 PC방화벽: 일반 개인 사용자가 특정 웹사이트를 이용할 경우 AtiveX형태로 설치하여 해당 웹사이트 접속시에만 구동(예:인터넷뱅킹 이용 시) 4.1.3.1. MS-Windows XP의 PC방화벽 MS-Windows-XP가 처음 출시되었을 경우 방화벽 기능은 포함되어 있지 않았으나 Service Pack2에 방화벽 기능을 포함함으로써 MS-Windows-XP SP2이상의 버전을 사용하는 사용자는 PC방화벽 기능을 활용할 수 있으며 ‘사용(권장)’ ‘예외 허용 안 함’ ‘사용 안 함’ 3가지 옵션이 있다. 구분 기능 사용(권장) • ‘사용(권장)’은 윈도 방화벽의 기본 값으로 예외’ 탭에 등록한 프로그램이나 서비스를 사전 정의한 나머지를 차단 예외 허용 안 함 • ‘예외 허용 안함’ 탭에 등록한 프로그램이나 서비스를 비롯해 대부분의 외부 통신을 무조건 차단함 이 상태에서는 인터넷, e-메일, 메신저와 같은 가장 기본적인 서비스만 이용할 수 있기 때문에 위험한 바이러스나 웜이 인터넷을 통해 전파될 때 이 옵션을 이용하면 PC를 안전하게 보호 사용 안 함 • ‘사용 안 함’을 체크했을 경우 방화벽 기능이 해제되어 MS-Windows XP의 PC방화벽 외부로 연결된 모든 네트워크 서비스가 허용되기 때문에 악의적인 피해가 발생할 확률 증가
4.1.3.2. 패키지형태의 PC방화벽 패키지형태의 PC방화벽은 2003년경부터 출시된 상용프로그램으로 일반 개인 사용자들보다는 기업내의 내부 직원을 대상으로 주로 구현된 보안솔루션으로 ‘MS-Windows XP의 PC방화벽’이 특정 OS만을 지원하는 단점이 존재하는 반면 MS-Windows XP외에 MS-Windows계열의 모든 OS를 지원하는 장점이 있다.
패키지형태의 PC방화벽 – CyberWALL2002
4.1.3.3. ASP형태의 PC방화벽 ASP형태의 PC방화벽은 특정 홈페이지에 접속할 경우 해당 홈페이지 이용시에 개인사용자들의 PC를 보호하기 위해 ActiveX형태로 제공되는 소프트웨어로 주로 인터넷뱅킹 등을 이용할 경우에 사용된다.
주)ASP(Application Service Provider): 인터넷 망을 통해 소프트웨어를 일정기간 대여해주는 사업
ASP형태의 PC방화벽 실행화면 - nProtect
4.1.4. PC방화벽 주요 기능 PC방화벽은 기본적으로 개인사용자의 PC에 불법적으로 접근하는 네트워크 서비스에 대한 차단 및 PC내부에서 수행되는 실행프로그램(프로세스)에 대한 관리를 수행하고 있으며 최근에는 다양한 형태의(백신프로그램, 자산관리프로그램) 프로그램 등과 기능을 통합하고 있다. 4.1.4.1. 네트워크 서비스 관리 PC방화벽은 네트워크 서비스(TCP/UDP)에 대한 접근제어를 구현함으로써 개인사용자 PC를 보호하며 다음과 같은 주요 기능이 존재한다. 구분 주요 기능 인터넷을 통한 공격 차단 • 인터넷 접속 포트를 관리하여 외부에서 사용되지 않는 포트로의 접속이 발생할 경우 이를 차단 • 현재 사용중인 포트를 외부에서 스캔할 경우 이를 차단 • 백오리피스 등의 트로이 목마 프로그램을 원천적으로 차단 외부로의 서비스 이용 차단 • PC내부에서 외부 인터넷등으로 네트워크 통신을 수행하고자 할 경우 이를 차단 로컬 네트워크상의 공격 차단 • NetBEUI, IPX 등의 로컬 네트워크 전용 프로토콜을 통한 공격 차단 • 공유 자원의 접근을 세부적으로 조정하여 외부의 공유자원 접근에는 제한이 없지만, 자신의 PC의 공유자원을 외부에서 접근하는 것을 차단
4.1.4.2. 프로세스 관리 PC방화벽은 개인사용자 PC의 OS상에서 구동되는 응용프로그램을 관리하여 개인사용자가 인지하지 못한 프로그램을 불법적인 수행을 차단하게 되며 주요 기능은 다음과 같다. 구분 주요 기능 응용프로그램 관리 • 개인사용자가 인지하지 못한 응용프로그램의 자동 실행 방지 • 응용프로그램 실행 시 네트워크 서비스를 이용하는 프로그램에 대한 차단
4.1.4.3. 기타 기능 PC방화벽은 네트워크/프로세스 관리 외에 다음과 같은 부가적인 기능도 수행할 수 있다. 주요 특징 주요 기능 해킹툴 진단 • 인터넷상에 알려진 해킹툴을 자동으로 검색 유해사이트 차단 • 사용자가 특정 IP또는 URL을 지정하여 불필요한 웹사용 차단 접속 로그 • 인터넷 사용 내역을 로그로 저장하여 접속상황을 파악할 수 있으며, 이를 바탕으로 불법적인 접속 추적 가능 포트 설정 • 웹서버 또는 FTP서버 등의 서버 프로그램의 구동을 위해 특정 포트를 상시 허용
4.1.5. PC방화벽 구성방안 PC방화벽의 경우 프로그램의 상시 동작 유무 및 도입 주체에 따라 패키지형 또는 ASP형으로 구분할 수 있다. 4.1.5.1. 패키지형 수행 방식 패키지형 수행방식은 기존의 개인 PC용 프로그램들과 동일하게 각 개인의 PC에 PC방화벽을 인스톨형식으로 설치하는 방식이다. 이러한 방식은 PC구동과 동시에 메모리상에 상주함으로써 사용자의 PC를 보호하게 되지만 최근에는 개인사용자 PC OS환경이 MS-Windows XP SP2이상으로 업그레이드되었기 때문에 대다수의 사용자들이 MS에서 기본제공하고 있는 방화벽 기능을 활용하고 있다. 또한, 현재에는 단일 PC방화벽기능보다는 자산관리, 바이러스방역 등과 같은 제품들과 통합하여 다양한 기능을 제공하고 있다. 4.1.5.2. ASP 수행 방식 ASP 수행 방식은 개인사용자가 별도의 패키지를 구입하지 않고 특정 웹사이트 접속 시 자동적으로 해당 프로그램을 다운로드 받아 설치되는 형태이다. 이러한 형태는 주로 개인 사용자들을 대상으로 하고 있으며 전자금융거래와 관련된 웹사이트에 접속할 경우 자동적으로 실행되는 형태로 구성되며 프로그램 업데이트 등이 사용자의 의도와는 상관없이 자동적으로 이루어 지는 특징이 존재한다. ASP 수행 방식
4.1.5.3. 구성방안별 장단점 각 구성방안별 장단점은 다음과 같다. 구분 패키지 수행 방식 ASP 수행 방식 개요 • 사용자가 자신의 PC에 프로그램을 설치 후 상시 구동 • 특정웹사이트 접속 시 실행되며 해당 웹사이트 이용 중에만 구동 장점 • 상시 구동되는 형태이기 때문에 악의적인 프로그램에 대한 상시 차단이 가능 • 특정웹사이트 이용시 발생할 수 있는 악의적인 프로그램 구동을 차단 • 개인사용자가 프로그램 비용을 지불할 필요가 없는 방식 단점 • 최근에는 ASP수행방식이 대세이기 때문에 특정웹사이트 이용시 프로그램이 중복 실행 • 개인사용자의 경우 프로그램 구입 비용 발생 • 개인사용자의 이용자수에 따라서 프로그램 구입 비용 증가