인트라넷이란 무엇일까?

서론

---

군대에서나 회사에서 인트라넷이라는 내부망을 경험해서인지, 어떤 것인지 또 어떻게 사용되는지 대강 알고 있었다. 하지만, 어떻게 구축되고 어떤 원리로 작동되는지는 모르고 있었기에 이번 기회에 한 번 공부해보고자 합니다. 마찬가지로, 이번 글도 '네트워크 쉽게 더 쉽게'를 보고 작성한 글이며, 내용 요약보다는 읽으며 궁금했던 내용들을 찾아가며 덧붙여가는 식으로 글을 써보고자 합니다. 

 

 

 

1. 인트라넷이란?

---

인트라넷이란, 간단히 말하자면 인터넷 기술을 이용해 구축된 내부의 독자적인 네트워크입니다. 인터넷 기술을 활용해 조직 내의 폐쇄적인 인터넷을 도입하고, 정보공유나 업무 지원에 활용하는 시스템인 것이죠. 정부나 회사 등 정보를 공유해야하지만 외부로부터는 단절시켜 보안을 유지해야하는 경우 사용합니다. 조금 더 자세히 말하자면, 인트라넷은 주로 TCP/IP를 지원하는 LAN에서 구축되는 LAN 환경의 인터넷이라고도 할 수 있습니다. 이러한 환경 속에서 조직은 전자메일이나 전자결재, 그룹웨어 등과 같은 시스템을 보안을 갖춘 환경 속에서 운영할 수 있는 것이죠. 

 

작은 규모의 조직인 경우, 서로 연결되어 있는 여러 개의 LAN 환경만으로도 구성할 수 있겠지만, 국내나 해외 등 다양한 지사를 보유한 큰 규모의 조직인 경우에는 WAN을 통해 더 넓은 범위의 인트라넷을 가질 수 있습니다. 이러한 경우에는, ISP 사업자로부터 *전용회선(인터넷 회선이 아닌 독자적인 회선)을 할당받아 연결시키는 물리적인 연결방법도 있을 수 있습니다. 그러나 전용회선을 이용하는 것은 비용이 너무나 크기 때문에 최근에는 인터넷 VPN을 사용하는 방법으로 내부망에 연결시키기도 합니다.

* 전용회선이란, 두 지점 간에 정해진 사용자(개인이나 기업)에 의해 하루 24시간 항상 사용이 가능한 통신경로를 의미한다, 위키피디아

 

인트라넷 구조

 

2. 방화벽이란?

---

출처 : THE CONVERSATION

인트라넷과 방화벽은 뗄래야 뗄 수 없는 관계입니다. 물론, 외부와 완벽히 차단된 인트라넷에서는 필요 없습니다. 예를 들어, LAN 환경이나 전용회선만으로 구축되어 인터넷과는 연결될 수 없는 그런 네트워크라면 말이죠. 이런 경우에는 물리적 접근이나 사회공학적 해킹만 조심하면 됩니다. 

 

하지만 업무를 하다보면 인터넷 접속이 필요한 경우가 있죠. 뭐 정보를 인터넷에서 찾아봐야하는 경우나, 가령 라이센스 인증이나 OS(윈도우 등) 업데이트가 필요한 경우 말이죠. 내부에서 외부로 연결되어야 하는 경우 말고도 외부에서 내부로 연결되어야 하는 경우도 있습니다. 외부에 공개해야하는 사내 웹페이지가 있다거나 메일서버와 같이 외부와 연결해야할 공개용 서버들이 있다면 말이죠. 이러한 경우에는 인터넷과의 연결이 불가피합니다. 그래서 외부로부터의 침입이나 내부에서의 데이터 반출을 막기 위해 우리는 방화벽을 두게 됩니다. 그렇다면 방화벽은 어떤 기능을 가졌는지 알아보도록 합시다.

 

✔️ 방화벽의 기능

방화벽은 내부망과 외부망의 경계, 접속점으로 데이터의 입출력을 제어하는 것입니다. 계속 기술이 발전하면서 방화벽은 점점 다양한 보안 기능을 포함하게 되었는데, 그 중에서도 주요한 기능 세 가지를 이야기해보자 합니다. 첫 번째 기능은 액세스를 제어하는 기능이고, 두 번째는 NAT(Network Address Translation)와 같이 주소를 변환하는 기능, 마지막으로 로그를 수집하는 기능이 있습니다.

 

1) 액세스 제어(i.e. 필터링)

우선, 방화벽은 액세스 제어 기능을 가지고 있습니다. 단순히 데이터의 방향을 제어하는 것이 아니라, 데이터 패킷 헤더 내의 IP 주소나 프로토콜, 포트 번호 등으로 상세히 제어하여 통과 가능한 패킷만을 허용하는 것입니다. 전달되는 패킷 중에는 혹시 모를 공격과 관련된 패킷이 있을 수 있거나 불필요한 트래픽을 발생시키는 패킷이 있을 수도 있으므로 필요한 기능입니다.

 

*추가적으로, 간혹 라우터나 스위치에서 제공하는 'ACL(Access Control List, 액세스 접근제어 목록)'과 방화벽의 액세스 제어 기능을 동일시 하는 분들이 있곤 합니다. 물론, 둘 다 특정 조건으로 내·외부의 트래픽을 허용 및 차단한다는 점에서 같다고 볼 수 있지만, 주요한 차이점은 바로 상태기억에 있습니다. 방화벽의 경우, Stateful 속성을 가지고 있으며 내부에서 외부로 나가는 정책만 허용해주게 된다면 외부로 나가는 요청 트래픽의 세션 정보를 바탕으로 외부로 나갔던 요청 트래픽의 응답 트래픽을 자동으로 허용해주게 됩니다. 그러나, ACL의 경우 Stateless 속성을 가지고 있어서 내부에서 외부로 나가는 정책(Outbound)과 외부에서 내부로 들어오는 정책(Inbound) 두 개의 정책이 필요한 것이죠. 방화벽의 경우가 보통 보안성이 더 높은데, 그 이유는 내부에서 외부로 나간 트래픽의 정보, 가령 프로토콜, 출발지 IP와 포트, 도착지 IP와 포트 등의 정보를 바탕으로 들어오는 트래픽을 허용하기 때문입니다. 즉, 패킷의 더 깊은 분야까지 관여할 수 있기 때문이죠.

* 침입차단시스템(방화벽), 안랩

* Difference between ACL and Firewall, IPWITHEASE

 

또 추가로 알아야할 개념이 있는데, 그것은 바로 DMZ(Demilitarized Zone, i.e. Perimeter Network)입니다. 이 구역은 외부망과 내부망 모두로부터 격리된 장소이며, 외부에 공개하는 서버를 이 구역에 설치하게 됩니다. 이유는, 외부에서 내부로의 부정 액세스를 막을 수 있고 만약 DMZ의 공개 서버(웹, 메일 서버 등)이 악의를 가진 사람에게 탈취 당한다 해도 내부망까지는 피해가 없기 때문입니다. 비무장지대라고 불리는 이유는, 외부에서의 트래픽이 유입되는 곳이기에 네트워크상의 여러 보안 정책을 쓰지 않는 구역이기 때문입니다. 또한, 나중에 더 자세히 다루겠지만, Bastion Host(베스쳔 호스트)를 DMZ 영역에 두어 보안을 강화하기도 합니다. 이와 관련한 내용은 추후에 더 다루도록 하겠습니다.

 

DMZ를 이용한 일반적인 네트워크의 다이어그램, 출처 : 위키피디아

 

필터링의 기본적인 몇 가지 예제를 살펴보자면 다음과 같습니다.

 

① 내부 네트워크 → 외부 네트워크, 내부망에서 허락된 애플리케이션 패킷만 통과를 허가합니다. 

② 외부 네트워크 → 내부 네트워크, 내부망에서 허락된 애플리케이션으로 내부 네트워크에서 외부 네트워크로 송신되었다가 다시 돌아오는 패킷만 통과 허가(Stateful)

③ 외부 네트워크→ DMZ, 공개 서버의 애플리케이션 패킷만 통과 허가

④ DMZ→ 외부 네트워크, 공개 서버의 애플리케이션에 송신되었다가 다시 돌아오는 패킷만 통과 허가(Stateful)

 

이처럼 방화벽은 액세스를 제어하는 기능을 제공하고 있습니다. 

 

2) 주소 변환(Network Address Translation)

다음은 주소 변환 기능입니다. 방화벽은 주소변환 기능으로 내부망의 사설 IP를 공인 IP로 변환하기도 하며 그 반대의 경우로도 동작합니다. 내부 네트워크와 외부 네트워크로 분리되어 사용할 수 있게 됨으로 외부에서 내부 네트워크로의 직접적인 접근을 불가능하게하여 보안 효과를 가져옵니다.

 

3) 로그 수집

마지막으로 로그 수집 기능입니다. 사전에 의심되는 액세스를 추적하거나, 특정 사용자의 행동 이력의 검색 등에 이용됩니다. 또한 악의적 액세스에 대한 피해 원인을 분석할 수 있고, 추후 문제가 발생할 시 이유가 무엇인지 파악해 방안 대책을 강구할 수 있게 도와주기에 꼭 필요한 기능입니다.

 

우리는 지금까지 방화벽의 기능에 대해서 알아보았습니다. 그러나 방화벽은 완벽한 보안을 제공하진 않습니다. 물리적인 접근이나 메일을 통한 바이러스 전파와 같은 형태 말이죠. 또한, 내부 인원이 중요한 데이터를 반출하는 경우도 있을 수 있겠죠. 그래서 보안은 다양한 상황을 고려해야하는 것 같습니다. 하물며 물리적 망분리가 확실히 된 인트라넷에서도 해커들이 기상천외한 방법으로 침입을 시도하기도 하니까요. 예를 들어, *1) 에드워드 스노든이 폭로한 NSA의 퀀텀 프로그램이 있겠죠. 퀀텀 프로그램은 무선주파수 발신기능을 내장한 USB를 PC에 꽂으면 최장 13Km 거리에서 해당 컴퓨터의 필요 정보를 빼올 수 있게 만드는 프로그램입니다. 이 외에도 제가 재밌게 봤던 드라마 *2) MR. ROBOT에서도 참 많은 해킹 방법이 등장합니다. 따라서 우리는 넓은 시야를 가지고 보안 대책을 강구해야만 합니다.

* 인터넷 연결 안해도 해킹하는 방법은?, 중앙일보

* 미스터로봇에 등장하는 해킹툴과 기법

MR. ROBOT, 출처 : 넷플릭스

 

 

참고자료

---

- 네트워크를 지키는 최후의 보루 - 방화벽, IT동아

- 방화벽의 구성 요소 및 분류

- 방화벽의 종류

- 인터넷 방화벽

- 방화벽의 기능 및 형태

방화벽의 기능 및 형태

- 방화벽에 대해서 전부 자세히 알아보자!

방화벽에 대해서 전부 자세히 알아보자!