저번 포스팅에 다룬 사설 IP, 공인 IP 내용에서 내부 LAN 환경과 외부 인터넷 환경을 분리한다고 정리했습니다.
일반적으로 LAN 환경은 보통 기업이나 병원 등 내부에서 사용하는 네트워크이기 때문에, 외부로부터의 접근을 적절히 통제하지 않으면 보안 위협에 노출될 수 있습니다.
이러한 이유로 내부망을 보호하기 위해 사용되는 대표적인 보안 장비가 바로 방화벽입니다.
왜 이름이 방화벽(Firewall)일까요?
방화벽은 원래 건축물에서 화재가 발생했을 때 불길이 번지는 것을 물리적으로 차단하는 벽을 의미합니다. 네트워크 세상에서도 이 개념은 동일하게 적용됩니다.
외부 인터넷이라는 '위험한 공간'에서 발생한 보안 사고(불)가 우리 소중한 내부망(집)으로 옮겨붙지 않도록, 중간에서 트래픽을 검사하고 차단하는 거대한 벽을 세우는 것. 그것이 방화벽의 본질입니다.
이번 포스팅에서는 방화벽이 정확히 무엇인지, 그리고 어떤 역할을 하는지 알아보겠습니다.
방화벽(firewall)
방화벽은 일련의 보안 규칙을 기반으로 네트워크 트래픽을 모니터링하고 제어하는 보안 시스템입니다.
방화벽은 네트워크 패킷을 검사하고 보안 정책을 시행하여 권한이 없는 사용자나 잠재적으로 유해한 데이터가 네트워크에 침입하거나 네트워크에서 빠져나가는 것을 효과적으로 차단합니다.
이를 통해 안전하고 합법적인 트래픽만 방화벽을 통과할 수 있도록 보장합니다.
일반적으로 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이에 있습니다. 보통 여기서 신뢰할 수 없는 네트워크는 인터넷인 경우가 많습니다.
방화벽은 아래와 같은 위협으로부터 네트워크를 보호합니다
- 바이러스, 백도어, 피싱 이메일, 서비스 거부(DoS) 공격과 같은 외부 위협
- 내부자 위협, 내부망(LAN)에서의 악의적인 행위자나 위험한 애플리케이션 등 특정 유형의 아웃바운드 트래픽
따라서 보통 방화벽은 내부망(LAN)을 외부 인터넷의 악성 트래픽으로부터 보호하거나, 내부망에서의 의심스러운 활동을 식별하고 데이터 유출을 방지하는 역할을 합니다.
동작 원리
네트워크에서 데이터는 '패킷(Packet)'이라는 단위로 이동하는데,
방화벽은 이 패킷의 정보를 보고 판단합니다.
- 출발지 IP
- 목적지 IP
- 포트 번호
- 프로토콜 (TCP, UDP 등)
이 정보를 기반으로 규칙과 비교합니다.
방화벽의 종류
방화벽은 새롭고 진보된 보안 기능을 제공하고 성능을 향상시키기 위해 4가지 유형으로 진화해왔습니다.
1. 패킷 필터링 방화벽
1세대 방화벽은 연결 상태를 저장하지 않고 패킷 단위 접근 방식을 사용하여 데이터를 검사합니다.(Stateless)
이러한 방화벽은 데이터 패킷의 헤더를 검사하여 정보(IP주소, 포트번호, 프로토콜 등)를 미리 정의된 ACL 규칙과 비교하여 위반하는 패킷은 차단됩니다.
* ACL(Access Control List) : 네트워크 트래픽을 제어하고 네트워크 공격을 줄이기 위해 정의된 규칙 집합입니다.
2. 상태 기반(Stateful) 방화벽
상태 기반 방화벽은 연결 상태를 추적하여 의심스러운 트래픽을 식별할 때 추가적인 컨텍스트를 제공합니다. 여기에는 패킷이 이미 설정된 네트워크 세션의 일부인지 아니면 새로운 통신인지 추적하는 것이 포함됩니다.
* 컨텍스트 : 컨텍스트는 패킷과 관련된 메타데이터로 구성됩니다. 여기에는 출발지와 목적지의 IP 주소 및 포트 번호가 포함됩니다. 또한 패킷 길이, 재조립 및 분할과 관련된 3계층 정보, 4계층 TCP 시퀀스 번호, 플래그 등도 포함됩니다.
상태 기반 방화벽을 사용하면 패킷 필터링 방화벽에 비해 새로운 정보 계층을 추가하여 네트워크 트래픽을 더 잘 이해하고 필터링 할 수 있습니다. 또한 패킷의 내용(헤더 및 페이로드)을 검사하여 보다 철저한 보안 검사를 제공하고 트래픽에 대해 더 높은 수준의 제어 기능을 제어합니다.
방화벽은 내부에서 외부로 나간 요청의 '상태 정보(IP, 포트, 시퀀스 번호 등)'를 상태 테이블(State Table)에 기록해 둡니다. 그래서 되돌아오는 응답 패킷이 이 테이블에 있으면 보안 규칙을 일일이 대조하지 않고 즉시 통과시킵니다.
3. 웹 애플리케이션 방화벽(WAF)
웹 애플리케이션 방화벽(WAF)은 웹 애플리케이션에 침투할 수 있는 악성 HTTP/S 트래픽을 필터링, 모니터링 및 차단하여 웹 애플리케이션을 보호합니다. 간단히 말해서, 웹 애플리케이션 방화벽은 웹 애플리케이션과 인터넷 사이에 방패 역할을 합니다. 이 방패는 다양한 유형의 공격으로부터 웹 애플리케이션을 보호합니다.
4. 차세대 방화벽(NGFW)
차세대 방화벽 (NGFW)은 기존 방화벽보다 여러 계층의 보호 기능을 제공합니다.
기존 방화벽은 패킷 필터링 기능을 제공하는 반면, NGFW는 심층 패킷 검사(DPI), 침입 방지 시스템(IPS) , 애플리케이션 계층 필터링, 그리고 ID 기반 접근 제어 기능을 수행합니다. NGFW는 계층 3부터 계층 7까지 여러 계층에서 작동하여 매우 세밀한 제어를 가능하게 합니다.
실제 환경에서의 방화벽
실무에서는 방화벽을 어떻게 구축하고 운영하는지 알아보겠습니다.
크게 호스트, 클라우드, 그리고 네트워크 아키텍처 관점으로 나뉩니다.
1. 호스트 기반 방화벽
서버 OS 내부에서 동작하는 방화벽으로 특정 서버 한 대의 출입문을 단속합니다.
- Linux iptables, firewalld
2. 클라우드 인프라의 핵심: AWS Security Group(SG)
클라우드 환경에서는 인스턴스(EC2) 앞단에 가상 방화벽을 둡니다. SG는 Stateful하다는 특징을 가지고 있습니다.
SG에서 인바운드(Inbound) 80 포트를 허용했다면, 서버가 그 요청에 응답하여 나가는(Outbound) 트래픽은 별도로 허용 규칙을 만들지 않아도 자동으로 통과됩니다.
3. 기업의 표준 네트워크 구조: DMZ와 계층화
보안이 중요한 기업의 경우 방화벽을 한 대만 두지 않고 구역을 나누어 여러 대를 배치합니다.
- Untrusted (외부망): 불특정 다수가 접속하는 위험한 인터넷 세상.
- 1차 방화벽: 외부의 무분별한 공격을 1차로 필터링합니다.
- DMZ (Demilitarized Zone): 웹 서버처럼 외부 접속이 필요한 서버들이 위치하는 '완충 지대'입니다.
- 2차 방화벽: DMZ에서 내부 핵심 망으로 들어오는 트래픽을 한 번 더 검사합니다.
- Trusted (내부망): 고객 정보가 담긴 DB 등 가장 중요한 자산이 위치합니다. 외부에서는 직접 접근이 절대 불가능한 구조입니다.
방화벽의 한계
하지만 방화벽이 있다고 해서 모든 보안 문제가 해결되지는 않습니다.
- 내부 공격: 이미 내부에 들어온 공격자는 탐지하기 어렵습니다.
- 설정 실수 시 서비스 장애 발생
- 암호화 트래픽의 한계 : HTTPS로 암호화된 데이터 내부의 악성 코드는 일반 방화벽이 읽을 수 없어 악성 코드를 탐지할 수 없습니다.
학습용으로 작성한 포스팅이므로 오류가 있을 수 있습니다.
잘못된 내용이나 보완이 필요한 부분이 있다면 댓글로 알려주시면 감사하겠습니다.
궁금한 점도 편하게 남겨주세요.
출처
- What is a DMZ (Demilitarized Zone) Network?
https://www.zenarmor.com/docs/network-security-tutorials/what-is-dmz
- Difference between Traditional Firewall and Next Generation Firewall
- What is a firewall?
https://www.cisco.com/site/us/en/learn/topics/security/what-is-a-firewall.html
- 방화벽이란? 네트워크 방화벽의 작동 방식
https://www.cloudflare.com/ko-kr/learning/security/what-is-a-firewall/
'NETWORK' 카테고리의 다른 글
| TCP와 UDP의 특징과 차이: UDP가 신뢰할 수 없는 프로토콜인 이유 (0) | 2026.04.08 |
|---|---|
| IP 주소는 무엇인가?: 공인 IP vs 사설 IP (0) | 2026.04.06 |
| 브라우저에 URL 입력하면 일어나는 일 (DNS → TCP → HTTP) (0) | 2026.03.29 |