검수요청.png검수요청.png

"접근차단"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
 
(사용자 3명의 중간 판 12개는 보이지 않습니다)
1번째 줄: 1번째 줄:
'''접근차단'''이란 어느 대상에 접근하는 것 을 막는거다.
+
'''접근차단'''<!--접근 차단-->이란 어느 [[대상]]에 [[접근]]하는 것을 막는 것을 말한다.
  
==개요==
+
==유형==
어떤 대상(시스템, 시설)에 누군가(사람, 바이러스)가 들어오는 오는 것 막기 위해 경로등을 막는거다.
+
===방화벽===
 +
[[방화벽]](Firewall)은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.<ref> 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》 </ref> 인터넷이 태동되기 시작한 1980년대부터 본격적으로 도입됐으며, 초기에는 네트워크 장비 중 하나인 [[라우터]](router)가 방화벽 역할을 전담했으며 그 후 외부 공격 형태가 다양하고 치밀해 짐에 따라 방화벽 기술도 그에 맞춰 진화했으며 80년대 말경에 등장한 1세대 방화벽은 외부로부터 들어오는 [[패킷]](packet, 네트워크 내 데이터 이동 최소 단위)의 형태를 분석하여, 사전에 설정해 둔 보안 [[정책]](rule)에 허용되는 패킷 만을 통과시키는 역할을 하지만 이러한 패킷분석형 방화벽은 네트워크 내 모든 패킷을 대상으로 검사 작업을 수행해야 하니 처리 속도가 느린 단점을 비롯해 여러 가지 문제점이 있어서 이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 [[상태 분석형]](stateful inspection) 방화벽이 등장했다. 이를 2세대 방화벽으로 보는 것이 보편적이며 2000년대 초까지 활발하게 사용됐다. 이후 인터넷 시대가 대중화되면서 웹 브라우저를 통한 다양한 네트워크 서비스가 제공됨에 따라 외부로부터의 침입 또는 공격방법도 다양해졌다. 이에 패킷 내용뿐 아니라 특정 애플리케이션(웹 브라우저, FTP 클라이언트 프로그램 등)을 통한 네트워크 접근을 제어하기 위한 [[애플리케이션]](application layer) 방화벽이 2세대 방화벽을 이어 각광을 받기 시작했다.<ref name="역사"> 이문규, 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《아이티동아》, 2012-04-13 </ref>
  
==종류==
+
;원리
접근차단하는 종류는 여러가지가 있지만 인터넷, SNS, 네트워크에서 쓰는 침입차단시스템(방화벽)이 대표이다.
+
네트워크 방화벽은 기본적으로 네트워크를 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(ACL, Access Control List, 접근 제어 목록)에 따라 허용 또는 차단하는 기능을 수행한다. 일반적으로 내부 네트워크와 외부 네트워크(인터넷) 중간에 위치하여 이러한 패킷 제어 기능을 수행한다. 방화벽은 필요에 따라 여러 개를 배치하여 보안성을 강화할 수 있다. 외부 네트워크로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다. 기본적으로 방화벽은 모든 접근을 거부(deny)한 후 허용할 접근만 단계적으로 허용(allow/permit)하는 방식을 따른다. 예를 들어, 네트워크를 통해 데이터가 이동하는 통로를 포트(port)라 하는데, 방화벽은 기본적으로 약 6만 5,000여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 특정 포트만을 열어 두게 된다. 즉 홈페이지 운영을 위한 웹 서비스(http)를 제공한다면 80 포트를, FTP 서비스(ftp)를 제공한다면 20·21 포트 등을 접근 허용해야 한다. 통신 포트뿐 아니라 외부로부터 접근하는 [[아이피]] 주소나 특정 프로그램에 따라 접근이나 거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정이 모두 접근 제어 목록에 포함되어 일괄 적용된다. 방화벽의 접근 제어 목록은 대개 관리자가 구성, 설정하기 편하도록 직관적인 형태로 출력되며, 보안 규칙 적용 즉시 결과를 확인할 수 있도록 제공된다. 다만 접근 제어 목록 및 방화벽 설정에는 보안과 관련된 상당한 지식과 경험이 필요하므로 보안 전문가를 통해 정확하고 체계적으로 이루어져야 한다.<ref name="역사"></ref>
 +
 +
==== 패킷 필터링 ====
 +
패킷 필터링(Packet Filtering)은 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송계층에서 동작하는 방식이다. 패킷 필터링 방식은 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정하게 되며 다른 방식에 비해 속도가 빠른 장점이 있으며, 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다. 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용자 인증을 기대하기 어렵다. 1세대 방화벽에 속한다. 다른 방식에 비해 처리 속도가 빠르고 비용이 적게 든다. 기존 프로그램과 연동이 쉽고, 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다. 또한 사용자에게 투명성을 제공한다. 다만 단점으로 [[TCP/IP]] 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다. 또한 패킷 내의 데이터에 대한 공격을 차단하지 못한다. 바이러스에 감염된 파일 전송시 데이터 분석이 불가능하다. 패킷 필터링 규칙을 검증하기 어려우며, 접근통제 리스트와 접근 통제 순서에 따라 방화벽에 부하를 줄 수 있다. 그리고 2, 3 세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공이 미미하다.
  
===침입차단시스템===
+
==== 애플리케이션 게이트웨이 ====
방화벽(Firewall)으로도 불리는 침입차단시스템(侵入遮斷 - , 영어: Intrusion Prevention Systems (IPS), Intrusion Detection and Prevention Systems (IDPS))은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.<ref> 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》 </ref>
+
애플리케이션 게이트웨이(Application Gateway)는 [[OSI 7계층]] 모델 중 애플리케이션(Application) 계층까지 동작하며 통과하는 패킷의 [[헤더]](Header)안의 데이터 영역까지도 체크하여 통제하며 해당 서비스별로 [[프락시]](Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행해서 이와 같은 이유로 어플리케이션 게이트웨이 방화벽을 어플리케이션 프락시 방화벽이라고도 하며 2세대 방화벽에 속한다. [[프록시]](Proxy)는 중개인의 개념으로 네트워크에 진입하는 혹은 나가는 패킷을 응용프로그램 수준까지 검토하여 악의적인 정보가 있는지 검사하고 이상이 없다면 그 패킷을 목적지 시스템까지 전달하는 역할을 하는 방화벽이다.
  
====역사====
+
;장점
방화벽은 인터넷이 태동되기 시작한 1980년대부터 본격적으로 도입됐으며, 초기에는 네트워크 장비 중 하나인 [[라우터]](router)가 방화벽 역할을 전담했으며 그 후 외부 공격 형태가 다양하고 치밀해 짐에 따라 방화벽 기술도 그에 맞춰 진화했으며 80년대 말경에 등장한 1세대 방화벽은 외부로부터 들어오는 [[패킷]](packet, 네트워크 내 데이터 이동 최소 단위)의 형태를 분석하여, 사전에 설정해 둔 보안 [[정책]](rule)에 허용되는 패킷 만을 통과시키는 역할을 하지만 이러한 패킷분석형 방화벽은 네트워크 내 모든 패킷을 대상으로 검사 작업을 수행해야 하니 처리 속도가 느린 단점을 비롯해 여러 가지 문제점이 있어서 이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 [[상태 분석형]](stateful inspection) 방화벽이 등장했다. 이를 2세대 방화벽으로 보는 것이 보편적이며 2000년대 초까지 활발하게 사용됐다. 이후 인터넷 시대가 대중화되면서 웹 브라우저를 통한 다양한 네트워크 서비스가 제공됨에 따라 외부로부터의 침입 또는 공격방법도 다양해졌다. 이에 패킷 내용뿐 아니라 특정 애플리케이션(웹 브라우저, FTP 클라이언트 프로그램 등)을 통한 네트워크 접근을 제어하기 위한 [[애플리케이션]](application layer) 방화벽이 2세대 방화벽을 이어 각광을 받기 시작했다.<ref name="역사"> 이문규, 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《IT동아》, 2012-04-13 </ref>
+
*외부 네트워크와 외부 네트워트가 프록시 서버를 통해만 연결되고, 직접 연결은 허용되지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.
 
 
====원리====
 
네트워크 방화벽은 기본적으로 네트워크를 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(ACL, Access Control List, 접근 제어 목록)에 따라 허용 또는 차단하는 기능을 수행하며 일반적으로 내부 네트워크와 외부 네트워크(인터넷) 중간에 위치하여 이러한 패킷 제어 기능을 수행하고 필요에 따라 여러 개를 배치하여 보안성을 강화할 수 있고 인터넷(외부 네트워크)으로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다. 기본적으로 방화벽은 모든 접근을 거부(deny)한 후 허용할 접근만 단계적으로 허용(allow/permit)하는 방식을 따른다. 예를 들어, 네트워크를 통해 데이터가 이동하는 통로를 [[포트]](port)라 하는데, 방화벽은 기본적으로 약 65,000여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 특정 포트만을 열어 둔다 즉 홈페이지 운영을 위한 웹 [[서비스]](http)를 제공한다면 80 포트를, [[FTP]] 서비스(ftp)를 제공한다면 20/21 포트 등을 접근 허용해야 하며 통신 포트뿐 아니라 외부로부터 접근하는 IP 주소나 특정 프로그램에 따라 접근/거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정이 모두 접근 제어 목록에 포함되어 일괄 적용되며 방화벽의 접근 제어 목록은 대개 관리자가 구성, 설정하기 편하도록 직관적인 형태로 출력되며, 보안 규칙 적용 즉시 결과를 확인할 수 있도록 제공한다만 접근 제어 목록 및 방화벽 설정에는 보안과 관련된 상당한 지식과 경험이 필요하므로 보안 전문가를 통해 정확하고 체계적으로 이루어져야 한다.<ref name="역사"></ref>
 
 
 
====종류====
 
*패킷 필터링(Packet Filtering) 방식 : 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송계층에서 동작하는 방식이다. 패킷 필터링 방식은 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정하게 되며 다른 방식에 비해 속도가 빠른 장점이 있으며, 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다. 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용자 인증을 기대하기 어렵다. 1세대 방화벽에 속한다.
 
*장점 : 다른 방식에 비해 처리 속도가 빠르고 비용이 적게 든다.
 
*하드웨어에 의존하지 않는다.
 
*기존 프로그램과 연동이 쉽다. 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다.
 
*사용자에게 투명성을 제공한다.
 
*단점 : [[TCP]]/[[IP]] 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다.
 
*패킷 내의 데이터에 대한 공격을 차단하지 못한다. 바이러스에 감염된 파일 전송시 데이터 분석이 불가능하다.
 
*패킷 필터링 규칙을 검증하기 어려우며, 접근통제 리스트와 접근 통제 순서에 따라 방화벽에 부하를 줄 수 있다.
 
*2, 3 세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공이 미미하다.
 
*어플리케이션 게이트웨이(Application Gateway) 방식 : OSI 7계층 모델 중 어플리케이션(Application) 계층까지 동작하며 통과하는 패킷의 [[헤더]](Header)안의 Data 영역까지도 체크하여 통제하며 해당 서비스별로 [[프락시]](Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행해서 이와 같은 이유로 어플리케이션 게이트웨이 방화벽을 어플리케이션 프락시 방화벽이라고도 하며 2세대 방화벽에 속한다.
 
*장점 : 외부 네트워크와 외부 네트워트가 프록시 서버를 통해만 연결되고, 직접 연결은 허용되지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.
 
 
*패킷 필터링 방화벽 보다 높은 보안 설정이 가능하다.
 
*패킷 필터링 방화벽 보다 높은 보안 설정이 가능하다.
 
*일회용 패스워드를 이용한 강력한 인증 기능을 제공할 수 있다.
 
*일회용 패스워드를 이용한 강력한 인증 기능을 제공할 수 있다.
*Session 에 대한 정보를 추적할 수 있고, Content Security가 가능하다. (http, nntp, ftp등의 경우 command level -put, get, post등- 까지 제어가 가능하다.)
+
*세션에 대한 정보를 추적할 수 있고, 콘텐츠 보안이 가능하다.
*단점 : 응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.
+
 
 +
;단점
 +
*응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.
 
*일부 서비스에 대해 투명성을 제공하기 어렵다.
 
*일부 서비스에 대해 투명성을 제공하기 어렵다.
 
*하드웨어에 의존적이다.
 
*하드웨어에 의존적이다.
 
*새로운 서비스를 제공하기 위하여 새로운 데몬이 있어야 한다.
 
*새로운 서비스를 제공하기 위하여 새로운 데몬이 있어야 한다.
*미리 정의된 Application 만 수용 가능하므로 다양하고 빠르게 발전하는 Internet Application 에 대응하지 못한다.
+
*미리 정의된 애플리케이션만 수용 가능하므로 다양하고 빠르게 발전하는 인터넷 애플리케이션에 대응하지 못한다.
*프록시 서버 방화벽 개념 : 프록시(Proxy)는 중개인의 개념으로 네트워크에 진입하는 혹은 나가는 패킷을 응용프로그램 수준까지 검토하여 악의적인 정보가 있는지 검사하고 이상이 없으면 그 패킷을 목적지 시스템까지 전달하는 역할을 하는 방화벽이다.
+
 
*프록시 서버 방화벽 동작원리는 다음과 같다.
+
; 프록시 서버 방화벽 동작원리
 
#외부 사용자가 서버에 접근하고자 할 때 사용자의 서비스 요청은 프락시 서버가 대신 접수한다.
 
#외부 사용자가 서버에 접근하고자 할 때 사용자의 서비스 요청은 프락시 서버가 대신 접수한다.
 
#콘텐츠 서버는 방화벽 안쪽에 위치하고 프록시 서버가 사용자에게는 진짜 서버처럼 인식될 수 있도록 설정한다.
 
#콘텐츠 서버는 방화벽 안쪽에 위치하고 프록시 서버가 사용자에게는 진짜 서버처럼 인식될 수 있도록 설정한다.
 
#사용자가 서비스를 요청하면 그 요청은 프락시 서버에 전달되고 프락시 서버는 사용자의 요청을 방화벽의 특정 경로를 통해 콘텐츠 서버에 전달한다.
 
#사용자가 서비스를 요청하면 그 요청은 프락시 서버에 전달되고 프락시 서버는 사용자의 요청을 방화벽의 특정 경로를 통해 콘텐츠 서버에 전달한다.
 
#1콘텐츠 서버에서 수행된 요청 결과는 다시 방화벽의 특정 경로를 통해 프락시 서버에 전달되고 프락시 서버는 사용자에게 전달하게 됨으로써 프락시 서버가 마치 콘텐츠 제공 서버처럼 보이게 된다.
 
#1콘텐츠 서버에서 수행된 요청 결과는 다시 방화벽의 특정 경로를 통해 프락시 서버에 전달되고 프락시 서버는 사용자에게 전달하게 됨으로써 프락시 서버가 마치 콘텐츠 제공 서버처럼 보이게 된다.
#만약 콘텐츠 서버가 에러 메시지를 전달하게 되면 프락시 서버는 이를 가로채어 사용자에게 보내기 전에 헤더에 포함되는 URL 을 바꿈으로써 외부 사용자가 콘텐츠 서버의 Redirection URL 획득을 방지할 수 있다.
+
#만약 콘텐츠 서버가 에러 메시지를 전달하게 되면 프락시 서버는 이를 가로채어 사용자에게 보내기 전에 헤더에 포함되는 URL을 바꿈으로써 외부 사용자가 콘텐츠 서버의 리다이렉션 URL 획득을 방지할 수 있다.
*캐시 기능 : 사용자가 한번 방문한 사이트 정보를 미리 저장하여 원하는 사용자에게 제공
+
 
*방화벽 구성 시 속도나 성능이 저하됨을 막기 위한 기능
+
==== 서킷 게이트웨이====
*서킷 게이트웨이(Circult Gateway) 방식 : [[OSI]] 7계층 구조에서 5계층(세션계층)에서 7계층(응용계층) 사이에서 접근제어를 실시하는 방화벽을 지칭하며, 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용하며 서킷 게이트웨이 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요한데 클라이언트 프로그램은 모든 통신에서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 회로(Circuit)을 구성한 후 이 회로를 통해 내부 시스템과 통신을 한다.
+
서킷 게이트웨이(Circult Gateway)OSI 7계층 구조에서 5계층(세션계층)에서 7계층(응용계층) 사이에서 [[접근제어]]를 실시하는 방화벽을 지칭하며, 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용한다. 서킷 게이트웨이 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요하다. 클라이언트 프로그램은 모든 통신에서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 서킷을 구성한 후 이 서킷을 통해 내부 시스템과 통신을 한다.
장점 : 내부의 IP 주소를 숨길 수 있다.
+
 
*첫 패킷 검사 후 다음 패킷은 전달만 한다.
+
;장점
*수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있다.
+
* 내부의 아이피 주소를 숨길 수 있다.
*각 서비스별로 프록시가 존재하지 않고, 모든 서비스가 이용 가능한 일반적인 [[프록시]]가 존재한다.
+
* 첫 패킷 검사 후 다음 패킷은 전달만 한다.
*단점: 방화벽에 접속을 위해서 [[서킷]] [[게이트웨이]]를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는게 번거롭다.
+
* 각 서비스별로 프록시가 존재하지 않고, 모든 서비스가 이용 가능한 일반적인 프록시가 존재한다.
*하이브리드(Hybrid) 방식 : 하이브리드 방식은 패킷 필터링 방식과 어플리케이션 방식을 혼합한 것으로 패킷 필터링의 장점과 어플리케이션 방식의 장점을 결합한 방식으로 패킷 레벨의 접근 제어뿐만 아니라 응용 프로그램의 사용자 제어의 장점을 가지고 있으며 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용은 패킷 필터링 방식으로 제공하게 된다.
+
* 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있다.
*장점 : 내부 보안 정책 및 어플리케이션 등에 맞추어 선택적인 보안 설정이 가능하다.
+
 
여러 유형의 방화벽 특징을 보유하기 때문에 새로이 등장하는 인터넷상의 모든 서비스에 가장 유동적으로 대처 가능하다.
+
; 단점
*단점 : 관리가 복잡하다.
+
*방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는 번거로움이 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref>
*설치 시 전문적인 네트워크 컨설팅(Network Consulting )이 필요하다.
+
 
*상태추적(State Inspection) 방식: 방화벽의 초기 개념은 크게 두 가지 방식 즉, 패킷 필터링 방화벽과 어플리케이션 [[게이트웨이]] 방화벽으로 분류되었다. 하지만 이 두 가지 방식의 방화벽은 완벽한 방화벽 기능을 수행하지 못하거나 속도가 저하되는 등의 여러 가지 단점을 가지고 있었다. 상태추적 방화벽은 이러한 두 가지 방화벽의 단점을 극복하고 장점만을 구현한 새로운 개념의 방화벽이다. 이스라엘의 방화벽 업체인 [[체크포인트]]사가 최초로 사용한 용어로 네트워크 계층(3계층)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽으로 최근의 거의 모든 방화벽 시스템에서 채용되어 사용되고 있다. 3세대 방화벽에 속한다. 기존 패킷 필터링 기능에 세션(session) 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하여 순서에 위배되는 패킷들은 모두 차단되게 된다. 즉 내부 사용자가 인터넷으로 필(ping) 이 허용된 경우 내부자의 정상적인 핑 요구(ping request) 에 대해 인터넷으로부터 들어오는 핑 대답(ping reply) 는 허용되지만 인터넷으로부터 내부자의 요구(request) 가 존재하지 않은 상태에서 불법적인 핑 대답 패킷들은 차단되게 된다.
+
==== 하이브리드 ====
상태추적 동작원리
+
하이브리드(Hybrid) 방식은 패킷 필터링 방식과 어플리케이션 방식을 혼합한 것이다. 패킷 필터링의 장점과 어플리케이션 방식의 장점을 결합한 방식으로 패킷 레벨의 접근 제어뿐만 아니라 응용 프로그램의 사용자 제어의 장점을 가지고 있다. 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용은 패킷 필터링 방식으로 제공하게 된다.
#클라이언트 A 는 특정 웹(web) 서버(B) 연결을 방화벽에 요구한다.
+
 
#방화벽은 상태목록(state table)에 출발지, 도착지, 포트 서비스 및 되돌아오는 패킷 여부 기록 후 ACL  을 검토한다.
+
;장점
#ACL 목록에서 해당 패킷 통과가 허용되는지 검토한다.
+
* 내부 보안 정책 및 어플리케이션 등에 맞추어 선택적인 보안 설정이 가능하다.
#해당 패킷 통과가 허용된다면 외부 web 서버 B 에 연결한다.
+
* 여러 유형의 방화벽 특징을 보유하기 때문에 새로이 등장하는 인터넷상의 모든 서비스에 가장 유동적으로 대처 가능하다.
#웹 서버 B 의 응답 패킷이 방화벽에 진입한다.
+
 
#방화벽은 해당 응답 패킷을 ACL 에서 검토한다.
+
;단점
#허용된 패킷일 경우 상태 목록에서 기존 패킷에 대한 응답 패킷인지를 확인한다.
+
* 관리가 복잡하다.
#정상적인 응답 패킷인 경우 클라이언트 A 에게 연결한다.
+
* 설치 시 전문적인 네트워크 컨설팅이 필요하다.
*장점 : 모든 통신채널에 대해 추적 가능하다.
 
*한 차원 높은 패킷 필터링 기능을 제공한다.
 
*응용프로그램 방화벽과 같은 성능 감소가 발생하지 않는다.
 
*UDP 와 RPC 패킷 추적이 가능하다.
 
*패킷 내의 데이터 상태와 정황(context)이 저장되고 지속적으로 갱신된다.
 
* 단점 : 상태목록(state table)에 도스(DOS) 나 디도스(DDOS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다.
 
*어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref>
 
  
==인터넷==
+
==== 상태 추적 ====
인터넷 웹사이트 접근차단도 있으며 방법은 다음과 같다.
+
상태 추적(State Inspection) 방식은 기존 방화벽의 단점을 극복하고 장점만을 구현한 새로운 개념의 방화벽이다. 방화벽의 초기 개념은 크게 두 가지 방식 즉, 패킷 필터링 방화벽과 어플리케이션 게이트웨이 방화벽으로 분류되었다. 하지만 이 두 가지 방식의 방화벽은 완벽한 방화벽 기능을 수행하지 못하거나 속도가 저하되는 등의 여러 가지 단점을 가지고 있었다. 상태 추적은 이스라엘의 방화벽 업체인 [[체크포인트]](checkpoin)가 최초로 사용한 용어로, 네트워크 계층(3계층)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽이다. 최근 모든 방화벽 시스템에서 채용되어 사용되고 있다. 3세대 방화벽에 속한다. 기존 패킷 필터링 기능에 세션 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하여 순서에 위배되는 패킷들은 모두 차단되게 된다. 예를 들어, 내부 사용자가 인터넷으로 핑이 허용된 경우 내부자의 정상적인 핑 리퀘스트에 대해 인터넷으로부터 들어오는 핑 리플라이는 허용되지만, 인터넷으로부터 내부자의 리퀘스트가 존재하지 않은 상태에서 불법적인 핑 리퀘스트 패킷들은 차단된다.
  
===방법===
+
;동작원리
공유기를 통한 집 전체의 네트워크 단위에서 차단, 호스트 파일을 이용해 특정 PC 내에서만 차단, 특정 웹브라우저 내에서만 차단 등을 생각해 볼 수 있다.<ref name="인터넷"> IT / IT, 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》, 2020-12-28 </ref>
+
# 클라이언트 A는 특정 웹서버 B 연결을 방화벽에 요구한다.
 +
# 방화벽은 상태 목록(state table)에 출발지, 도착지, 포트 서비스 및 되돌아오는 패킷 여부 기록 후 접근제어목록(ACL)을 검토한다.
 +
# 접근제어목록에서 해당 패킷 통과가 허용되는지 검토한다.
 +
# 해당 패킷 통과가 허용된다면 외부 웹서버 B 에 연결한다.
 +
# 웹서버 B 의 응답 패킷이 방화벽에 진입한다.
 +
# 방화벽은 해당 응답 패킷을 접근제어목록에서 검토한다.
 +
# 허용된 패킷일 경우 상태 목록에서 기존 패킷에 대한 응답 패킷인지를 확인한다.
 +
# 정상적인 응답 패킷인 경우 클라이언트 A에게 연결한다.
  
 +
; 장점
 +
* 모든 통신채널에 대해 추적 가능하다.
 +
* 한 차원 높은 패킷 필터링 기능을 제공한다.
 +
* 응용프로그램 방화벽과 같은 성능 감소가 발생하지 않는다.
 +
* [[UDP]]와 [[RPC]] 패킷 추적이 가능하다.
 +
* 패킷 내의 데이터 상태와 정황(context)이 저장되고 지속적으로 갱신된다.
  
====네트워크====
+
; 단점
동일한 인터넷 회선을 사용하는 모든 기기에서 특정 사이트가 차단하게 한다.
+
* 상태 목록에 [[도스]](DOS)나 [[디도스]](DDoS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다.
*ip타임 공유기 방식
+
* 어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.
#웹브라우저 주소창에 192.168.0.1을 쳐서 들어가거나 관리 프로그램에 관리자 계정의 아이디와 암호를 입력하여 접속한다.
 
#관리도구를 눌러 설정 화면으로 진입한다.
 
#고급 설정 > 보안 기능 > 인터넷/WiFi 사용 제한 항목을 클릭한다.
 
#사용 제한의 형태를 지정하는 옵션을 클릭 후 드롭다운 메뉴에서 '사이트 접속 차단'을 선택한다.
 
#규칙 이름에는 자신이 설정한 차단의 제목을 입력하고, 다음줄에는 드롭 다운 메뉴를 클릭, '모든 내부 IP'를 선택해 주고 차단할 사이트에는 차단할 웹 사이트의 주소를 입력한다.
 
공유기를 통한 사이트 차단은 차단 즉시 효력이 발생한다.<ref name="인터넷"></ref>
 
  
 +
===인터넷===
 +
인터넷 내 특정 사이트의 접속을 허용하지 않고 차단하는 여러 가지 방법이 있다. 크게 분류하면 공유기를 통한 집 전체의 네트워크 단위에서 차단하는 방법, 호스트 파일을 이용해 특정 PC 내에서만 차단하는 방법, 특정 웹브라우저 내에서만 차단하는 방법 등이 있다.<ref name="인터넷"> it-Fix, 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》, 2020-12-28 </ref>
  
====특정 PC====
+
=====네트워크=====
공유기 차원의 사이트 차단보다는 약한 경우로 특정 데스크톱 기기에서만 가능하다.
+
네트워크로 가장 먼저 인입되서 거치되는 관문이라 할 수 있는 공유기에서 특정 사이트를 차단할 수 있다. 이 방법은 동일한 인터넷 회선을 사용하는 모든 기기에서 특정 사이트가 차단되게 되는 가장 강력한 방법이다. 다만, 이 방법을 사용하는 방법은 공유기 종류에 따라 설정 방법이 모두 다르다. 가장 많이 사용한다고 알려져 있는 아이피타임의 경우, 웹브라우저 주소창에 192.168.0.1을 쳐서 들어가거나 관리 프로그램에 관리자 계정의 아이디와 암호를 입력하여 접속할 수 있다.<ref name="인터넷"></ref>
#파일 탐색기를 열고 C:\Windows\System32\drivers\etc 경로로 찾아가고
 
#hosts 파일을 메모장(관리자 권한으로 열렸을 경우에만 호스트 파일의 수정후 저장이 가능)을
 
#호스트 파일의 하단에 있는 127.0.0.1이라는 아이피 주소는 접속이 불가능한 아이피 주소의 윈도우 예시로 보통은 이 아이피 주소를 써 준 다음 차단할 웹사이트 주소를 입력한다.
 
#메모장에서 상단의 파일 메뉴를 누르고 저장을 클릭한다.
 
효과 : 해당 PC를 재시작해야 나타난다.<ref name="인터넷"></ref>
 
  
====개별 브라우저====
+
=====특정 PC=====
가장 약한 형태의 사이트 차단 방법이자만 브라우저마다 모두 다르므로 브라우저별 차단은 개별 브라우저마다 옵션을 검토해야 한다.
+
공유기 차원의 사이트 차단보다는 약한 경우로 특정 데스크톱 기기에서만 가능하다. 파일 탐색기를 열고 C:\Windows\System32\drivers\etc 경로로 찾아간다. 해당 폴더가 보이지 않을 경우, 폴더 옵션에서 숨김 파일 및 폴더를 보이도록 체크한다. 그 다음 호스트(hosts) 파일을 메모장으로 열어야 하는데, 메모장은 관리자 권한으로 열렸을 경우에만 수정 후 저장이 가능하다. 윈도우 작업표시줄의 검색 상자에 메모장이라고 입력한 다음 관리자 권한으로 메모장을 실행한다. 그리고 관리자 권한의 메모장에서 열기를 통해 위에서 언급한 경로로 들어가 호스트 파일을 클릭한다. 열기에서의 파일 형태 옵션은 모든 파일로 지정해야 호스트 파일이 보인다. 메모장에서 호스트 파일이 열렸다면 내용을 수정한다. 호스트 파일의 하단에 있는 127.0.0.1이라는 아이피 주소는 접속이 불가능한 아이피 주소의 예시로, 보통은 이 아이피 주소를 쓴 다음 차단할 [[웹사이트]] 주소를 입력한다. 마지막으로 메모장에서 상단의 파일 메뉴를 누르고 저장을 클릭한다. 호스트 파일의 수정을 통한 특정 사이트 차단의 효과는 해당 PC를 재시작해야 나타난다.<ref name="인터넷"></ref>
*크롬 : BlockSite같은 확장 프로그램
 
*엣지 : 브라우저의 고급 설정에서 차단
 
*익스플로러 : 브라우저의 인터넷 옵션에 있는 제한된 사이트
 
*파이어폭스 : 사용자 정의 설정에서 세밀한 옵션으로 차단<ref name="인터넷"></ref>
 
  
==논란==
+
=====개별 브라우저=====
인터넷 접근차단도 방법중에 하나지만 이것에 대한 논란 여지가 있는 것도 있다. [[방송통신위원회]](방통위) : 2019년 2월 새로운 인터넷 접속차단 정책을 발표했는데 보안접속(https)을 활용하는 해외 불법 사이트 차단을 위해 서버네임인디케이션(이하 SNI) 필드 차단 방식을 도입하기로 한 것이다. 기존 [[도메인네임시스템]](DNS)이나 [[인터넷서비스제공자]](ISP)를 통한 서버 차단은 ‘http’만 가능했다. SNI는 https 인증 과정에서 노출되는 사이트 이름을 등록해 불법 사이트 여부를 파악하고 차단하는 방식인데 불법 사이트를 접속할 때 주소 입력창에 ‘http’ 대신 ‘https’를 입력하여 우회접속하는 것을 차단할 수 있는 장점이 있다. 방통위는 기존과 큰 차이가 없는 방식이라 문제될 게 없으며 해외에 주소를 둔 불법 사이트를 차단하기 위해선 불가피하다는 입장이나 인터넷 검열이라는 반대 여론이 거세졌고 결국 청와대 국민청원 게시판에 대해 이효성 방통위장이 직접 해명했다. 당시 이효성 위원장이 해결방안으로 제시한 인터넷 규제 개선 공론화 협의체가 지난 6월 13일 출범했다. 방통위의 인터넷 접속차단 정책이 다시 도마 위에 오른 내용에 대한 평론기사이다. 인터넷 접속차단 정책이 무슨 문제가 있겠는가. 인터넷에서 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 마약 범죄, 불법 도박 등 피해가 날로 커지고 있다. 규제로 이들을 단속하고 적발하는 데는 항상 한계와 어려움이 뒤따른다. 피해자들을 생각하면 인터넷 접속차단이 아니라 더 강력한 규제수단이라도 도입하고 싶은 심정이다. 그럼에도 인터넷 접속차단을 비롯해 방통위가 추진하고 있는 일련의 인터넷 규제정책은 다음과 같은 우려할 점이 있다.
+
개별 브라우저별로 특정 사이트에의 접속을 차단하는 가장 약한 형태의 사이트 차단 방법이다. 하지만 현재 자유롭게 다운로드하여 설치할 수 있는 브라우저 프로그램이 수십 가지에 이르는 만큼, 이 방법을 사용하더라도 타사의 브라우저를 설치하여 사용하면 그만이므로 차단의 효과는 크지 않다. 브라우저별 사이트 차단 방법은 브라우저마다 모두 다르므로 브라우저별 차단은 개별 브라우저마다 옵션을 검토해야 한다.
#인터넷 접속차단은 단순한 기술정책이 아닌 내용규제 : 방송통신위원회는 내용을 들여다보는 것이 아니며 사전 검열도 아니기 때문에 문제가 없다고 하지만 [[방송통신심의위원회]]가 불법사이트라고 결정하면 이후 주소를 확인하여 차단하는 방식이니 일면 내용에 간섭하지 않는 기술정책이라고 할 수도 있겠다. 그러나 기술적 조치라고 하지만 규제대상은 어디까지나 인터넷 표현물이다. 또 규제기관들이야 방송통신위원회와 방송통신심의위원회의 기능을 법적, 제도적으로 구분하겠지만 국민들 입장 : 다 같은 규제기관이고 결국은 인터넷 표현물을 차단하는 거다.
 
#내용규제이므로 어떤 내용물을 차단 : 정보통신망법 제44조의7 제1항에서 금지하고 있는 불법 정보는 다음과 같다.
 
*음란
 
*명예훼손
 
*공포심·불안감 유발 정보
 
*해킹·바이러스
 
*청소년유해매체물
 
*도박 등 사행행위 금지
 
*개인정보 보호
 
*국가기밀 누설
 
*국가보안법 위반
 
*범죄 교사·방조까지 상당히 광범위한 영역이다.
 
광범위한 내용에 대해 규제기관이 불법사이트라고 결정하면 접속차단이 된다는 것이며 방통위는 불법촬영물 등 디지털 성범죄와 피해자의 권리침해를 이번 인터넷 접속차단 규제의 필요성으로 중요하게 내세워서 일부 여성단체가 접속차단을 지지한 것도 그런 이유 때문일 것이지만 그런데 통계자료에 따르면 이번 SNI 방식으로 차단된 디지털 성범죄는 2019년3월~6월동안 단 한 건에 불과하다. 즉 새로운 접속차단 정책이 주로 어떤 표현물을 규제하겠다는 것인지 모호해진다.
 
#불법 정보에 대한 판단기준도 문제 : 불법음란물이 대표적이다. 학설과 판례에 따른 형법상 음란물이란 그 내용이 사회 통념상 일반인의 성욕을 자극하여 성적 흥분을 유발하고 정상적인 성적 수치심을 해하여 성적 도의 관념에 반하는 것이로 음란의 개념이란 고정된 것이 아니라 시대적, 사회적 가치관에 따라 바뀐다. 형법적 기준도 판단하기 어려운데 행정적 규제라고 쉽게 적용해서는 아니 되며 자칫 자의적 기준으로 표현의 자유가 무원칙적으로 침해될 소지가 크다는 것이다. 특히 위의 자료에 따르면 SNI 필드 방식으로 차단된 불법음란물 사이트는 지난 2월부터 5월까지 3개월간 3,418건으로 나타났다. 3,418건을 일일이 심의했는지, 사이트의 전체 혹은 일부를 판단했는지, 음란물의 기준을 규제기관이 먼저 기준을 제시해야 할 것이다. 국가보안법 위반 등을 우려하는 목소리가 나오는 이유이다.
 
#규제 주체의 문제 : 우리가 방송통신융합 환경에 맞춰 규제기구와 제도를 개편하면서 방송통신심의위원회를 분리하여 설치한 데는 다 이유가 있었다. 민주주의에서 표현의 자유가 왜 중요한지는 다시 언급할 필요가 없을 것이다. 방송통신위원회가 아니라 별도의 기구인 방송통신심의위원회를 조직해 심의를 담당하게 한 것은 내용규제가 대단히 중요하기 때문이다. 또 내용규제는 행정규제 다시 말해 인허가(합병심사)나 재원정책(부담금 부과), 광고규제 등과 독립될 필요가 있으며 규제기관이 사업자들의 재원이나 허가 등을 이유로 방송이든 통신이든 내용에 간섭하지 못하도록 한 것이다. 인터넷 정책의 공론화 등을 이유로 방송통신위원회가 주도적으로 인터넷 내용규제를 논의하는 것이 바람직하지 않은 이유이다. 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 어린이와 청소년 보호 등 인터넷 내용규제에서 중요하게 다루어야 하는 영역이 있다. 우리 사회에서 훨씬 더 다양하고 진지한 논의와 정책이 수립되어야 할 필요성도 있다. 인터넷 접속차단과 같은 기술적 조치도 하나의 규제수단이지만 알다시피 사업자들의 자발성이 선행되어야 한다라는 기사는 인터넷 접근차단 정책의 여러 논란들을 다뤘다.<ref> 별의수다, 〈[https://journal.kiso.or.kr/?p=9643 인터넷 접속차단 정책의 문제점]〉, 《KISO 저널》, 2019-06-27 </ref>
 
  
==기업==
+
*'''[[크롬]]''' : 블록시트(BlockSite) 같은 확장 프로그램
기업들도 사이트 접근차단기술을 개발하고 있으며 제품에 대한 설명 내용이다. 웹을 통한 업무가 늘어나면서 자산 및 비즈니스 생산성을 위협하는 많은 웹 사이트에도 노출되는 환경이 됐다. 비업무 사이트에 접속해 소중한 업무시간이 낭비되며, 악성코드가 심어진 유해한 웹사이트에 방문해 소중한 기업 자산이 탈취당할 수 있으며 또한 웹을 통해 정보를 업로드해 회사 자산을 유출하는 부적절한 행위도 쉽게 일어나기도 해서 기업의 생산성을 저해하고, 비즈니스 자산 보호에 위해한 웹 사용 환경 자체를 효과적으로 제어하기 위한 보안솔루션이 바로 보안 웹게이트웨이(SWG)이다. 보안 웹게이트웨이는 사용자가 방문하고자 하는 웹사이트의 유해여부를 탐지하고 의심스러운 링크가 있는지 확인해 안전한 웹사이트로만 접속하도록 하며 웹을 통한 파일 업로드를 막는거다. AISWG(Application Insight Secure Web Gateway)는 원치않는 소프트웨어 및 악성 코드를 포함한 악성 사이트와 비업무 사이트의 접속을 차단하여, 기업 내부 사용자의 안전한 웹 환경과 업무 효율 극대화를 보장하는 보안 웹 게이트 제품이다. HTTP 를 비롯하여 HTTPS 트래픽에 대한 복호화 및 제어가 가능하며, 위협 인텔리전스와 연계된 URL 필터링 형태로 비업무 사이트를 차단할 수 있으며, 웹을 통한 정보유출도 방지한다.<ref> 김무성 기술파트장(모니터랩), 이인희 개발팀장(모니터랩), 도윤석 상무(비전테크), 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안
+
*'''[[엣지]]''' : 브라우저의 고급 설정에서 차단
(Secure Web Gateway)]〉, 《톡IT》, 2021-04-29 </ref>
+
*'''[[익스플로러]]''' : 브라우저의 인터넷 옵션에 있는 제한된 사이트
 +
*'''[[파이어폭스]]''' : 사용자 정의 설정에서 세밀한 옵션으로 차단<ref name="인터넷"></ref>
  
==사건==
+
== 보안 솔루션 ==
다음은 접근차단 관련기사다.정부가 이전보다 더욱 강력한 웹사이트 차단 기술을 적용하기 시작했다. 유해 정보 차단 등을 목적으로 하고 있지만, 표현의 자유 위축이나 감청·검열 논란 등을 제기하는 목소리도 있다.2019년 02월 12일 IT업계에 따르면 KT[030200] 국내 인터넷서비스사업자(ISP)는 당국의 요청에 따라 지난 11일부터 '서버네임인디케이션(SNI) 필드차단 방식'을 이용한 웹사이트 차단을 시작했다.이에 유명 해외 성인 사이트 등 정부가 불법으로 규정한 웹사이트 접속이 이날부터 무더기로 차단됐다. ISP의 고객 센터나 사회관계망서비스(SNS) 등에서는 갑자기 특정 사이트가 접속되지 않는 이유를 묻는 사용자들의 문의가 몰렸다.심의 당국의 한 관계자는 "11일 하루 동안 약 800개의 웹사이트가 SNI 필드차단 방식으로 접속이 끊겼다"고 전했다.SNI는 웹사이트 접속 과정에 적용되는 표준 기술을 가리킨다. 접속 과정에서 주고받는 서버 이름(웹사이트 주소)이 암호화가 되지 않고 그대로 노출된다는 점을 노려 당국이 차단에 나선 것이다.기존에 당국이 사용하던 'URL 차단'은 보안 프로토콜인 'https'를 주소창에 쓰는 방식으로 간단히 뚫린다. 지난해 10월 도입된 'DNS(도메인네임서버) 차단' 방식도 DNS 주소 변경 등으로 우회가 가능해서 방송통신심의위원회가 지난해 웹사이트 23만8천246건을 차단·삭제 조치하는 등 정부는 성매매·음란·도박 등 이른바 유해 정보를 막는 데 주력하고 있지만, 인터넷의 특성상 차단 우회 방법이 금방 나오고 퍼지는 현실이다.이에 더욱 강력한 웹사이트 차단을 위해 정부가 지난해 발표한 것이 바로 SNI 필드차단 방식이다.그러나 정부의 인터넷 검열·규제가 점점 더 강력해지는 것에 대해 시민사회의 우려가 나왔다. 손지원 변호사 : SNI 필드를 차단하려면 정부가 기기 사이에 오가는 패킷(데이터 전송 단위)을 볼 수밖에 없다며 인터넷 이용자들이 누려야 할 표현의 자유가 위축될 것이라고 했으며 유해 사이트 차단을 목적으로 암호화되지 않은 개인 정보를 감시하는 것에 대한 적절성 문제를 지적하는 의견도 있다. IT 전문 시민단체 오픈넷은 암호화되지 않은 SNI 필드는 일종의 보안 허점이라고 볼 수 있는데, 이를 정부 규제에 활용하는 것이 적절한지 의문이라며 불법 사이트 차단 목적으로만 활용될 것이라는 보장이 없다고 지적했으며 더구나 SNI 암호화 기술이 도입되면 이번 차단 조치도 간단히 무력화될 수 있다는 점에서 애초부터 한계가 뚜렷한 '미봉책'이라는 지적도 나왔고 이미 일부 웹브라우저에 있는 SNI 암호화 기능을 켜면 정부의 이번 차단 조치를 우회할 수 있는 것으로 전해졌다는 기사 내용은 실질적인 접근차단이 필요하다는 것을 보여주는 기사다.<ref> 홍지인 기자, 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》, 2019-02-12 </ref>
+
[[보안 웹게이트웨이]](SWG)는 기업의 생산성을 저해하고, 비즈니스 자산 보호에 위해한 웹 사용 환경 자체를 효과적으로 제어하기 위한 보안 [[솔루션]]이다. 보안 웹게이트웨이는 사용자가 방문하고자 하는 [[웹사이트]]의 유해 여부를 탐지하고 의심스러운 링크가 있는지 확인해 안전한 웹사이트로만 접속하도록 하며 웹을 통한 파일 업로드를 막는다. AISWG(Application Insight Secure Web Gateway)는 원치 않는 소프트웨어 및 악성 코드를 포함한 악성 사이트와 비업무 사이트의 접속을 차단하여, 기업 내부 사용자의 안전한 웹 환경과 업무 효율 극대화를 보장하는 보안 웹 게이트 제품이다. HTTP를 비롯하여 HTTPS 트래픽에 대한 복호화 및 제어가 가능하며, 위협 인텔리전스와 연계된 URL 필터링 형태로 비업무 사이트를 차단할 수 있으며, 웹을 통한 정보 유출도 방지한다.<ref> 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안(Secure Web Gateway)]〉, 《토크아이티》 </ref>
 +
 
 +
==사례==
 +
국내 인터넷서비스사업자(ISP)는 정부의 요청에 따라 서버네임인디케이션(SNI) 필드차단 방식을 이용한 웹사이트 차단을 시작했다. 유해 정보 차단 등을 목적으로 하고 있지만, 표현의 자유 위축이나 감청·검열 논란 등이 제기되기도 한다. 이에 따라 유명 해외 성인 사이트 등 정부가 불법으로 규정한 웹사이트 접속이 이날부터 무더기로 차단됐다. 인터넷서비스사업자의 고객 센터나 [[SNS]] 등에서는 갑자기 특정 사이트가 접속되지 않는 이유를 묻는 사용자들의 문의가 몰렸다. NI는 웹사이트 접속 과정에 적용되는 표준 기술을 가리킨다. 접속 과정에서 주고받는 서버 이름이 암호화가 되지 않고 그대로 노출된다는 점을 노려 정부가 차단에 나선 것이다. 기존에 국내 정부가 사용하던 'URL 차단'은 보안 프로토콜인 [[https]]를 주소창에 쓰는 방식으로 간단히 뚫린다. 2018년 10월 도입된 [[DNS]] 차단 방식도 DNS 주소 변경 등으로 우회가 가능하다. 이에 더욱 강력한 웹사이트 차단을 위해 발표한 것이 바로 서버네임인디케이션 필드차단 방식이다.<ref> 홍지인 기자, 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》, 2019-02-12 </ref>
  
 
{{각주}}
 
{{각주}}
136번째 줄: 108번째 줄:
 
==참고자료==
 
==참고자료==
 
* 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》
 
* 〈[https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C 침입 차단 시스템]〉, 《위키백과》
* 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《IT동아》
+
* 이문규, 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《아이티동아》, 2012-04-13
*〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》
+
* 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03
* 〈[https://journal.kiso.or.kr/?p=9643 인터넷 접속차단 정책의 문제점]〉, 《KISO 저널》
+
* it-Fix, 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》, 2020-12-28
* 〈[https://itfix.tistory.com/1038 특정 웹사이트 차단하는 방법]〉, 《티스토리》
+
* 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안(Secure Web Gateway)]〉, 《토크아이티》
* 〈[https://talkit.tv/Event/2543 차세대 유해사이트 차단을 위한 구축 방안
+
* 홍지인 기자, 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》, 2019-02-12
(Secure Web Gateway)]〉, 《톡IT》
+
 
* 〈[https://www.yna.co.kr/view/AKR20190211154800017 불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨]〉, 《연합뉴스》
+
==같이 보기==
 +
* [[접근]]
 +
* [[차단]]
 +
* [[접근권한]]
 +
* [[접근제어]]
 +
* [[체크포인트]]
 +
* [[OSI]]
  
==같이보기==
+
{{보안|검토 필요}}
*[[체크포인트]]
 
*[[OSI]]
 

2021년 9월 8일 (수) 17:14 기준 최신판

접근차단이란 어느 대상접근하는 것을 막는 것을 말한다.

유형[편집]

방화벽[편집]

방화벽(Firewall)은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.[1] 인터넷이 태동되기 시작한 1980년대부터 본격적으로 도입됐으며, 초기에는 네트워크 장비 중 하나인 라우터(router)가 방화벽 역할을 전담했으며 그 후 외부 공격 형태가 다양하고 치밀해 짐에 따라 방화벽 기술도 그에 맞춰 진화했으며 80년대 말경에 등장한 1세대 방화벽은 외부로부터 들어오는 패킷(packet, 네트워크 내 데이터 이동 최소 단위)의 형태를 분석하여, 사전에 설정해 둔 보안 정책(rule)에 허용되는 패킷 만을 통과시키는 역할을 하지만 이러한 패킷분석형 방화벽은 네트워크 내 모든 패킷을 대상으로 검사 작업을 수행해야 하니 처리 속도가 느린 단점을 비롯해 여러 가지 문제점이 있어서 이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 상태 분석형(stateful inspection) 방화벽이 등장했다. 이를 2세대 방화벽으로 보는 것이 보편적이며 2000년대 초까지 활발하게 사용됐다. 이후 인터넷 시대가 대중화되면서 웹 브라우저를 통한 다양한 네트워크 서비스가 제공됨에 따라 외부로부터의 침입 또는 공격방법도 다양해졌다. 이에 패킷 내용뿐 아니라 특정 애플리케이션(웹 브라우저, FTP 클라이언트 프로그램 등)을 통한 네트워크 접근을 제어하기 위한 애플리케이션(application layer) 방화벽이 2세대 방화벽을 이어 각광을 받기 시작했다.[2]

원리

네트워크 방화벽은 기본적으로 네트워크를 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(ACL, Access Control List, 접근 제어 목록)에 따라 허용 또는 차단하는 기능을 수행한다. 일반적으로 내부 네트워크와 외부 네트워크(인터넷) 중간에 위치하여 이러한 패킷 제어 기능을 수행한다. 방화벽은 필요에 따라 여러 개를 배치하여 보안성을 강화할 수 있다. 외부 네트워크로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다. 기본적으로 방화벽은 모든 접근을 거부(deny)한 후 허용할 접근만 단계적으로 허용(allow/permit)하는 방식을 따른다. 예를 들어, 네트워크를 통해 데이터가 이동하는 통로를 포트(port)라 하는데, 방화벽은 기본적으로 약 6만 5,000여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 특정 포트만을 열어 두게 된다. 즉 홈페이지 운영을 위한 웹 서비스(http)를 제공한다면 80 포트를, FTP 서비스(ftp)를 제공한다면 20·21 포트 등을 접근 허용해야 한다. 통신 포트뿐 아니라 외부로부터 접근하는 아이피 주소나 특정 프로그램에 따라 접근이나 거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정이 모두 접근 제어 목록에 포함되어 일괄 적용된다. 방화벽의 접근 제어 목록은 대개 관리자가 구성, 설정하기 편하도록 직관적인 형태로 출력되며, 보안 규칙 적용 즉시 결과를 확인할 수 있도록 제공된다. 다만 접근 제어 목록 및 방화벽 설정에는 보안과 관련된 상당한 지식과 경험이 필요하므로 보안 전문가를 통해 정확하고 체계적으로 이루어져야 한다.[2]

패킷 필터링[편집]

패킷 필터링(Packet Filtering)은 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송계층에서 동작하는 방식이다. 패킷 필터링 방식은 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정하게 되며 다른 방식에 비해 속도가 빠른 장점이 있으며, 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다. 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용자 인증을 기대하기 어렵다. 1세대 방화벽에 속한다. 다른 방식에 비해 처리 속도가 빠르고 비용이 적게 든다. 기존 프로그램과 연동이 쉽고, 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다. 또한 사용자에게 투명성을 제공한다. 다만 단점으로 TCP/IP 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다. 또한 패킷 내의 데이터에 대한 공격을 차단하지 못한다. 바이러스에 감염된 파일 전송시 데이터 분석이 불가능하다. 패킷 필터링 규칙을 검증하기 어려우며, 접근통제 리스트와 접근 통제 순서에 따라 방화벽에 부하를 줄 수 있다. 그리고 2, 3 세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공이 미미하다.

애플리케이션 게이트웨이[편집]

애플리케이션 게이트웨이(Application Gateway)는 OSI 7계층 모델 중 애플리케이션(Application) 계층까지 동작하며 통과하는 패킷의 헤더(Header)안의 데이터 영역까지도 체크하여 통제하며 해당 서비스별로 프락시(Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행해서 이와 같은 이유로 어플리케이션 게이트웨이 방화벽을 어플리케이션 프락시 방화벽이라고도 하며 2세대 방화벽에 속한다. 프록시(Proxy)는 중개인의 개념으로 네트워크에 진입하는 혹은 나가는 패킷을 응용프로그램 수준까지 검토하여 악의적인 정보가 있는지 검사하고 이상이 없다면 그 패킷을 목적지 시스템까지 전달하는 역할을 하는 방화벽이다.

장점
  • 외부 네트워크와 외부 네트워트가 프록시 서버를 통해만 연결되고, 직접 연결은 허용되지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.
  • 패킷 필터링 방화벽 보다 높은 보안 설정이 가능하다.
  • 일회용 패스워드를 이용한 강력한 인증 기능을 제공할 수 있다.
  • 세션에 대한 정보를 추적할 수 있고, 콘텐츠 보안이 가능하다.
단점
  • 응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.
  • 일부 서비스에 대해 투명성을 제공하기 어렵다.
  • 하드웨어에 의존적이다.
  • 새로운 서비스를 제공하기 위하여 새로운 데몬이 있어야 한다.
  • 미리 정의된 애플리케이션만 수용 가능하므로 다양하고 빠르게 발전하는 인터넷 애플리케이션에 대응하지 못한다.
프록시 서버 방화벽 동작원리
  1. 외부 사용자가 서버에 접근하고자 할 때 사용자의 서비스 요청은 프락시 서버가 대신 접수한다.
  2. 콘텐츠 서버는 방화벽 안쪽에 위치하고 프록시 서버가 사용자에게는 진짜 서버처럼 인식될 수 있도록 설정한다.
  3. 사용자가 서비스를 요청하면 그 요청은 프락시 서버에 전달되고 프락시 서버는 사용자의 요청을 방화벽의 특정 경로를 통해 콘텐츠 서버에 전달한다.
  4. 1콘텐츠 서버에서 수행된 요청 결과는 다시 방화벽의 특정 경로를 통해 프락시 서버에 전달되고 프락시 서버는 사용자에게 전달하게 됨으로써 프락시 서버가 마치 콘텐츠 제공 서버처럼 보이게 된다.
  5. 만약 콘텐츠 서버가 에러 메시지를 전달하게 되면 프락시 서버는 이를 가로채어 사용자에게 보내기 전에 헤더에 포함되는 URL을 바꿈으로써 외부 사용자가 콘텐츠 서버의 리다이렉션 URL 획득을 방지할 수 있다.

서킷 게이트웨이[편집]

서킷 게이트웨이(Circult Gateway)는 OSI 7계층 구조에서 5계층(세션계층)에서 7계층(응용계층) 사이에서 접근제어를 실시하는 방화벽을 지칭하며, 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용한다. 서킷 게이트웨이 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요하다. 클라이언트 프로그램은 모든 통신에서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 서킷을 구성한 후 이 서킷을 통해 내부 시스템과 통신을 한다.

장점
  • 내부의 아이피 주소를 숨길 수 있다.
  • 첫 패킷 검사 후 다음 패킷은 전달만 한다.
  • 각 서비스별로 프록시가 존재하지 않고, 모든 서비스가 이용 가능한 일반적인 프록시가 존재한다.
  • 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있다.
단점
  • 방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는 번거로움이 있다.[3]

하이브리드[편집]

하이브리드(Hybrid) 방식은 패킷 필터링 방식과 어플리케이션 방식을 혼합한 것이다. 패킷 필터링의 장점과 어플리케이션 방식의 장점을 결합한 방식으로 패킷 레벨의 접근 제어뿐만 아니라 응용 프로그램의 사용자 제어의 장점을 가지고 있다. 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용은 패킷 필터링 방식으로 제공하게 된다.

장점
  • 내부 보안 정책 및 어플리케이션 등에 맞추어 선택적인 보안 설정이 가능하다.
  • 여러 유형의 방화벽 특징을 보유하기 때문에 새로이 등장하는 인터넷상의 모든 서비스에 가장 유동적으로 대처 가능하다.
단점
  • 관리가 복잡하다.
  • 설치 시 전문적인 네트워크 컨설팅이 필요하다.

상태 추적[편집]

상태 추적(State Inspection) 방식은 기존 방화벽의 단점을 극복하고 장점만을 구현한 새로운 개념의 방화벽이다. 방화벽의 초기 개념은 크게 두 가지 방식 즉, 패킷 필터링 방화벽과 어플리케이션 게이트웨이 방화벽으로 분류되었다. 하지만 이 두 가지 방식의 방화벽은 완벽한 방화벽 기능을 수행하지 못하거나 속도가 저하되는 등의 여러 가지 단점을 가지고 있었다. 상태 추적은 이스라엘의 방화벽 업체인 체크포인트(checkpoin)가 최초로 사용한 용어로, 네트워크 계층(3계층)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽이다. 최근 모든 방화벽 시스템에서 채용되어 사용되고 있다. 3세대 방화벽에 속한다. 기존 패킷 필터링 기능에 세션 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하여 순서에 위배되는 패킷들은 모두 차단되게 된다. 예를 들어, 내부 사용자가 인터넷으로 핑이 허용된 경우 내부자의 정상적인 핑 리퀘스트에 대해 인터넷으로부터 들어오는 핑 리플라이는 허용되지만, 인터넷으로부터 내부자의 리퀘스트가 존재하지 않은 상태에서 불법적인 핑 리퀘스트 패킷들은 차단된다.

동작원리
  1. 클라이언트 A는 특정 웹서버 B 연결을 방화벽에 요구한다.
  2. 방화벽은 상태 목록(state table)에 출발지, 도착지, 포트 서비스 및 되돌아오는 패킷 여부 기록 후 접근제어목록(ACL)을 검토한다.
  3. 접근제어목록에서 해당 패킷 통과가 허용되는지 검토한다.
  4. 해당 패킷 통과가 허용된다면 외부 웹서버 B 에 연결한다.
  5. 웹서버 B 의 응답 패킷이 방화벽에 진입한다.
  6. 방화벽은 해당 응답 패킷을 접근제어목록에서 검토한다.
  7. 허용된 패킷일 경우 상태 목록에서 기존 패킷에 대한 응답 패킷인지를 확인한다.
  8. 정상적인 응답 패킷인 경우 클라이언트 A에게 연결한다.
장점
  • 모든 통신채널에 대해 추적 가능하다.
  • 한 차원 높은 패킷 필터링 기능을 제공한다.
  • 응용프로그램 방화벽과 같은 성능 감소가 발생하지 않는다.
  • UDPRPC 패킷 추적이 가능하다.
  • 패킷 내의 데이터 상태와 정황(context)이 저장되고 지속적으로 갱신된다.
단점
  • 상태 목록에 도스(DOS)나 디도스(DDoS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다.
  • 어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.

인터넷[편집]

인터넷 내 특정 사이트의 접속을 허용하지 않고 차단하는 여러 가지 방법이 있다. 크게 분류하면 공유기를 통한 집 전체의 네트워크 단위에서 차단하는 방법, 호스트 파일을 이용해 특정 PC 내에서만 차단하는 방법, 특정 웹브라우저 내에서만 차단하는 방법 등이 있다.[4]

네트워크[편집]

네트워크로 가장 먼저 인입되서 거치되는 관문이라 할 수 있는 공유기에서 특정 사이트를 차단할 수 있다. 이 방법은 동일한 인터넷 회선을 사용하는 모든 기기에서 특정 사이트가 차단되게 되는 가장 강력한 방법이다. 다만, 이 방법을 사용하는 방법은 공유기 종류에 따라 설정 방법이 모두 다르다. 가장 많이 사용한다고 알려져 있는 아이피타임의 경우, 웹브라우저 주소창에 192.168.0.1을 쳐서 들어가거나 관리 프로그램에 관리자 계정의 아이디와 암호를 입력하여 접속할 수 있다.[4]

특정 PC[편집]

공유기 차원의 사이트 차단보다는 약한 경우로 특정 데스크톱 기기에서만 가능하다. 파일 탐색기를 열고 C:\Windows\System32\drivers\etc 경로로 찾아간다. 해당 폴더가 보이지 않을 경우, 폴더 옵션에서 숨김 파일 및 폴더를 보이도록 체크한다. 그 다음 호스트(hosts) 파일을 메모장으로 열어야 하는데, 메모장은 관리자 권한으로 열렸을 경우에만 수정 후 저장이 가능하다. 윈도우 작업표시줄의 검색 상자에 메모장이라고 입력한 다음 관리자 권한으로 메모장을 실행한다. 그리고 관리자 권한의 메모장에서 열기를 통해 위에서 언급한 경로로 들어가 호스트 파일을 클릭한다. 열기에서의 파일 형태 옵션은 모든 파일로 지정해야 호스트 파일이 보인다. 메모장에서 호스트 파일이 열렸다면 내용을 수정한다. 호스트 파일의 하단에 있는 127.0.0.1이라는 아이피 주소는 접속이 불가능한 아이피 주소의 예시로, 보통은 이 아이피 주소를 쓴 다음 차단할 웹사이트 주소를 입력한다. 마지막으로 메모장에서 상단의 파일 메뉴를 누르고 저장을 클릭한다. 호스트 파일의 수정을 통한 특정 사이트 차단의 효과는 해당 PC를 재시작해야 나타난다.[4]

개별 브라우저[편집]

개별 브라우저별로 특정 사이트에의 접속을 차단하는 가장 약한 형태의 사이트 차단 방법이다. 하지만 현재 자유롭게 다운로드하여 설치할 수 있는 브라우저 프로그램이 수십 가지에 이르는 만큼, 이 방법을 사용하더라도 타사의 브라우저를 설치하여 사용하면 그만이므로 차단의 효과는 크지 않다. 브라우저별 사이트 차단 방법은 브라우저마다 모두 다르므로 브라우저별 차단은 개별 브라우저마다 옵션을 검토해야 한다.

  • 크롬 : 블록시트(BlockSite) 같은 확장 프로그램
  • 엣지 : 브라우저의 고급 설정에서 차단
  • 익스플로러 : 브라우저의 인터넷 옵션에 있는 제한된 사이트
  • 파이어폭스 : 사용자 정의 설정에서 세밀한 옵션으로 차단[4]

보안 솔루션[편집]

보안 웹게이트웨이(SWG)는 기업의 생산성을 저해하고, 비즈니스 자산 보호에 위해한 웹 사용 환경 자체를 효과적으로 제어하기 위한 보안 솔루션이다. 보안 웹게이트웨이는 사용자가 방문하고자 하는 웹사이트의 유해 여부를 탐지하고 의심스러운 링크가 있는지 확인해 안전한 웹사이트로만 접속하도록 하며 웹을 통한 파일 업로드를 막는다. AISWG(Application Insight Secure Web Gateway)는 원치 않는 소프트웨어 및 악성 코드를 포함한 악성 사이트와 비업무 사이트의 접속을 차단하여, 기업 내부 사용자의 안전한 웹 환경과 업무 효율 극대화를 보장하는 보안 웹 게이트 제품이다. HTTP를 비롯하여 HTTPS 트래픽에 대한 복호화 및 제어가 가능하며, 위협 인텔리전스와 연계된 URL 필터링 형태로 비업무 사이트를 차단할 수 있으며, 웹을 통한 정보 유출도 방지한다.[5]

사례[편집]

국내 인터넷서비스사업자(ISP)는 정부의 요청에 따라 서버네임인디케이션(SNI) 필드차단 방식을 이용한 웹사이트 차단을 시작했다. 유해 정보 차단 등을 목적으로 하고 있지만, 표현의 자유 위축이나 감청·검열 논란 등이 제기되기도 한다. 이에 따라 유명 해외 성인 사이트 등 정부가 불법으로 규정한 웹사이트 접속이 이날부터 무더기로 차단됐다. 인터넷서비스사업자의 고객 센터나 SNS 등에서는 갑자기 특정 사이트가 접속되지 않는 이유를 묻는 사용자들의 문의가 몰렸다. NI는 웹사이트 접속 과정에 적용되는 표준 기술을 가리킨다. 접속 과정에서 주고받는 서버 이름이 암호화가 되지 않고 그대로 노출된다는 점을 노려 정부가 차단에 나선 것이다. 기존에 국내 정부가 사용하던 'URL 차단'은 보안 프로토콜인 https를 주소창에 쓰는 방식으로 간단히 뚫린다. 2018년 10월 도입된 DNS 차단 방식도 DNS 주소 변경 등으로 우회가 가능하다. 이에 더욱 강력한 웹사이트 차단을 위해 발표한 것이 바로 서버네임인디케이션 필드차단 방식이다.[6]

각주[편집]

  1. 침입 차단 시스템〉, 《위키백과》
  2. 2.0 2.1 이문규, 〈네트워크를 지키는 최후의 보루 - 방화벽〉, 《아이티동아》, 2012-04-13
  3. 별의수다, 〈침입차단시스템(방화벽, Firewall)의 종류〉, 《네이버 블로그》, 2017-08-03
  4. 4.0 4.1 4.2 4.3 it-Fix, 〈특정 웹사이트 차단하는 방법〉, 《티스토리》, 2020-12-28
  5. 차세대 유해사이트 차단을 위한 구축 방안(Secure Web Gateway)〉, 《토크아이티》
  6. 홍지인 기자, 〈불법사이트 차단 기술 '업그레이드'…800여곳 접속 끊겨〉, 《연합뉴스》, 2019-02-12

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 접근차단 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.