침입차단 시스템(Firewall)

침입차단 시스템(Firewall)은 내부 네트워크와 외부 네트워크 사이에서 트래픽을 검사하고, 보안 정책에 따라 허용·차단을 수행하는 보안 장비 또는 시스템이다. 가장 핵심적인 역할은 “들어오고 나가는 통신을 통제해 불필요하거나 위험한 접근을 막는 것”이다.

방화벽은 네트워크의 경계 지점에 위치해, 패킷이 내부로 들어오거나 외부로 나갈 때 반드시 거치도록 설계된다. 이때 방화벽은 출발지 IP, 목적지 IP, 포트 번호, 프로토콜 같은 정보를 기준으로 “이 통신이 허용된 것인가”를 판단한다. 즉, 방화벽은 사전 정의된 보안 정책(Policy)을 기반으로 동작한다.

방화벽의 기본적인 기능은 세 가지로 정리할 수 있다. 첫째, 접근 통제다. 특정 IP 대역이나 포트에 대한 접근을 허용하거나 차단한다. 둘째, 서비스 보호다. 외부에서 내부 서버로 접근할 수 있는 서비스만 제한적으로 공개한다. 셋째, 로그 및 감시다. 허용·차단된 트래픽을 기록해 침해 사고 분석에 활용한다.

동작 방식에 따라 방화벽은 여러 유형으로 나뉜다.
가장 기본적인 것은 패킷 필터링 방화벽이다. IP 주소, 포트, 프로토콜 같은 헤더 정보만 보고 빠르게 차단 여부를 결정한다. 구조는 단순하지만 세션 상태를 고려하지 못한다.
이를 보완한 것이 상태 기반(Stateful Inspection) 방화벽이다. 단순 패킷 하나만 보는 것이 아니라, 세션 상태(SYN, ACK 등)를 추적해 정상적인 연결인지 판단한다. 현재 가장 일반적으로 사용된다.
그보다 상위 개념이 애플리케이션 게이트웨이(프록시 방화벽)다. 실제 통신을 중계하면서 애플리케이션 레벨까지 내용을 분석한다. 보안성은 높지만 성능 부담이 크다.

보안 관점에서 자주 나오는 한계도 명확히 알아야 한다. 방화벽은 허용된 포트와 프로토콜을 이용한 공격에는 취약하다. 예를 들어 80번 포트(HTTP)가 열려 있으면, 그 안에서 발생하는 SQL Injection이나 XSS 같은 공격까지는 일반 방화벽이 구분하기 어렵다. 그래서 웹 공격 대응에는 웹 방화벽(WAF)이 추가로 필요하다.

정리하면, 침입차단 시스템의 핵심 포인트는 다음과 같다.
네트워크 경계에서 트래픽을 통제한다.
보안 정책 기반으로 허용과 차단을 결정한다.
가장 기본적인 네트워크 보안 장비다.
애플리케이션 계층 공격까지는 완벽히 막지 못한다.