690. 방화벽 (Firewall) 필터링 1,2,3 세대 진화

핵심 인사이트: 초창기 방화벽은 택배 상자 겉면에 적힌 '보내는 주소(IP)'만 보고 입구 컷을 때리는 단순한 경비원이었다. 하지만 해커들이 정상 주소로 위장해서 독약(악성코드)을 보내자, 경비원의 눈이 진화했다. 겉면뿐 아니라 "어? 이 택배 아까 문 열고 나간 놈이 시킨 거 맞아?(상태 추적)", 더 나아가 "택배 상자 다 뜯어서 안에 든 넷플릭스 CD인지 해킹 프로그램인지 내용물까지 다 검사해!(애플리케이션 검사)"로 발전해 온 30년의 방화벽 진화사다.

Ⅰ. 방화벽 (Firewall)의 개념

  • 내부의 사내망(신뢰 네트워크)과 외부의 인터넷망(비신뢰 네트워크) 사이의 길목에 설치되어, 통과하는 모든 패킷을 검사하고 미리 정해진 보안 규칙(Rule/Policy)에 따라 통과(Allow)시킬지 차단(Drop)할지 결정하는 가장 기초적인 네트워크 보안 관문 장비입니다.

Ⅱ. 1세대 방화벽: 패킷 필터링 (Packet Filtering) - 1980년대 🌟

  • 작동 계층: OSI 3계층(네트워크)과 4계층(전송)
  • 원리: 택배 상자의 '겉면 송장'만 검사합니다. 공유기나 라우터에 탑재된 ACL(접근 제어 목록) 기능이 대표적입니다.
    • 검사 내용: 출발지/목적지 IP 주소, TCP/UDP 포트 번호.
    • 예시: "출발지 IP 123.x.x.x에서 들어오는 80번(HTTP) 포트 접근은 허용, 22번(SSH) 포트는 무조건 차단!"
  • 한계점 (기억상실증): 패킷을 단 1개 단위로 독립적으로 검사합니다(Stateless). 아까 내가 웹서버로 요청을 보낸 적도 없는데, 갑자기 네이버 IP로 둔갑(위조)한 해커의 정상 패킷이 쏟아져 들어오면 방화벽은 "오 정상 포트네?" 하고 다 통과시켜버리는 치명적 멍청함을 보였습니다.

Ⅲ. 2세대 방화벽: 상태 기반 감시 (Stateful Inspection) - 1990년대 🌟

  • 개념: 체크포인트(Check Point) 사가 발명한 기술로, 1세대의 기억상실증을 치료하기 위해 방화벽 내부에 '상태 테이블(Session Table/메모리)'을 만든 똑똑한 방화벽입니다. (현재 우리가 쓰는 대부분의 일반 방화벽 원리)
  • 원리 (문맥 이해):
    • 내부 직원이 네이버로 [SYN] 패킷을 보냅니다. 방화벽은 이를 상태 테이블 장부에 "내부 IP A가 네이버 IP B로 연결을 요청했음"이라고 적어둡니다.
    • 잠시 후 네이버 IP에서 [SYN+ACK] 패킷이 돌아옵니다. 방화벽은 장부를 뒤져보고 "아, 아까 우리 직원이 요청했던 그 정상적인 대화의 연장선(Session)이구나!" 하고 바로 통과시켜 줍니다.
    • 반대로, 내가 요청한 적도 없는데 해커가 갑자기 뜬금없이 [ACK][FIN] 패킷을 던지면? "내 장부에 없는 놈인데 어디서 사기야?"라며 문맥이 맞지 않는 공격(DDoS, 스캔)을 완벽하게 차단해 냅니다.

Ⅳ. 3세대 방화벽: 애플리케이션 방화벽 / 프록시 (Application Proxy) - 2000년대

  • 작동 계층: OSI 7계층 (응용 계층)
  • 원리: 겉면 송장(IP, 포트)만 보는 게 아니라, 택배 상자를 칼로 완전히 뜯어서 내용물(Payload)까지 샅샅이 뒤져보는(Deep Packet Inspection) 집요한 검열관입니다.
  • 특징: 내부 직원과 외부 해커가 직접 연결(TCP)되도록 두지 않습니다.
    • 방화벽(Proxy)이 중간에서 대리인 역할을 하여 외부에서 온 패킷을 대신 받고, 7계층 HTTP 페이로드를 뜯어서 그 안에 '악성 SQL 인젝션 코딩'이나 '바이러스 첨부파일'이 있는지 내용물을 100% 엑스레이 검사한 뒤, 깨끗하면 다시 포장해서 내부로 전달합니다. (보안은 최강이지만 속도가 너무 느려지는 병목이 심했습니다.)

📢 섹션 요약 비유:

  1. 패킷 필터링: 우편물 분류 알바생입니다. 편지 봉투에 '수취인: 사장님'이라고 적혀있으면 묻지도 따지지도 않고 무조건 사장님 책상으로 보냅니다. (안에 폭탄이 들어있든 말든 관심 없음)
  2. 상태 기반 감시: 비서입니다. 수첩을 펴놓고, "사장님이 어제 다방에 짜장면 배달을 시켰음"이라고 적어둡니다. 오늘 다방에서 짬뽕 배달부가 오면 "사장님은 짜장면 시켰는데, 넌 누구냐!"라며 사기꾼 배달부를 돌려보내는 똑똑함을 갖췄습니다.
  3. 애플리케이션 프록시: 대통령 경호원입니다. 우편물이 오면 발신인 확인은 물론이고, 아예 편지를 칼로 찢어서 안에 폭탄 가루(악성코드)가 있는지 내용물(Payload)을 끝까지 다 까서 화학 분석을 마친 뒤에야 다시 예쁘게 밀봉해서 대통령에게 전달하는 가장 느리지만 철저한 방어막입니다.