220. 내부 방화벽 (Internal Firewall)

⚠️ 이 문서는 해커가 외부망에서 들어오는 것을 막는 '외부 방화벽'이 이미 뚫렸거나, 내부 직원이 앙심을 품고 사내망에서 공격을 시작했을 때 피해가 회사 전체로 퍼지는 것을 막기 위해, 안전하다고 믿었던 사내망 내부에 겹겹이 쳐놓는 차단벽인 '내부 방화벽(Internal Firewall)'과 망분리(Segmentation) 전략을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: "우리 편은 모두 믿을 수 있다"는 전통적인 경계형 보안(Castle-and-Moat) 모델의 오만함을 버리고, 내 옆자리에 앉은 직원의 PC나 옆 부서의 서버조차 잠재적 해커로 간주하는 제로 트러스트(Zero Trust) 사상의 물리적/논리적 구현체다.
  2. 가치: 영업팀 대리의 PC가 랜섬웨어(Ransomware)에 감염되더라도, 내부 방화벽이 영업망과 개발망/회계망 사이를 굳게 틀어막고 있기 때문에 악성코드가 다른 부서나 핵심 서버 팜으로 수평 확산(Lateral Movement)되는 것을 원천 차단한다.
  3. 기술 체계: 단순히 스위치 수준의 VLAN(논리적 쪼개기)을 넘어, 서로 다른 부서망이나 DMZ 간을 오갈 때 반드시 고성능 L7 차세대 방화벽(NGFW)의 엄격한 포트/애플리케이션 검사를 통과하도록 설계(마이크로 세그멘테이션)한다.

Ⅰ. 성곽 방어(Perimeter Defense)의 붕괴

성문 밖만 철저히 감시하는 경비 시스템은 첩자에게 속수무책이다.

  1. 외부 방화벽의 한계 (Flat Network의 비극):
    • 과거 기업들은 인터넷과 사내망 사이에 비싼 방화벽 1대만 세워두고, 사내망(Intranet)은 누구든 자유롭게 통신할 수 있는 평평한 하나의 거대한 운동장(Flat Network)으로 묶어두었다.
  2. 내부자 위협 (Insider Threat):
    • 개발팀 신입사원이 집에서 감염된 USB를 가져와 회사 PC에 꽂았다.
    • 외부 방화벽은 인터넷 밖에서 들어온 공격이 아니므로 이 사태를 전혀 눈치채지 못한다.
    • USB에서 깨어난 랜섬웨어는 사내망이 운동장처럼 뻥 뚫려있는 것을 확인하고, 1초 만에 인사팀, 재무팀, 운영 DB 서버까지 빛의 속도로 전염시켜 회사를 마비시킨다 (수평 확산).

📢 섹션 요약 비유: 궁궐 외곽 성벽(외부 방화벽)은 20미터 높이로 튼튼하게 지어놓고, 막상 궁궐 안의 왕의 침소, 금고, 주방 등은 문짝 하나 없이 통째로 터놓은 황당한 궁궐입니다. 담장을 몰래 넘어온 도둑 1명이나, 배신한 궁녀(내부자) 1명이 궁궐 안의 모든 보물을 하룻밤 새 싹 쓸어갈 수 있는 치명적 약점입니다.

Ⅱ. 세그멘테이션과 내부 방화벽의 구축

건물 안에도 부서별로 잠금장치와 ID 카드 리더기를 달아야 한다.

  1. 망 분리 (Network Segmentation):
    • 거대한 사내망을 부서나 목적에 맞게 여러 개의 작은 덩어리(VLAN이나 서브넷)로 쪼갠다.
    • 영업팀망, 개발팀망, 서버 팜(Server Farm), DMZ 등으로 완전히 찢어버린다.
  2. 내부 방화벽(Internal Firewall) 배치:
    • 찢어진 망과 망 사이를 이어주는 유일한 길목에 '내부 방화벽'을 세운다.
    • 영업팀 직원이 서버 팜에 있는 사내 인트라넷에 접속하려 할 때, 내부 방화벽이 "영업팀 IP대역에서 80번(웹) 포트로 들어오는 것만 통과(Allow), 3306(DB) 포트로 찌르는 건 차단(Drop)!"이라는 엄격한 ACL 규칙을 적용한다.
  3. 가시성 (Visibility) 확보:
    • 악성코드가 영업망에서 개발망으로 넘어가는 시도를 내부 방화벽이 IPS 기능으로 뜯어보고 "이상한 공격 시도가 100건 차단됨!"이라는 경고를 보안팀(SOC) 대시보드에 띄워주어, 해커가 완전히 퍼지기 전에 조기 진압할 골든 타임을 제공한다.

📢 섹션 요약 비유: 잠수함이 어뢰를 맞아 뱃머리에 구멍이 뚫리더라도 전체가 가라앉지 않는 이유는 잠수함 내부가 수십 개의 독립된 쇠 칸막이(격벽 = 내부 방화벽)로 쪼개져 있기 때문입니다. 한 칸에 물(해커)이 차면 즉각 튼튼한 쇠문을 닫아버려(세그멘테이션), 나머지 엔진실과 선원실(핵심 자산)을 완벽하게 살려내는 지연 방어 전술입니다.

Ⅲ. 성능의 딜레마와 마이크로 세그멘테이션

부서를 넘나드는 모든 대화가 방화벽을 거치면 속도가 죽는다.

  1. East-West 트래픽의 폭증:
    • 과거에는 직원이 인터넷으로 나가는 트래픽(North-South)이 많았지만, 지금은 서버와 서버끼리 쉴 새 없이 데이터를 주고받는 내부 통신(East-West 트래픽)이 전체의 80%를 차지한다.
    • 이 엄청난 양의 내부 통신을 내부 방화벽이 일일이 엑스레이(DPI) 찍어 검사하면 사내 네트워크가 거대한 병목(Bottleneck)에 빠져 멈춰버린다.
  2. 대역폭(Bandwidth)의 타협:
    • 외부 방화벽은 10Gbps 정도면 되지만, 내부 방화벽은 100Gbps 이상의 어마어마한 괴물급 스펙을 요구하므로 장비값이 천문학적으로 든다. 따라서 꼭 필요한 부서 간 통신(예: 직원망 $\rightarrow$ 서버망) 길목에만 선별적으로 세우는 설계의 묘미가 필요하다.
  3. 미래: 마이크로 세그멘테이션 (Micro-Segmentation):
    • 비싼 하드웨어 기계를 세우는 대신, 클라우드 시대에는 VMWare NSX나 K8s의 Network Policy처럼 '각 가상 서버(VM)나 컨테이너 하나하나의 OS 내부에 직접 미니 소프트웨어 방화벽을 씌워버리는' 극한의 쪼개기 기술로 진화하고 있다.

📢 섹션 요약 비유: 회사 복도마다 경비 아저씨(내부 방화벽)를 세워두고 옆 부서에 말 걸러 갈 때마다 소지품 검사를 하면 보안은 완벽하지만 직원들은 답답해서 폭동을 일으킵니다(성능 병목). 그래서 현대 클라우드 보안은 복도 경비원을 없애고 아예 모든 직원의 옷에 개인용 소형 거짓말 탐지기(마이크로 세그멘테이션)를 부착해 부하를 분산시키는 극단적 방식을 도입하고 있습니다.