막기는 막나? (IPS,IDS,방화벽)

사람 냄새나는 네트워크 이야기 | 막기는 막나?

출판일 :2005년 12월호

어느새 보안은 네트워크가 갖춰야할 핵심적인 사항의 하나로, 전송속도나 안정성에 못지않은 중요 요소가 됐다. 이 때문에 시장에는 엄청나게 많고 다양한 보안 제품이 선을 보이고 있어 오히려 무엇이 자사의 환경에 알맞은 것인지 쉽게 파악하기가 어려울 정도. 각 보안 장비의 특징과 장점을 살펴보고, 실질적인 적용 효과와 도입시 주의사항까지 알아본다.

최성열 | 파이오링크 기술지원센터장

연재가 어느덧 막바지에 이르렀다. 이번 달에는 '보안'과 관련된 이야기를 해보도록 하자. 필자처럼 '네트워크 엔지니어'라고 노래를 부르는 사람들도 요즘은 보안에서 자유로울 수 없을 만큼 보안이라는 분야가 알아두어야 할 중요한 주제로 자리 잡았다. 그렇다고 '또 새로운 것을 시작해야 하나?' 라는 생각을 가질 필요는 없다. 당연히 보안은 다른 분야이기는 하지만, 요즘은 보안의 일부분은 네트워크 엔지니어를 비롯한 IT의 모든 엔지니어들이 기본적으로 알아야만 하는 상식으로 변해가고 있기 때문에 두려워하지 말고 자연스럽게 받아들이면 된다.

'보안'은 우주에서 갑자기 뚝 떨어진 새로운 개념이 아니라 여러분들이 네트워크 공부를 위해 하나씩 준비해온 케이블, 스위치, 라우터, 각종 툴(키위, 이더리얼, VNC), TCP/IP에 대한 개념에서부터 시작한다. 네트워크를 전혀 모르는 사람이 보안 회사에 처음 입사해서 배우는 것도 OSI 7계층이나 라우터, 스위치, TCP/IP라고 한다.
짧은 연재에서 '보안'이라는 굉장히 포괄적인 주제를 다룰 수는 없지만, 현장에서 여러분들이 쉽게 접하게 될 몇몇 가지에 대해서 살펴보도록 하자.

모든 네트워크 장비가 보안 장비?
흔히들 보안이라고 하면, 의례적으로 파이어월부터 생각해서 IDS, IPS, 바이러스월, VPN 같은 보안 전문 장비부터 생각한다. 물론 이들이 보안에 많은 역할을 하고 있기는 하지만, 네트워크에 사용하는 대부분의 장비들은 나름대로의 보안 기능들을 수행할 수 있다는 것을 먼저 알아두었으면 한다.

(그림 1)에는 흔히 '보안장비'로 분류되는 파이어월/IDS/IPS/VirusWall/웹 애플리케이션 파이어월 등도 있지만, 일반적으로 네트워크 장비로 분류되는 라우터, 3/7계층 스위치, 심지어는 2계층 스위치까지도 일부 보안 기능을 제공한다는 것을 알 수 있다. 물론 보안전문장비들은 아니지만 이들을 적절히 이용하면 많은 효과를 볼 수가 있다고 생각한다. (표 1)은 이들 장비의 기능과 장단점을 비교 정리한 것이다.

2대 8의 법칙
보안에서는 흔히 2대 8 또는 8대 2라는 말을 사용하는데, 이는 해석하기에 따라서 20%의 것들이 80%의 문제를 일으키기도 하며, 80%의 문제들은 20%의 것들에서 나타날 수도 있다는 것이다. 해결 측면에서 보자면 20%의 행동이 80%의 문제 가능성을 해결할 수도 있다는 말이다.

3계층 스위치나 라우터에서 IP나 포트 기반의 ACL(Access List)만 사용해도 80%의 외부접근을 제한할 수 있다.
흔히들 악의적인 목적을 가진 공격자들이 특정 네트워크에 대한 공격을 시도할 때 가장 많이 사용하는 방법이 핑과 더불어 포트스캔 등을 이용하는 것이다. 특정 포트가 살아 있는지에 대한 확인을 시도하는데, 네트워크에 파이어월과 같은 보안장비가 없더라도 라우터나 3계층 스위치의 ACL을 이용해 내부로의 접근 시도를(물론 서비스를 해야 하는 것들은 열어줘야 한다) 제한해 두면 대부분의 임의 접근 시도를 차단할 수 있다.

가장 단순하게 제어할 수 있는 IP/포트에 대한 차단은 (표 1)에서 나타난 것처럼 IP 라우팅 작업을 수행하는 3계층 스위치나 라우터만 제공하는게 아니라 4계층 스위치, QoS 장비들도 대부분 제공한다. 요즘은 2계층 스위칭을 하는 스위치들도 월권(?)을 하듯이 IP나 포트까지 제어하는 경우도 있다. 더구나 3계층 스위치나 라우터들은 애플리케이션 영역이라 일컫는 컨텐츠의 특정 값들을 가진 패킷들을 차단하는 기능들을 제공하기도 한다.

장비 고유 기능은 아니지만, 이런 기능을 적절히 이용하면 네트워크를 괴롭히는 불필요한 트래픽들을 차단할 수가 있다. 하지만 장비들이 가진 고유한 기능이 아닌 부가적인 기능들의 사용으로 인한 추가적인 문제들(가장 큰 문제는 성능저하)에 대해서는 충분히 고민을 해야만 한다. 종종 현장에서 '무슨 기능을 제공합니다. 단, 성능이 1/3으로 떨어질수도 있습니다.' 라는 말을 듣기도 하지만, 때로는 전혀 그런 정보도 없이 사용했다가 낭패를 보는 경우도 있으니 충분한 확인을 한 후에 적용하자.

+++++++++++++++++++++++++++++++++++
라우터나 스위치가 제공하는 보안 기능
실제로 라우터나 스위치들이 제공하는 기능들은 제조사나 모델별로 다르겠지만, 생각보다 많은 보안 기능들을 제공한다. 다음은 일부 예이다.

++++++++++++++++++++++++++++++++++

네트워크에서의 공격과 차단
네트워크에서 일어나는 여러 가지 공격과 유해 트래픽(웜, 바이러스등)에 대한 개념을 익히기 위해서는 전체적인 분류를 할 수 있어야 하는데 다음 그림이 여러분들의 이해를 하는데 많은 도움이 될 것이다.

현재 네트워크에서 보안 장비로 분류되는 장비들중에서 가장 많은 이야기꺼리가 되고 있는 것은 당연히 파이어월, IPS(침입방지시스템), 바이러스월이라고 할 수 있다.
(그림 2)처럼 단계적으로 세션 기반에서 애플리케이션 기반으로, 그리고 마지막으로 파일 기반으로 단계가 높아지는 것 같지만, 이는 보안의 범위가 넓어지기 보다는 전체적인 확인 수준이 조금 깊어졌다는 것의 의미한다.

3계층 스위치나 라우터에서는 패킷 단위의 ACL을 적용해 TCP의 가장 기본적인 단계인 TCP 핸드쉐이크 단계 등은 전혀 무시된 상태에서 IP와 포트 기반으로만 동작을 한다. 하지만 파이어월은 각 세션 정보들을 감시해 정상적인 단계를 거치지 않은 세션들은 기본적으로 허용된 IP/포트라 하더라도 차단하도록 설계돼 있다.
대부분의 네트워크가 파이어월의 IP/포트 차단, 상태감시(Stateful Inspection) 기능으로 오랫동안, 그리고 지금까지 표준으로 사용되고 있다. 하지만 몇해전부터 네트워크에서 IP/포트 또는 세션 감시만으로는 해결할 수 없는 일들이 우리를 괴롭히기 시작했다.

가장 크게 이슈가 되기 시작한 것은 2001년 7월에 발생한 코드레드라는 바이러스부터다. 그때 필자도 한참 고생을 했었던 것으로 아주 생생하게 기억을 한다. 물론 이 문제는 우리나라에만 발생한게 아니라 전세계적으로 큰 이슈가 됐다. 국내에서는 알려진 것만 3만 7000여대의 윈도우 서버들이 코드레드 바이러스에 감염됐다.

코드레드는 마이크로소프트의 윈도우 서버 중 IIS의 취약점을 가진 서버들에게 HTTP Get Request에 특정 URL을 이용해 접속하는 방식으로 취약점이 있는 시스템들은 감염시킨다. 물론 사전 패치가 된 시스템들은 로그파일에 File Not Found 처럼 잘못된 요청에 대한 에러만 남긴다.

이 바이러스의 가장 큰 특징은 TCP 세션이 정상적으로 맺어진 후 애플리케이션 기반에서 동작을 한다는 점이다. 파이어월에서 특정 포트를 막는 방식으로는 해결할 수 없기 때문에 다른 대안이 필요했다. 코드레드 이후에도 변종인 님다가 기승을 부렸고, 이후에는 UDP, ICMP 기반의 블래스터/슬래머 웜 등이 부린다.

++++++++++++++++++++++++++++++++++++++++++++
애플리케이션 공격를 막는 파이어월 대안이 IPS?

(그림 2)에서 파이어월의 대안으로 애플리케이션 기반의 웜과 바이러스 공격을 막는 장비가 IPS로 설명됐는데, 사실 코드레드, 님다가 한창일 때는 IPS라는 개념은 없었던 것으로 기억한다.
그때 당시의 해결책으로서는 하루라도 문제되는 시스템들을 패치하는 것이었다. 그리고 조금이라도 애플리케이션을 제어하기 쉬운 장비들, 예를 들면 4계층 스위치, QoS, 캐시서버, IDS 등이 앞다퉈 코드레드와 님다 등을 제어하는 기능들을 탑재했다. 그리고 이후에는 라우터나 스위치들도 이런 기능들을 추가한다.

그래서인지 요즘 대부분의 장비들에서는 코드레드나 님다와 같은 악질 웜 바이러스를 차단하는 기능은 쉽게 찾아 볼 수 있다. 하지만 아직까지 남은 숙제들은 IP나 포트보다 깊숙한 패킷 속에 있는 패턴들을 찾아내야 하기 때문에 성능에 많은 영향을 준다는 점이다.IPS는 여러 가지 제품들이 일부분씩 대응을 하고 있던 시장에 2~3년전부터 많은 기능들을 앞세워 시장에 진입했다.

++++++++++++++++++++++++++++++++++++++++++++

다 막을 것 같은 IPS
IPS의 장점은 파이어월이 처리하지 못하는 애플리케이션 기반에서 제어를 해야만 하는 웜 바이러스와 취약점 공격 등을 차단하는 기능을 가지고 있다는 것이다.

IPS는 파이어월에서 확장된 개념과 IPS와 비슷한 이름인 IDS(침입탐지)에서 변형된 형태가 있다. IDS는 네트워크에서 패킷 미러링이나 탭 장비 등을 이용해서 수집된 패킷들에서 애플리케이션 레벨까지 검사해 관리자에게 정보를 알려주는 일을 한다. 하지만 IDS는 가장 큰 약점으로 문제를 확인한 후 자체 해결을 못하고 관리자에게 문제가 있다고 알려만 준다는 것과 안 그래도 바쁜 관리자들에게 종종 잘못된 탐지로 인해 부담을 준다는 점이다. 혹자는 IDS를 보석상에 도둑이 들었을 때 화상을 저장하는 감시카메라에 비유하곤 한다. 물론 감시카메라는 도둑을 직접 잡지는 않는다.

현재 나오는 대부분의 IPS는 파이어월의 문제(애플리케이션 기반으로 트래픽을 제어하지 못한다는 점)와 IDS의 단점(차단 불가, 오탐)을 완벽하게 보완했다는 점을 강조하고 있다.
IDS가 네트워크에서 별도로 미러링이나 탭에 의해 트래픽을 전달하는 반면, IPS는 네트워크 중간에서 모든 패킷을 확인하고 차단을 해야 하기 때문에 (그림 4)와 같이 네트워크 중간에 연결하되 대부분 관문 부근에 설치되는 게 일반적이다.

(그림 4)에서 IPS는 라우터와 파이어월/VPN 사이에 설치됐다. 보통 IPS는 네트워크 중간에 신규로 연결되는 경우가 많아 인라인으로 중간에 연결되면서 기존 네트워크를 유지하는 브리지(Brdige)형태로 연결된다. 다시 말해서 IPS가 설치되면서 기존 네트워크를 변경할 필요는 없다.

IPS가 네트워크에 브리지로 연결되면 고려해야 할 부분중에 하나가 바로 장비의 장애가 발생했을 때다. 이점에서 IPS 제품은 크게 두가지로 나눠진다. 내부적으로 장애가 발생하면 바이패스하는 아키텍처를 가진 제품도 있고, (그림 5)처럼 아예 물리적으로 외부에 바이패스 장치를 두고 장애가 발생하면 이를 통해 바이패스하는 경우도 있다. 이런 외부장치를 보통 FOD(FailOver Device)라고 부른다.

보통 IPS 제품들은 파이어월이 가지고 있는 상태 검사 차단 기능과 정책, 로그 기능을 제공하지만, 기존에 파이어월을 구동하고 있거나 일부 여유가 있어 파이어월을 같이 도입할 여유가 있다면 IPS가 파이어월없이 단독으로 설치되기 보다는 상호 보완적인 개념으로 IP/포트 기반의 차단은 파이어월에서 처리하고 IPS는 파이어월이 처리하지 못하는 각종 웜/바이러스와 취약점 공격등에 대한 차단 역할을 하는 경우가 대부분이다.

또 다른 이유 중에는 파이어월이 네트워크에서 차단의 역할 뿐만이 아니라 NAT(Network Address Translation)를 이용해 내부 사설 IP 사용자가 외부로 연결될 때 주소변환 역할을 하는 경우도 많기 때문 일수도 있다. 많은 사람들이 인식하고 있는 것처럼 파이어월에서 가장 많은 부하를 차지하는 부분이 바로 클라이언트의 모든 세션마다 주소변환을 하고 NAT 테이블을 관리하는 것인데, 이런 부하를 IPS가 처리하는 것도 만만치 않기 때문이다. (NAT는 브리지 구성에서는 동작하지 않는 게 일반적이다.)

쉽게 생각하면 파이어월 역할을 완벽하게 대체하면서 IPS의 고유기능을 수행하는 IPS를 구매하면 좋겠지만, IPS는 아직까지도 높은 가격대를 유지하고 있기 때문에 고성능의 제품만을 고집한다는 게 그리 쉬운 일만은 아니다. 필자의 이런 생각에도 불구하고 아주 가끔씩 IPS를 맹신해서 기존 파이어월까지 모두 철거하고 IPS 하나만으로 네트워크 관문을 지키는 경우도 있다.

+++++++++++++++++++++++++
7계층 스위치에서 변형된 IPS
파이어월과 IDS에서 진화된 IPS가 있는가 하면, 일부 4/7계층 스위치 업체들도 7계층 기반의 컨텐츠 로드밸런싱 기술을 기반으로 한 보안 스위치로의 변화를 꾀하고 있는 경우도 종종 있다. 그래서 일부 업체에서는 아예 제품 자체를 IPS라고 부르는 경우도 있다. 요즘 몇몇 제품들은 IPS 제품으로서의 특징 중 하나인 패턴 자동 업데이트까지 제공해 웜/바이러스 또는 취약점 패턴들을 업데이트한다.

7계층 스위치가 IPS와 가장 차이가 나는 부분은 (그림 6)처럼 본연의 기능인 로드밸런싱 기능(SLB, NLB, CSLB, FW/VPNLB)과 함께 보안기능을 사용할 수 있다는 점이다. 4/7계층 스위치의 위치가 네트워크에서 중요한 서비스 위치에 있으므로 IPS와 같은 보안 기능은 추가적인 장비도입없이 지원된다는 것만으로도 장점이라고 할 수 있다.

그리고 7계층 스위치의 장점으로는 플랫폼 상으로 패킷처리에 유리한 스위치 형태로 구성돼 있기 때문에 서버기반 장비보다는 고성능이라고 인식되고 있다. 하지만 특별한 기능없이 기본적인 성능은 높을 수도 있지만, 실제 여러 가지 기능들이 탑재되도 그렇게 동작할 수 있을지에 대해서는 충분히 고민해 봐야 한다.

요즘은 하드웨어 플랫폼들의 사양이 좋아져 기본적인 성능은 모두 우수하다고 볼 수 있다. 고성능이 필요하다면 내게 필요한 기능들을 모두 Enable을 한 상태에서 가급적 충분한 테스트를 하고 적용하는 것도 필요하다. 보안기능으로 동작을 한다면 당연히 해당되는 보안 필터나 규칙들이 동작하는 상태에서 성능 테스트를 하는 게 실제 적용을 위해서는 필요한 일이다. (그림 7)은 보편적으로 보안 패턴 숫자에 따라 성능저하가 많은 제품들을 보여주고 있다. 기본으로 표시된 그래프처럼 되어야 하지 않을까 싶다.

++++++++++++++++++++++++++++++++

로드밸런싱을 통한 성능 향상
IPS 장비를 도입할 때 종종 장비가 도입하려는 네트워크의 성능에 못 미치는 경우가 있는데, 이럴 때 무작정 상위기종을 선택하기 보다는 IPS 자체를 이중화하는 방법도 생각해 볼 수 있다. 복수의 IPS를 이용해 성능 향상을 꾀하거나 장애에 대비하기 위해서는 브리지 파이어월을 4계층 스위치를 이용해 로드밸런싱 했던 방법을 이용하면 쉽게 구성이 가능하다.파이어월/VPN 등이 이중화될 때 4/7계층 스위치를 이용해 로드밸런싱하는 것은 아주 보편적이지만. 아직까지 IPS나 바이러스월등과 함께 적용되는 사례는 많지 않다.

가장 큰 이유로 이들 제품은 설치시에 대부분 브리지 형태로 구성된다. 하지만 이들이 로드 밸런싱이 되기 위해서 2개 이상이 될 때부터는 여지없이 가상 LAN으로 나누지 않으면 루프가 생성돼 대부분의 4/7계층 스위치들은 이런 구성에서는 가상 LAN으로 구분해 서비스할 수 밖에 없는 특징이 있다. 이는 브리지 파이어월이 복수로 연결돼 밸런싱될 때도 마찬가지다. 그래서 종종 4/7계층 스위치를 브리지 파이어월이나 IPS/바이러스월과 구동을 할 때 하나의 네트워크가 무시되고, 여러 개의 복수 가상 LAN으로 구성돼 네트워크가 변경되는 경우도 종종 있다.그래서 브리지 파이어월, IPS, 바이러스월을 L4/L7 스위치와 이중화 할 때는 그림7과 같이 동일 VLAN으로 구성되어 네트워크 변경이 되지 않도록 할 수 있는가를 가장 중요하게 고려해야 한다.

++++++++++++++++++++++++++++

알려지지 않은 공격도 막는 IPS
기존에 보안에 대해 어느 정도 알고 있는 사람이라면 IPS라는 것이 사실 기존의 여러 개념들이 하나로 통합해 만들어진 제품이라는 것 외에는 특별히 놀랄 부분이 없다는 것을 생각할 수도 있다.

하지만, 이런 필자를 가장 놀라게 했던 개념이 바로 "알려지지 않는 공격도 차단"하는 기능이다. 흔히 Anomaly 라는 표현을 사용해 변칙, 예외 공격이나 트래픽을 의미하는데, 많은 제품들이 자신들의 독자적인 방식에 의해서 Anomaly 트래픽을 제어하고 있다. 이 부분이 정말 완벽하게 동작을 한다면 요즘처럼 네트워크 보안 문제로 시달리고 있는 많은 네트워크 관리자에게 커다란 혁명이라고 할수 있다.

하지만 아직까지 필자의 보안에 대한 부족한 지식 때문인지는 모르지만, 각 장비업체가 주장하는 것처럼 정말 알려지지 않은 '모든' 공격을 막을 수 있을까 하는게 의문이다. 아무튼 보안은 날로 인터넷에 연결된 모든 것을 괴롭히고 있고 이 어려운 난관을 극복하는데 IPS가 주장하는 데로만 동작해 주었으면 하는 바램이다.
++++++++++++++++++++++++++++

웜/바이러스/스파이웨어 차단하는 바이러스 월
IPS가 네트워크에 지나다니는 패킷들을 샅샅이 조사하는 반면, 바이러스월은 (그림 9)에서 보여지는 것처럼 동작방식에서 차이를 보인다.

패킷 단위의 처리 방식에서는 호스트가 보낸 세션들을 관리하기는 하지만 해당되는 세션에 대한 응답과 처리를 직접 제어하지는 않는다. 하지만 바이러스월은 일종의 프록시 방식처럼 자신이 처리할 애플리케이션에 대해서는 자기자신이 요청과 응답을 대신 처리하는 방식을 사용한다.

흔히들 이런 동작 방식을 '애플리케이션 게이트웨이(Application Gateway)'라고 한다. 예를 들어 사용자가 HTTP를 사용하면 중간에 위치한 바이러스월이 HTTP세션에 대한 세션을 가로채거나 직접 응답하는 방식을 이용해 자기 자신이 클라이언트가 요청한 서버에 요청을 보낸다. 그리고 사용자가 애플리케이션 기반의 요청을 보내게 되면 그 요청을 실제 서버에게 다시 요청을 보낸다. 제품들에 따라서는 조금씩 다를수는 있지만 대부분의 사용자와 서버들은 사이에 바이러스월에 의해서 서비스를 받고 있는지를 모르고 인터넷 트래픽을 사용하는 경우가 대부분이다.

바이러스월은 인터넷에서 가장 많이 사용되는 트래픽인 HTTP를 비롯해서 FTP와 메일프로토콜(SMTP, POP3, IMAP)에 대한 제어를 한다. 그래서 대부분의 트래픽은 (그림 9)처럼 5개 정도의 트래픽을 제어하는 것으로 이해하면 된다. 아무래도 웜/바이러스들이 대부분 이들 트래픽에 의해서 전파되는 것도 이유가 될 수 있다.
코드래드와 님다 만큼 유명한 웜중에 '1.25 인터넷 대란'을 일으킨 주범이 슬래머(Slammer)이다. 이 웜은 MS-SQL의 모니터링 포트를 이용해 전파 된다. 이 웜은 UDP 1434를 사용하기 때문에 일반적인 바이러스월의 처리 범주가 아니다. 물론 바이러스월들이 보편적으로 5개의 프로토콜을 제어하기는 하지만 필요에 따라서는 다른 프로토콜을 처리하는 제품들도 있다. 더구나 요즘 제품들은 DoS/DDoS와 같은 공격들도 제어하는 경우가 있으니 사실 정확히 규정짓기는 쉽지 않다.

IPS가 실시간으로 전달되는 웜/공격/취약점 패턴들을 제어하는게 특징이라면 바이러스월은 주요 트래픽에 대한 웜/바이러스와 더불어서 이들 트래픽을 통해서 전달되는 바이러스들중에 파일에 탑재되어 파일 전체를 스캔해야만 찾을 수 있는 것들에 대해서도 처리를 한다. 바이러스월이 해당되는 파일을 모두 수신한 하여 저장을 한후 검사를 하고 문제가 없을 경우 사용자가에게 전달을 한다. (물론 IPS는 여기까지는 처리하지 못한다.)
바이러스월은 파일단위의 처리까지 직접해야 하기 때문에 IPS보다도 처리하는데 많은 자원을 사용한다. 그래서 적은 트래픽(수 Mbps)의 기업에 설치된 바이러스월들을 보면 이들 5개 프로토콜을 처리하는데도 CPU 사용률이 상당히 높다. 그래서 가끔 5개 프로토콜 중에 1~2개만을 사용하는 경우도 있다.

바이러스월의 이런 특징들로 인해 실제 네트워크에서는 바이러스월 한 대로 해당 네트워크를 서비스 할 수 없는 경우가 있어 다수의 바이러스월을 병렬로 연결하는 경우가 종종 있다. 필자의 경험중에는 100Mbps도 안 되는 네트워크를 보호하기 위해 라우터 하단에 5대의 바이러스월을 사용하는 경우가 있었다.
바이러스월이 네트워크에 구성 될 때는 게이트웨이 방식 일 때는 사용자들이 웹 브라우져의 프록시 설정이나 아웃룩 익스프레스의 메일 수신/발신 주소를 바이러스월로 설정하여 사용하는 아주 기본적인 방법을 사용하거나 L4/L7 스위치를 이용하여 캐시처럼 5개의 트래픽이 스위치를 통과할 때 바이러스월로 방향을 전환하는 방식을 사용하는 경우도 있다.
이것은 전형적으로 사용되던 캐시서버 구성방식과 같다.

보안은 도입보다 관리

요즘은 바이러스월들이 IPS 처럼 브지리 형태로 네트워크 구성을 전혀 변경하지 않고 구성되는 경우도 많다. 이런 경우에는 브리지 파이어월이나 IPS처럼 복수의 로드밸런싱을 할 수도 있다. 하지만 이 구성에서도 완전 브리지 형태 구성이 가능한 경우만 고려되어야 한다. (그림 8 참고)
바이러스월은 PC에서 사용되는 안티 바이러스 프로그램이 서버에 탑재돼 네트워크 전체에 대한 서비스를 하는 형태라고 생각하면 가장 이해하기 쉽다. 왜 부하가 많은지에 대해서 위에서 간단하게 설명을 했지만 여러분들이 직접 확인하고 싶다면 윈도우 PC의 '작업관리자-프로세스'를 열어보면 바이러스 프로그램이 얼마나 많은 자원을 차지하고 있는지 쉽게 확인 할 수 있을 것이다.

여러분들이 사용하는 바이러스 프로그램이 가장 많은 자원을 사용하고 있을 것이다. 그래서 필자의 경우는 여러 가지 프로그램들을 하나씩 설치해가면서 가급적이면 적은 자원을 사용하는 것을 선택할 정도이다. PC 하나를 제어하는데 사용하는 자원도 적지 않은데 네트워크에 있는 모든 컴퓨터의 트래픽을 처리한다면 현재의 제품들로서는 성능적인 한계가 많다는 것은 당연한 일이 아닐 수 없다.

인터넷이나 신문, 잡지 같은 대중매체에서 보안에 대한 이야기가 너무 많이 나와서 그런지 언젠가는 두통을 느낄 정도였었다. 하지만 요즘은 두통은 조금씩 사라졌지만 흐릿한 안개가 드리운 듯한 느낌을 받을 때가 많다.
인터넷이 존재하는 한 바이러스, 공격, 취약점등 다양한 유해한 요소들은 호기심을 가진 이들에 의해서 계속 생겨 날 수 밖에 없는 일이고 이들에 의해서 단순사용자가 아닌 우리들에겐 뗄레야 뗄수 없는 부담이 아닐 수 없음을 기억하자.

비싼 보안 제품을 도입하는 것만이 요즘의 유해 트래픽을 해결 할 수 있는게 아니라는 것은 누구나 알 수 있는 일이다. 각종 취약점 패치도 인지를 해야 하고 보안과 관련된 것들에 대한 지식을 넓히는 일은 꾸준히 선행되어야 한다.

출처: 월간지 온더넷