NGFW란 무엇인가: 기존 방화벽의 한계와 차세대 방화벽 기능
NGFW의 정의
NGFW(Next-Generation Firewall)란 기존 방화벽 기반 접근 제어 기능에 애플리케이션 식별, 심층 패킷 검사, 침입 방지, 위협 인텔리전스 기능을 결합한 차세대 방화벽이다.
기존 방화벽은 트래픽의 출발지와 목적지 IP, 포트, 프로토콜을 기준으로 네트워크 연결을 허용 또는 차단한다. 이와 같은 접근 제어는 여전히 필요하다. 내부 시스템에 대해 불필요한 트래픽 연결을 차단하고, 허용된 트래픽만 허용하는 것이 네트워크 보안의 가장 기본 원칙이기 때문이다.
하지만 오늘날 업무 트래픽은 연결 정보만으로 판단하기 매우 어렵다. 업무용 SaaS, 협업 도구, 파일 공유 서비스, 클라우드 관리 콘솔은 모두 웹 기반으로 동작할 수 있으며 정상적인 연결처럼 보여도 악성 파일 다운로드, 비인가된 데이터 업로드, 취약점 공격 시도 등 의심스러운 행위가 발생할 수 있다.
NGFW는 이와 같은 환경의 변화에 대응하기 위한 네트워크 보안으로 기존 방화벽의 판단 범위를 확장한다. 단순히 연결을 허용 또는 차단하는 것이 아니라 트래픽이 어떤 애플리케이션에 접속하는지, 어떤 콘텐츠가 포함되어 있는지, 공격 신호가 있는지 등을 확인한다. 이를 통해 기존 방화벽을 대체하는 별도의 보안 개념이 아닌, 접근 제어에 애플리케이션 기반 제어 기능이 추가된 보안 제어 장비로 이해할 수 있다.
기존 방화벽의 한계
기존 방화벽은 애플리케이션과 네트워크 환경이 비교적 단순했던 환경에서 효과적이었다. 웹 접속, 메일, 원격 접속과 같이 서비스마다 주로 사용하는 포트가 나뉘어져 있어 IP와 포트 기준 정책만으로 충분한 접근 제어가 가능했다. 하지만 변화된 업무 환경으로 인해 기존 방화벽의 기준만으로 트래픽을 구분하기 어려워졌다.
애플리케이션을 식별의 한계
기존 방화벽은 포트와 프로토콜을 기준으로 트래픽을 분류한다. 과거에는 웹, 메일, 원격 접속 등의 서비스는 각각 사용하는 통신 방식이 나뉘어 있어 해당 방법이 효과적이었다.
지금은 업무 애플리케이션 및 서비스가 웹 기반으로 제공되고 일부는 비표준 포트를 사용하기나 암호화된 연결 안에서 실행되는 포트 정보로만 어떤 애플리케이션이 사용되는지 확인하는 것이 불가능하다.
결국 보안팀은 허용된 포트를 통해 연결이 발생했는지가 아니라 해당 트래픽이 업무에 필요한 애플리케이션인지, 아니면 승인되지 않은 파일 공유 서비스인지 구분할 수 있어야 한다.
트래픽 내부 악성 행위 확인 불가
정상적으로 연결된 트래픽이라 하더라도 안전한 것은 아니다. 트래픽 안에 악성 파일, 공격 코드, 악성 명령, 데이터 유출 시도가 발생할 수 있다. 하지만 이와 같은 정보는 패킷 내부 콘텐츠에 숨어있다.
기존 방화벽의 검사 방식으로 트래픽을 검사할 때 정상으로 보일 수 있지만 트래픽 내부를 확인하지 않으면 악성 파일 다운로드나 취약점 공격 시도를 놓칠 수 있다. 특히나 암호화된 SSL/TLS 트래픽은 더욱 확인하기 어렵다.
세부 행위 제어불가
기존 방화벽 정책은 특정 애플리케이션에 대한 세부 행위 제어가 불가능하다. 클라우드 서비스가 정상적적으로 활용되는 경우가 대부분이지만, 승인되지 않은 데이터 전송 경로로 쓰일 수도 있다. 메신저나 파일 공유 도구도 마찬가지다. 업무에 필요한 기능은 허용해야 하지만, 악의적으로 활용하는 행위는 제한해야 한다.
이때 필요한 것은 단순한 접속 차단이 아니라 애플리케이션, 콘텐츠, 위협 신호를 함께 고려한 정책이다. 기존 방화벽만으로는 이런 세분화된 정책을 적용하기 어렵다.
운영 복잡성
기존 방화벽의 경우 부족한 기능을 보안하기 위해 별도의 IPS, URL 필터, 악성코드 검사 도구 등을 도입라는 경우가 많다. 보안성은 강해지지만 관리해야 할 도구, 정책, 그리고 로그가 흩어지면 관리하기 어려워진다. 결국 설정 오류, 정책 충돌, 탐지 공백이 생길 수 있다.
NGFW는 단순히 기능을 많이 추가한 것이 아닌 접근 제어부터 침입 방지 등의 보안 기능을 하나의 도구와 같은 정책 흐름 안에서 관리하는 것이다.
NGFW의 트래픽 제어 방식
NGFW는 기존 방화벽에서 확인하는 연결 정보에 애플리케이션, 콘텐츠, 사용자, 위협 신호를 함께 확인한다. 여기서 중요한 점은 단순히 많은 기능을 제공한다는 것이 아닌, 트래픽을 판단하고 통제할 수 있는 기준이 더 넓어진다는 점이다.
애플리케이션 식별과 제어
NGFW는 트래픽을 포트 번호만으로 분류하지 않고 실제 애플리케이션을 확인한다. 이를 통해 보안 팀은 업무용 SaaS, 클라우드 스토리지, 협업 툴, 원격 접속 툴을 구분하여 정책을 적용할 수 있다.
이 기능은 애플리케이션을 무조건 차단하기 위한 것이 아니다. 업무에 필요한 애플리케이션은 유지하면서, 승인되지 않은 서비스나 위험한 사용 방식을 제한하기 위한 기준을 제공한다. 예를 들어 업무용 협업 도구는 허용하되, 개인 파일 공유 서비스나 우회 접속 도구는 제한하는 방식으로 정책을 나눌 수 있다.
DPI를 통한 콘텐츠 검사
DPI(Deep Packet Inspection)는 심층 패킷 검사를 뜻한다. 일반적인 패킷 필터링이 헤더만 확인하지만 NGFW의 DPI는 패킷의 본문까지 확인한다.
NGFW는 DPI를 통해 악성 파일, 취약점 공격 코드, 비정상 요청, 정책 위반 데이터를 확인한다. 이 기능은 허용된 연결 안에서 발생 가능한 위협을 찾는 데 필요하다. 연결 자체는 정상으로 보여도 내부 콘텐츠가 위험하면 트래픽을 차단할 수 있다.
DPI는 콘텐츠 내 악성행위를 탐지하는데 효과적이지만 모든 트래픽에 무조건 적용할 수 있는 기능이 아니다. 검사 범위가 넓어지면 성능에 영향을 줄 수 있고, 개인정보나 민감 업무 트래픽에 대한 예외도 필요하다. 따라서 DPI는 기술 기능이 아니라 운영 정책과 함께 설계해야 한다.
IPS를 통한 공격 트래픽 차단
IPS(Intrusion Prevention System)는 침입 방지 시스템을 뜻한다. IPS는 네트워크 트래픽에서 취약점 공격, 비정상 프로토콜 사용, 알려진 악성 패턴을 탐지하고 차단한다.
NGFW의 IPS는 공격 시도가 실제 서버나 내부 시스템에 도달하기 전에 해당 트래픽을 막는 데 활용된다. 특히 외부에 공개된 웹 서버, 패치가 늦어지는 시스템, 중요한 업무 시스템 앞에서 효과가 크다.
다만 IPS 정책을 지나치게 강하게 적용하면 정상 요청이 차단될 수 있어 보호 대상 시스템의 중요도, 패치 상태, 업무 영향도를 고려해 탐지와 차단 수준을 조정해야 한다.
위협 인텔리전스 연동
위협 인텔리전스는 알려진 악성 IP, 도메인, URL, 파일 해시, 공격 패턴에 대한 정보를 제공한다. NGFW는 이 정보를 활용해 위험한 목적지로 향하는 접속이나 악성 파일 전송을 더 빠르게 탐지할 수 있다.
위협 인텔리전스가 의미를 가지려면 최신성을 유지하는 것이 가장 중요하다. 공격 인프라는 계속 바뀌고, 악성 도메인이나 파일 정보도 빠르게 변한다. NGFW가 위협 인텔리전스를 정책에 반영하면 보안팀은 알려진 악성 목적지와의 통신을 더 빨리 제한할 수 있다.
하지만 위협 인텔리전스가 모든 공격을 자동으로 막는 것은 아니다. 정보의 품질, 업데이트 주기, 오탐 관리가 함께 필요하다. 보안팀은 위협 인텔리전스가 차단 정책과 로그 분석에 어떻게 반영되는지 확인해야 한다.
SSL/TLS 트래픽 검사
많은 업무 트래픽은 SSL/TLS로 암호화된다. 암호화는 데이터를 보호하지만, 보안 장비가 트래픽 내용을 확인하기 어렵게 만든다. 공격자는 이 특성을 악용해 악성 파일 다운로드, 피싱 사이트 접속, 명령 제어 통신을 암호화된 세션 안에 은닉할 수 있다.
NGFW는 필요한 경우 SSL/TLS 트래픽을 복호화해 검사한 뒤 다시 암호화해 전달한다. 이를 통해 암호화된 트래픽 안의 악성 콘텐츠나 공격 신호를 확인할 수 있다.
다만 SSL/TLS 검사는 신중하게 적용해야 한다. 개인정보, 금융, 의료, 개인 계정 관련 트래픽은 예외해야 하며 성능 영향, 인증서 배포, 규정 준수 요건도 함께 검토해야 한다.
Case Study
HTTPS SaaS 환경에서 가시성과 행위 제어를 동시에 확보한 보안 전략
기존 방화벽과 NGFW의 차이
| 구분 | 기존 방화벽 | NGFW |
|---|---|---|
| 기본 판단 기준 | 출발지, 목적지, 포트, 프로토콜 | 연결 정보에 애플리케이션, 콘텐츠, 사용자, 위협 신호를 추가 |
| 트래픽 분석 수준 | 주로 네트워크·전송 계층 중심 | 애플리케이션 계층과 패킷 내부 콘텐츠까지 확인 |
| 애플리케이션 제어 | 제한적 | 실제 애플리케이션 기준으로 정책 적용 |
| 위협 탐지 | 기본 필터링 중심 | DPI, IPS, 위협 인텔리전스를 활용 |
| 암호화 트래픽 | 내용 확인이 제한적 | 정책에 따라 SSL/TLS 검사 가능 |
| 정책 방식 | 허용 또는 차단 중심 | 애플리케이션, 콘텐츠, 위험도 기준으로 세분화 |
| 운영 관점 | 접근 제어 중심 | 접근 제어와 위협 탐지를 같은 흐름에서 관리 |
기존 방화벽은 네트워크 보안의 기본적인 접근 방식이다. 하지만 현재의 업무 환경에서는 연결 정보만으로 트래픽의 위험을 판단하는 것은 불가능에 가깝다. NGFW는 기존 방화벽의 접근 제어를 유지하면서, 그 위에 애플리케이션과 콘텐츠, 위협 신호를 확인하는 기능을 더한다.
NGFW가 필요한 환경
NGFW는 모든 구간에 같은 방식으로 적용되는 장비가 아니다. 어떤 트래픽 흐름을 보호하는지에 따라 역할이 달라진다.
외부에서 내부로 들어오는 트래픽
인터넷 경계에서는 외부 사용자가 내부 서비스로 접속하거나, 공격자가 공개 서버를 노리는 트래픽이 유입된다. 이 구간에서는 취약점 공격, 비정상적인 요청, 악성 파일 전송, 알려진 악성 IP에서 들어오는 접속이 있는지 검사해야 한다.
NGFW는 이 지점에 기본 접근 제어와 IPS, 위협 인텔리전스를 함께 사용한다. 단순히 외부 접속을 허용 또는 차단하는 것이 아니라, 허용된 서비스로 들어오는 요청 안에 공격 신호가 있는지 검사한다.
내부에서 외부로 나가는 트래픽
사용자는 업무용 SaaS, 협업 도구, 클라우드 스토리지, 외부 웹사이트에 접속한다. 이 트래픽은 업무에 필요하지만, 동시에 악성 사이트 접속이나 비인가 파일 업로드, 데이터 유출 경로가 될 수 있다.
NGFW는 사용자의 외부 네트워크 접속을 애플리케이션과 URL, 파일, 위협 신호 기준으로 확인한다. 이를 통해 업무 트래픽은 유지하면서 위험한 목적지 IP에 대한 접속이나 정책에 맞지 않는 데이터 이동을 제한할 수 있다.
내부에서 내부로 이동하는 트래픽
데이터센터나 내부망에서는 서버 간 통신이 중요하다. 공격자는 한 시스템에 침투하면 내부 네트워크를 통해 다른 서버로 수평 이동하며 모든 내부 통신을 허용하면 접근가능한 범위가 커져 피해 규모가 커진다.
NGFW는 내부 구간을 세분화하고, 필요한 서버 간 통신만 허용하도록 정책을 적용하는 데 쓰일 수 있다. 이때 중요한 것은 내부망 전체를 신뢰하지 않는 것이다. 업무상 필요한 연결과 불필요한 연결을 구분해야 한다.
위치가 고정되지 않은 트래픽
지점, 원격 근무, 클라우드 환경에서는 사용자의 위치와 시스템 위치가 계속 바뀐다. 사용자는 사내망 밖에서 업무 시스템에 접속하고, 클라우드에서는 워크로드가 새로 생성되거나 서비스 간 연결이 바뀐다.
이 환경에서는 고정된 네트워크 경계만 기준으로 정책을 만들기 어렵다. NGFW는 지점과 원격 접속 구간에서 일관된 애플리케이션 정책을 적용하고, 클라우드 환경에서는 외부로 노출된 서비스와 워크로드 간 통신을 확인하는 데 활용될 수 있다.
NGFW 도입 시 고려사항
NGFW는 트래픽을 세밀하게 분석하고, 애플리케이션·콘텐츠·위협 신호를 기준으로 정책을 적용할 수 있다. 하지만 보호 기준이 명확하지 않으면 단순한 허용·차단 장비처럼 운영될 수 있다. 다음은 NGFW 기능을 실제 환경에 적용하기 전 확인해야 할 주요 고려사항이다.
어떤 트래픽을 보호할 것인가
먼저 NGFW를 어느 구간에 적용할지 정해야 한다. 인터넷 경계, 데이터센터, 지점, 원격 접속, 클라우드 구간은 각각 트래픽의 성격이 다르다.
인터넷 경계에서는 외부에서 내부로 들어오는 공격과 내부 사용자의 위험한 외부 접속을 함께 확인해야 한다. 데이터센터에서는 서버 간 불필요한 통신을 줄이고, 침해가 발생했을 때 다른 시스템으로 확산되지 않도록 내부 트래픽을 제어하는 것이 중요하다. 지점과 원격 접속 환경에서는 VPN이나 원격 접속을 통해 들어온 트래픽이 어떤 내부 시스템과 애플리케이션으로 이어지는지 확인해야 한다. 클라우드 환경에서는 워크로드와 외부 서비스 간 연결이 자주 바뀌므로, 고정된 네트워크 기준만으로 정책을 만들기 어렵다. 이와 같은 보호 위치가 정해져야 필요한 성능, 검사 범위, 로그 수집 기준도 정할 수 있다.
어떤 애플리케이션을 허용하거나 제한할 것인가
NGFW는 애플리케이션 단위로 트래픽을 구분할 수 있다. 하지만 조직 내부에서 허용할 애플리케이션과 제한할 서비스를 정리하지 않으면 정책이 복잡해진다.
업무용 SaaS, 협업 도구, 클라우드 관리 콘솔처럼 필요한 서비스는 허용 기준을 세워야 한다. 반대로 개인 파일 공유 서비스, 우회 접속 도구, 승인되지 않은 원격 관리 도구처럼 위험도가 높은 서비스는 제한 기준을 정해야 한다.
이 기준이 없으면 NGFW를 도입해도 기존 방화벽처럼 넓은 허용 규칙만 남을 수 있다. 애플리케이션 식별 기능이 의미를 가지려면 먼저 조직의 업무 앱과 제한 대상 서비스를 구분해야 한다.
어디까지 트래픽 내용을 검사할 것인가
DPI와 SSL/TLS 검사는 트래픽 안의 악성 파일, 취약점 공격 시도, 의심스러운 외부 통신을 확인하는 데 필요하다. 하지만 모든 트래픽을 동일하게 검사할 수는 없다.
암호화 트래픽을 복호화해 검사하면 성능에 영향을 줄 수 있다. 또 개인정보, 금융, 의료, 개인 계정 관련 트래픽은 검사 예외가 필요할 수 있다. 따라서 검사 대상과 예외 대상을 먼저 정해야 한다.
검사 범위는 넓을수록 좋은 것이 아니다. 보안 효과, 업무 영향, 규정 요건, 성능을 함께 보고 정해야 한다.
어떤 이벤트를 차단하고 어떤 이벤트를 경고로 둘 것인가
IPS와 위협 인텔리전스 기능을 사용할 때는 차단 기준을 정해야 한다. 모든 탐지 이벤트를 즉시 차단하면 정상 업무에 영향을 줄 수 있고, 모든 이벤트를 경고로만 남기면 실제 공격 대응이 늦어질 수 있다.
외부에 공개된 서버, 민감한 데이터를 처리하는 시스템, 패치가 늦어지는 구간은 더 강한 차단 정책이 필요할 수 있다. 반대로 업무 영향이 큰 서비스는 먼저 경고와 모니터링을 적용한 뒤, 오탐과 영향을 확인하면서 차단 수준을 조정하는 방식이 필요할 수 있다.
NGFW 정책은 강하게 설정하는 것보다 정확하게 설정하는 것이 중요하다. 보호 대상의 중요도와 업무 영향을 함께 봐야 한다.
로그를 어떻게 조사와 대응에 연결할 것인가
NGFW는 애플리케이션, URL, 파일, 위협 이벤트, 차단 결과를 기록할 수 있다. 하지만 로그가 쌓이기만 하면 운영에 도움이 되지 않는다.
보안팀은 어떤 이벤트를 우선 조사할지 정해야 한다. 예를 들어 반복적으로 차단되는 외부 목적지, 특정 사용자에게서 발생하는 비정상 업로드, 공개 서버를 향한 취약점 공격 시도는 우선 확인 대상이 될 수 있다.
또한 NGFW 로그를 SIEM, XDR, SOAR 같은 보안 운영 체계와 어떻게 연결할지도 정해야 한다. NGFW 로그가 엔드포인트, 이메일, 클라우드, ID 로그와 연결되면 단일 네트워크 이벤트를 넘어 공격 흐름을 추적할 수 있다.
NGFW 도입 시 흔한 오해
NGFW를 도입하면 기존 방화벽의 문제가 자동으로 해결된다고 생각하기 쉽다. 그렇지 않다. 오래된 허용 규칙, 방치된 예외 정책, 불분명한 애플리케이션 기준은 장비가 바뀌어도 그대로 남을 수 있다.
또한 NGFW가 모든 보안 장비를 대체하는 것은 아니다. NGFW는 네트워크 경로에서 트래픽을 제어하고 위협을 탐지하는 장비다. 엔드포인트에서 실행되는 악성 행위, 이메일 피싱, 클라우드 계정 오남용, SaaS 내부 데이터 접근까지 모두 대신 확인할 수는 없다.
SSL/TLS 검사를 켜면 암호화 트래픽 문제가 모두 해결된다는 생각도 위험하다. 검사 예외가 필요한 트래픽이 있고, 복호화 과정에서 성능과 개인정보 보호 문제가 생길 수 있다. NGFW의 효과는 기능 자체보다 정책 설계와 운영 기준에 달려 있다.
마무리하며
NGFW는 기존 방화벽의 기본 접근 제어를 버리는 기술이 아니다. 기존 방화벽이 보던 출발지, 목적지, 포트, 프로토콜 위에 애플리케이션, 콘텐츠, 위협 신호를 더해 트래픽을 판단하는 방식이다.
기존 방화벽만으로 부족해진 이유는 현재의 업무 트래픽이 단순하지 않기 때문이다. 업무용 애플리케이션, 암호화 트래픽, 클라우드 서비스, 외부 협업 도구가 같은 네트워크 경로 안에서 움직인다. 보안팀은 연결을 허용할지 차단할지만 보는 것이 아니라, 허용된 연결 안에서 어떤 위험이 발생하는지 확인해야 한다.
NGFW를 도입할 때는 기능 목록보다 운영 기준을 먼저 봐야 한다. 어떤 구간을 보호할 것인지, 어떤 애플리케이션을 허용할 것인지, 어디까지 트래픽 내용을 검사할 것인지, 어떤 이벤트를 차단할 것인지, 로그를 어떤 대응 흐름에 연결할 것인지 정해야 한다. 이 기준이 있어야 NGFW는 단순한 방화벽 교체가 아니라 네트워크 보안 정책을 정교하게 실행하는 장비가 된다.
FAQ
Q1. NGFW는 기존 방화벽과 무엇이 다른가?
NGFW는 기존 방화벽의 IP, 포트, 프로토콜 기반 접근 제어 기능을 포함하면서 애플리케이션 식별, DPI, IPS, 위협 인텔리전스 기능을 함께 제공한다. 기존 방화벽이 연결 허용 여부를 중심으로 판단한다면, NGFW는 트래픽 내부의 애플리케이션, 콘텐츠, 공격 신호까지 확인한다.
Q2. DPI는 무엇인가?
DPI는 Deep Packet Inspection의 약어로, 심층 패킷 검사를 뜻한다. 패킷의 헤더뿐 아니라 본문까지 확인해 악성 파일, 취약점 공격 코드, 비정상 명령, 정책 위반 데이터를 탐지하는 방식이다.
Q3. IPS는 무엇인가?
IPS는 Intrusion Prevention System의 약어로, 침입 방지 시스템을 뜻한다. 네트워크 트래픽에서 공격 시도나 비정상 요청을 발견하면 해당 트래픽이 서버에 도달하기 전에 차단한다.
Q4. NGFW가 있으면 다른 보안 장비는 필요 없는가?
그렇지 않다. NGFW는 네트워크 경로에서 중요한 보안 제어를 수행하지만, 엔드포인트 악성 행위, 이메일 피싱, 클라우드 계정 오남용, SaaS 내부 데이터 접근까지 모두 대신 볼 수는 없다. NGFW 로그를 EDR, SIEM, XDR, 클라우드 보안 도구와 연결해야 공격 흐름을 더 정확히 파악할 수 있다.
Q5. SSL/TLS 검사는 반드시 해야 하는가?
모든 트래픽을 검사해야 하는 것은 아니다. 암호화 트래픽 안에 악성 파일이나 공격 통신이 숨을 수 있기 때문에 검사가 필요할 수 있지만, 개인정보와 민감 업무 트래픽은 예외가 필요하다. 보안팀은 검사 대상과 예외 대상, 성능 영향, 규정 요건을 함께 검토해야 한다.
안랩의 NGFW 보안 솔루션
AhnLab XTG는 최신 활용 사례를 지원하는 차세대 방화벽이다. 차세대 방화벽의 필수 기능인 애플리케이션 제어뿐만 아니라 ZTNA(Zero Trust Network Access), Light-weight VPN, SD-WAN, 정책 기반 제어, IPS(Intrusion Prevention System), URL 제어, C2(Command & Control) 탐지 및 차단, 안티 스팸, 디도스(DDoS) 완화, DLP(Data Loss Prevention) 등 확장된 네트워크 보안 기능을 제공해 보다 안전한 네트워크 환경을 구축할 수 있도록 지원한다.