방화벽 (Firewall)

방화벽은 네트웍에 연결된 장치를 보호하기 위한 수단입니다. Windows 서버, PC, 리눅스 시스템, 네트웍 장비, 심지어 공유기(라우터) 등에 포함되어 있습니다.

백신과 방화벽의 차이에 대해서 궁금해 하는 사람이 많은데, 방화벽은 침입을 차단하는 것이고 백신은 행동을 감시하는 것입니다. 이해를 돕기위해서 비유를 하면 다음과 같습니다. (출처는 이곳)

중요한 정보를 다루는 회사가 있습니다. 이 회사는 중요한 정보가 외부로 유출되지 않게 하기 위해 다양한 방법으로 보안을 유지합니다. 먼저 회사 건물 내에는 실시간 감시 요원이 있습니다. 실시간 감시 요원은 경찰서에서 전해받은 수배자 명단과 수배자의 인상착의 자료를 가지고 있습니다. 요원은 회사 안의 모든 사람을 한 명 한 명 유심히 살펴보고 혹시 수배자가 건물 안을 돌아다니고 있지는 않은 지 감시합니다. 만약 수배자가 발견되면 재빨리 보안부서에 알려서 어떻게 처리해야 할 지를 묻거나 미리 정해진 지침대로 임시 유치장에 감금합니다.

또 하나, 회사 건물 입구에는 회사를 드나드는 모든 사람을 검문하는 경비원이 있습니다. 경비원은 건물에 들어오거나 나가는 모든 사람의 이름과 기타 신상명세를 보안부서에 알립니다. 보안부서에서 허용을 해야 비로소 그 사람은 건물 안으로 들어오거나 건물 밖으로 나갈 수 있습니다. 회사 건물의 출입구는 여러 곳이지만 각 출입구에는 모두 경비원이 배치되어 있습니다.

이미 눈치채셨겠지만 실시간 감시 요원은 백신의 실시간 감시 기능 을 의미하고, 수배자는 악성코드, 임시 유치장은 검역소 를 의미합니다. 수배자 명단은 악성코드 데이터베이스 입니다. 새로운 수배자를 잡기 위해서는 당연히 수배자 명단이 자주 업데이트되어야 합니다.

그리고 건물 출입구의 경비원이 바로 이 글에서 다룰 ‘방화벽’ 입니다. 건물 여러 곳에 있는 출입구는 컴퓨터가 외부와 데이터를 주고 받는 통로인 ‘포트 (port)’ 를 말합니다. 실시간 감시 요원과 경비원의 행동을 지시하는 최고 결정자인 보안부서는 마땅히 ‘사용자’ 입니다. 그럼 건물은 무엇일까요? 네, 맞습니다. ‘컴퓨터’ 입니다.

보통 보안에 취약한 네트웍 프로토콜, 예를 들어서 FTP, SMB (공유폴더) 등과 특정 IP 주소 범위만 서버로의 통신을 허용하도록 하는 등의 규칙을 설정함으로써 보안을 강화하는 방식입니다.

대부분의 기업에서는 방화벽으로 네트웍을 보호하고 있습니다.

프린터에 방화벽이 왜 필요할까요?

얼마전 부터 프린터, 복사기(복합기)에 대한 장치 보안에 대한 강화 지침이 공공기관과 대기업을 중심으로 화두가 되고 있습니다. 이유는 프린터도 PC와 동일한 수준의 보안 관리가 필요한 장치이기 때문입니다. (CPU, 메모리, 하드디스크, 네트웍 카드, BIOS, OS 등 PC와 동일한 구조이므로 해킹의 위험이 있음)

보통 IT 보안팀에서 방화벽 규칙을 세밀하게 적용해서 관리하는 경우라면 프린터의 방화벽 설정을 할 필요는 없습니다.

프린터의 방화벽을 사용하는 경우는 다음과 같은 경우입니다.

• 프린터, 복합기가 인터넷에 노출되어 있고 외부 방화벽을 사용하기 어려운 환경 (예, 학교)
• 세밀한 방화벽 설정 관리를 하기가 어려운 중소규모 사무 환경 (예, IT 지원을 받을 수 없거나 IT 가 없음)
• 더 강력한 보안이 요구되는 환경

특히 주기적으로 보안 감사를 받는 공공 기관의 경우 프린터, 복합기도 보안 감사의 대상인 경우가 많습니다. 프린터, 복합기의 불필요한 네트웍 서비스 포트의 경우 전부 막는 것을 기본 정책으로 합니다.

방화벽을 설정해 놓으면 보안은 강화되지만 불편한 점도 많아집니다. 보안 정책을 강력하게 만들 수록 프린터, 복합기 기능에 대한 제약은 심해집니다. 방화벽 설정을 잘못하는 경우 아무도 출력을 할 수 없거나 설정을 위한 웹페이지 접속이 차단될 수도 있습니다. 이런 경우에는 공장 초기화를 해야 하므로 방화벽 설정은 최대한 테스트를 해서 문제가 없는지 검증한 후에 적용하는 것을 권고합니다.

다음에 이어질 설정 예제는 최대한 보안을 강화하는 정책입니다. 즉, 출력 기능만 가능하고 다른 기능은 모두 막는 정책입니다. 정책을 수정해서 필요한 기능을 가능하고록 할 수도 있습니다.

방화벽 기능은 레이저젯 프로 시리즈 (일부 기종은 안됨)와 모든 레이저젯 엔터프라이즈 시리즈에서 지원됩니다. 제품 출시 시기에 따라서 화면은 좀 다를 수 있지만 기본적인 설정 과정은 같습니다. 이번 예제는 레이저젯 프로 M402 프린터에서 수행한 화면입니다.

1단계

먼저 PC 에서 웹브라우저 주소에 프린터 IP 를 입력해서 프린터의 내장 웹서버에 연결합니다. (프린터의 콘트롤 판넬에서는 설정이 불가능합니다.)

상단 ““네트워킹”” > 좌측 ““방화벽”” 메뉴로 이동합니다.

방화벽 규칙을 추가하려면 “추가“를 클릭

(주) 참고로 2019년 부터 출시하는 레이저젯 프로 시리즈는 내장 웹서버의 화면 디자인이 아래와 같이 변경되었습니다. 그리고 방화벽 설정은 상단 “설정” 메뉴 클릭 후 좌측 “방화벽” 메뉴에 있습니다.

화면 구성을 보면 1단계, 2단계, 3단계로 나눠져 있습니다.

주소 템플릿으로 허용할 주소나 거부할 주소 템플릿을 만드는 단계로 이미 몇 가지 주소 템플릿은 만들어져 있습니다. 이는 Windows의 방화벽 규칙을 설정한는 방식과 유사합니다.

이번 예제에서는

• User_NW 라는 주소 템플릿을 만들고 인쇄를 할 사용자 PC의 IP 범위를 지정합니다. (예, 10.0.2.1~10.0.2.254)
• Admin_NW 라는 주소 템플릿은 관리자 PC의 IP 범위나 IP 주소를 지정합니다. (예, 10.0.0.1 ~ 10.0.0.254)

주소 템플릿을 2개 지정하는 이유는 관리자 PC의 경우 방화벽 설정을 변경하거나 프린터의 다른 설정을 변경하기 위해서 프린터에 웹브라우저로 접속하기 위해서 접속을 허용해야 하기 때문입니다. 관리 주소 템플릿을 지정하지 않으면 방화벽 규칙 적용 후 아무도 프린터 설정을 변경할 수 없는 사태가 발생합니다.

“새로 생성” 클릭

인쇄를 허용할 PC 의 IP 주소 범위를 입력합니다.

같은 방법으로 Admin_NW 템플릿도 생성합니다. (관리자 PC 의 IP 또는 IP 범위를 입력합니다.)

2단계

서비스 템플릿으로 실제 네트웍 포트를 지정하는 과정입니다.

이번 예제에서는 인쇄용 서비스와 EWS 서비스에 대한 템플릿을 생성했습니다.

Print 는 인쇄용, HTTP_HTTPS는 EWS용 서비스 템플릿입니다.

“새로생성” 클릭

서비스 템플릿 이름 설정

사용자 실제 환경에 맞게 서비스를 선택합니다.

“적용” 클릭

같은 방법으로 HTTP_HTTPS 서비스 템플릿을 만든다.

아래 예제는 LEDM 포트도 막았다. 좀 더 보수적인 설정으로 LEDM은 Web JetAdmin (프린터 관리 솔루션)등에서 레이저젯 프로 시리즈의 상태 정보를 가져오는데 사용되는 관리용 포트입니다. Web JetAdmin 으로 프린터 관리를 하고 있다면 LEDM 포트를 막으면 안됩니다.

3단계

실제 방화벽 규칙을 만드는 단계입니다. 주소 템플릿과 서비스 템플릿을 연결해서 트랙픽을 허용할지 거부할지 규칙을 만드는 단계입니다.

User_NW 와 Print 를 선택후 3단계 작업지정에서 “트래픽 허용” 선택 후 OK 클릭

Admin_NW와 HTTP_HTTPS 를 선택 후 3단계 작업지정에서 “트래픽 허용” 선택 후 OK 클릭

아직 방화벽이 실행되는 상태는 아닙니다. 실행을 시키려면 아래와 같이 항목을 체크 후에 “적용“을 클릭합니다.

㈜ 우선 고장 안전 옵션 활성화에 체크해서 테스트 후에 이상이 없으면 해제하고 적용합니다. 이 옵션은 만일에 사태에 대비에서 방화벽 규칙에 관계 없이 HTTPS (443) 포트를 열어 놓습니다. 만약에 방화벽 규칙이 잘 못되어서 접속 문제가 발생하더라도 HTTPS 포트가 열려 있기 때문에 EWS 로 다시 방화벽 설정을 변경할 수 있도록 하기 위한 옵션입니다.

테스트 후에 이상이 없으면 아래와 같이 “고장 안전 옵션 활성화“를 해제하면 경고 메시지가 나오는데 “확인“을 눌러서 진행한다.

현재 프린터와 연결된 PC가 방화벽 규칙에 Deny 면 아래와 같이 EWS 접속이 차단된다.

접속이 허용된 PC (관리자 PC)에서 EWS를 연결하면 정상 연결됩니다.

마지막으로 인쇄가 제대로 되는지 확인하면 됩니다.