Friday, December 11, 2020

차세대 방화벽(Next-Generation Firewall)의 탄생 이야기


팔로알토 네트웍스(Palo Alto Networks, 이하 PAN)가 2020년 7월 8일, 세계 최초 머신러닝(Machine Learning) 기반 차세대 방화벽을 출시했다. PAN은 2007년 '차세대 방화벽(Next-Generation Firewall)'이라는 이름으로 브랜드화한 방화벽을 통해 파죽지세로 네트워크 방화벽 시장을 장악했고, 이젠 이 시장의 최고가 되었다. 시스코와 같은 거인을 물리치고 이런 성과를 만들어 낸 것이 놀랍다.

  • 방화벽의 역사를 쓴 '니어 죽(Nir Zuk)'

하지만, 창업자가 누구인지를 알면 이해가 간다. 그는 '니어 죽(Nir Zuk)'. PAN의 창업자이자 CTO다.

그는 이스라엘 출신으로 네트워크 기반 방화벽인 *상태 기반 방화벽(Stateful Inspection Firewall)을 만든 체크포인트(Check Point)의 핵심 개발자였다. 니어 죽은 16살에 이미 컴퓨터 바이러스를 만들고 돈도 벌 정도로 똑똑했다.

* 상태 기반 방화벽(Stateful Inspection Firewall)
기존의 일반적인 패킷 필터링 방화벽(Packet Filtering Firewall)이 TCP/IP 패킷 헤더(Header)안의 IP 주소와 포트 번호 만을 보고 단순하게 필터링했다면, 추가로 TCP 연결 상태에 대한 테이블을 데이터베이스화해 저장한다. 이에 따라 TCP 번호를 추적해 세션 하이재킹(Session Hijacking)과 같은 공격을 막고 통신 채널을 추적할 수 있다.
보통 패킷 필터링 방화벽을 1세대 방화벽, 상태 기반 방화벽을 2세대 방화벽으로 분류한다.


그는 국방의 의무를 다하기 위해 군대에 가야 했지만 프로그래밍을 할 줄 아는 아이를 찾는 특수 부대에 의해 차출되었다. 5년 동안 군대에서 지내며 수학을 공부하기 위해 대학도 다녔다. 이후 체크 포인트에 채용되어 최초의 상용 방화벽 솔루션의 개발자가 된다.

너무 열심히 일했던 나머지 대학 학위도 마치지 못해 그는 대학 학위도 없다. 94년에 체크 포인트에 입사했고, 97년 1월 미국으로 이사한다. 유일하게 영어 유창하게 잘했던 그는 미국과 이스라엘을 오가며 자주 일했고 결혼 후 미국으로 이사해 체크 포인트에서 2년을 더 일한다.

체크 포인트는 빠르게 성장을 했고 니어 죽이 싫어하는 관료적인 회사가 되어갔다. 미국에서 그는 플러드게이트(Floodgate)라는 제품을 만들었고 출시할 준비가 되었는데, 이스라엘에 있는 엔지니어들의 반대로 출시를 못 한다. 이에 화가 난 니어 죽은 체크 포인트를 떠나고 1999년 3월 원시큐어(OneSeure)라는 매니지드 서비스(Managed Service) 회사를 시작한다. 하지만 닷컴 버블로 어려움을 겪고 서비스 대신 제품을 만들기를 결정하고 세계 최초의 상용 침입 방지 시스템(Intrusion Detection System)을 개발한다.

2002년 중반에 체크 포인트의 가장 큰 경쟁사였던 넷스크린(NetScreen)이 이 원시큐어를 인수한다. 이후 넷스크린은 두 번째로 큰 방화벽 업체가 된다. 하지만 넷스크린은 주니퍼 네트웍스(Juniper Networks)에 인수된다. 넷스크린을 인수한 주니퍼는 넷스크린 기술을 주니퍼 제품으로 옮기고 넷스크린 제품을 제거하기로 한다.

이에 니어 죽은 주니퍼에게 새로운 종류의 방화벽을 만들겠다고 설득합니다. $10M/1천만 달러(약1백원)의 예산과 넷스크린 출신 인력 25명을 제안하고 그렇지 않으면 퇴사하겠다고 합니다.

그후 그는 팔로알토 네트웍스(Palo Alto Networks)를 창업한다. $9.4M 달러를 모으고 주니퍼에서 원했던 25명의 사람들이 합류했고 새로운 종류의 방화벽을 만들어냈다. 니어 죽은 이렇게 말한다.

"넷스크린도 작은 회사가 아니었다. 약 600명의 직원이 있었지만 작은 회사처럼 행동했다.
나에게 작은 회사처럼 행동하다가 큰 회사처럼 행동하는 것으로 바뀌는 시점은 수익이나 직원 수가 일정 규모로 넘었을 때가 아니다. 이때는 마인드셋이 '할수 있다 태도(can-do attitude)'에서 '할수 없다 태도(cannot-do attitude)'로 바뀌는 때다.
나는 이걸 내가 일했던 3개의 회사에서 깨달았다."

  • 세계 최초 머신러닝 기반 차세대 방화벽, PAN-OS 10.0


팔로알토 네트웍스, 세계 최초 머신러닝 기반 차세대 방화벽 출시
(https://youtu.be/yfrdWTiUvsA, YouTube, 13:13)


※ 요약

✓ Disruption(파괴적 혁신)!
✓ 혁신을 주도하라 
(PAN vs. Others) from Zero Trust by Akamai to EDR
✓ Stateful Inspection firewall 26년, NGFW 13년 (Check Point -> OneSecure -> NetScreen -> Juniper -> PAN), What's Next?
✓ 시그너처 업데이트: 24 hours -> 15 minutes -> 5 minutes -> 1 minutes -> ?
✓ 다양한 O/S와 IoT 장치의 출현으로 수동적인 관리의 한계
✓ 샌드박싱(MS), 사용자 및 개체 행위분석(UEBA)
✓ 머신러닝을 네트워크 보안의 코어로 (Drive ML to the Core)
✓ 데이터를 클라우드로 보내야 함 (컴퓨팅 파워 때문에)

머신러닝(ML)을 네트워크 보안의 핵심으로 가져오려면 네 가지 요건에 부합해야 한다.



1. 머신러닝은 인라인 모델이 되어야 한다.

2. 머신러닝은 임베디드와 클라우드 기반이 되어야 한다
- 임베딩을 통해 마이크로초 단위로 신속하게 처리하고, 클라우드 기반 머신러닝은 인라인으로 제공.
- 방화벽이 데이터를 수집해 클라우드로 보내고, 클라우드가 이를 빠르게 처리하고, 방화벽으로 다시 보냄.
- 방화벽은 컴퓨팅 성능에 한계가 있기 때문.

3. 거의 실시간 머신러닝이 되어야 한다.
- 시그너처 업데이트는 시간이 걸림.
- 결정을 내린 즉시 바로 방화벽으로 구현할 수 있도록.

4. 머신러닝을 실행하려면 대량의 데이터가 필요하다.


PAN-OS 10.0에서 70가지 이상의 기능이 추가되었다. 아래 링크에 주요 기능을 리스트한다.

Palo Alto firewall - PAN-OS 10.0 (first ML-Powered NGFW)

https://www.analysisman.com/2020/07/pan-panos-10.0.html


▶ 함께 읽어보면 좋은 관련 글

No comments:

Post a Comment