북미의 한 유명 아이스크림 프랜차이즈 기업은 새로운 유형의 통합 기술로 웹 기반 맬웨어를 제거하고 있다.

텍사스 주(州)는 굉장히 넓은 지역으로 정평 나있다. 하지만 데어리 퀸(Dairy Queen) 프랜차이즈를 소유하고 있는 라운드테이블(Roundtable)사의 IT 책임자 마이크 스텀프(Mike Stump)만큼 그것을 깊이 실감해야만했던 사람은 없었을 것이다. 이 회사가 텍사스 전역뿐만 아니라 그 외의 지역으로 아이스크림 체인점을 확대함에 따라 바이러스 발생은 곧 ‘장거리 운전’을 의미하게 되었다. 문제를 처리하기 위해 스텀프 자신이나 그의 부하 직원이 텍사스 주 러벅(Lubbock)시에 위치한 사무실에서부터 해당 체인점까지 보통 10시간 정도씩 운전해서 달려가야만 했기 때문이다.

“만일 큰 문제가 발생하면 바이러스를 제거하고 기계를 작업 상태로 돌려놓기 위해 우리는 말 그대로 10시간 동안 운전해야만 했다. 발생 장소가 어디인지에 따라 가는 데만 하루 종일, 심지어 꼬박 하룻밤이 걸릴 수도 있다”고 스텀프는 말했다.

직원들이 인터넷을 서핑하고 MP3를 다운받거나 개인홈페이지(MySpace 등)를 방문하기 위해 광대역망을 이용함에 따라 PC들이 감염되는 것은 너무 흔한 일이 됐다. 기존의 안티바이러스 소프트웨어는 비인가 웹 브라우징과 함께 나타난 맬웨어를 잡지 못 했다. 모든 매장은 PC를 가지고 있으며 특히 그 PC는 15~30명 정도의 직원들이 출퇴근을 확인하기 위해 사용하고 매니저들도 이메일이나 보고서 작성, 또는 기타 애플리케이션을 위해 사용한다.

하지만 현재 이 회사에서 맬웨어의 발생은 드문 일이 되었다. 2년 전부터 라운드테이블은 직원들의 인터넷 접근을 통제하고 스파이웨어 및 바이러스를 막기 위해 관리서비스인 스캔세이프(ScanSafe)를 사용하기 시작했기 때문이다.

스텀프는 “첫 해에 우리는 31개 매장 지원 비용 중 약 십만 달러를 절약했다”고 말했다.

지난 몇 년간의 위협은 웹 기반 맬웨어로 변화해 라운드테이블사와 같은 기업들이 보다 새로운 기술, 즉 웹 보안 게이트웨이로 그들의 보안을 보강하도록 유도했다. 대체로 안티바이러스 게이트웨이들이 다기능 보안 이메일 게이트웨이였던 것과 마찬가지로 웹 보안 게이트웨이는 몇몇 기존의 기술들과 포인트 솔루션에 의한 기술을 결합한 것이다.

별도의 URL 필터링이나 악성 코드 필터링, 인스턴트 메시징과 기타 애플리케이션 통제 장치를 갖추는 대신 웹 보안 게이트웨이는 단일한 고(高) 수행 보안 게이트웨이를 제공해 일반적인 위협 데이터베이스와 정책 관리 프레임워크를 공유한다. 웹 보안 게이트웨이 시장은 소프트웨어와 어플라이언스 업체뿐만 아니라 스캔세이프와 같은 관리 서비스 제공업체도 경쟁하고 있다.

지난 2월 구글의 보고서는 웹 브라우징이 얼마나 위험해졌는지를 강조하고 있다. 18개월 동안 18만개 이상의 웹사이트에서 자동적으로 맬웨어를 설치하는 3백만개 이상의 URL이 발견됐다. 심지어 합법적인 웹사이트들도 악성코드를 배포할 수 있다. AJAX 기술과 제 3자 광고 사용의 증대가 웹 페이지의 공격 범위와 그 속에 불안전한 컨텐츠가 삽입될 수 있는 가능성을 증가시키고 있다. 웹 액세스는 네트워크 방화벽의 HTTP 포트 80을 열어놓게 하기 때문에 이 곳이 공격이 개시되는 진입 포인트임이 분명하며 통제를 위해 방화벽이 고군분투하는 지점도 바로 이 곳이다.

수많은 네트워크 관리자들은 늘어나고 있는 봇 감염이나 감염된 기계의 스파이웨어와 싸우고 있는 사용자들의 지원 요청 전화 등을 통해 이러한 위험의 증가를 확인하고 있다. 또한 직원들이 드라이브 바이 다운로드(drive-by download) 공격에 당할 경우 네트워크는 빠르게 감염되며 기업 정보나 네트워크 리소스의 유출이 유발될 수도 있다. 사생활, 데이터 보호, 거버넌스에 대해 사업체를 신뢰할 수 있게 해주는 다양한 법안들과 관련해 기업들은 그들의 사용자들과 데이터의 보호를 증진하기 위해 URL 필터링 이상의 것을 찾고 있다.

웹 보안 게이트웨이가 손상과 빈번한 자동 위협에 대해 어떻게 포괄적인 네트워크 보호를 제공하는지 좀 더 자세히 살펴보자.

핵심 기능

웹 보안 게이트웨이는 다기능 솔루션으로, 기업 정책 컴플라이언스를 시행하는 동안 원치 않는 소프트웨어와 사용자 개시 인터넷 트래픽의 맬웨어를 걸러준다. 이것을 달성하기 위해 웹 보안 게이트웨이는 URL 필터링, 악성코드 감지 및 필터링, IM과 Skype와 같은 웹 기반 애플리케이션 통제를 사용한다.

따라서 웹 보안 게이트웨이의 목적을 분명히 하는 것이 중요하다. 내부 네트워크의 고객들과 웹 서핑하는 사용자들을 감염으로부터 보호하고 기업 정책들을 시행해야하기 때문이다. 이것은 공격으로부터 웹사이트와 웹 애플리케이션을 보호하기 위해 설계된 웹 애플리케이션 방화벽과 다르다. 웹 애플리케이션 방화벽은 공격자들이 맬웨어 코드를 업로드하기 위해 웹 애플리케이션 내에서 직접적으로 취약점을 익스플로이트 하는 것을 방지하는 반면, 웹 보안 게이트웨이는 맬웨어 익스플로이트에 대해 취약한 브라우저 공개를 이용해 고객들을 위한 추가적인 방어 레이어를 제공한다. 추가 방어 레이어를 제공하는 세 가지 주요 기술은 다음과 같다.

1. URL 필터링 이것은 오랫동안 서핑 행위를 통제하는 가장 일반적인 방법이었다. 가트너에 따르면 URL 필터링이 기업 네트워크에 75~95% 가량 설치된 반면 맬웨어 필터링은 15% 이하로 설치되어 있다. URL 필터링은 웹 액세스를 통제하기 위해 컨텐츠 스캐닝, 인공지능, 블랙리스트를 사용한다. 가장 큰 장점은 확장성이 있다는 것이며 개별적인 사용 리포트를 제공한다는 점이다.

이 분야 주요 업체들로는 웹센스(Websense)와 서프컨트롤(SurfControl) 등이 있다. 그러나 웹 2.0 공격의 정교화와 그것이 시작되는 속도 및 실제 코드가 변경될 수 있다는 점은 URL 필터링이 더 이상 충분하지 않다는 것을 의미한다. 물론 이것은 여전히 WSG 내의 중요한 요소가 되겠지만 다른 기술들과 결합할 필요가 있다.

2. 맬웨어 필터링 맬웨어 필터링의 목적은 네트워크에 드나드는 맬웨어를 잡는 것이다. URL 필터링과 마찬가지로 데이터베이스가 사용되는데 알려진 맬웨어 시그니처가 이 경우에 해당된다. 그러나 업계 경향은 안티바이러스 엔진에 대해 경험적 스캐닝(heuristic scanning)과 같은 비서명 기반 방법을 사용하는 유사 기술을 채택하는 것이다. 맬웨어 필터링이 실제로 효과를 발휘하기 위해서는 모든 포트와 전반적인 프로토콜의 트래픽이 네트워크를 드나들 때 레이어 4에서부터 레이어 7까지 분석되어야만 한다. 일부 악성 소프트웨어들은 항상 다양한 보호 기술에도 불구하고 통과할 수 있기 때문에 이것은 폰 홈(phone-home)의 시도를 포착할 수 있는 좀 더 선행적인 보호를 제공한다. 이것은 데스크탑과 애플리케이션이 패치되었는지의 여부와 최신 안티바이러스의 보증에 관한 위험 정도를 감소시킨다.

3. 애플리케이션 컨트롤 IM, P2P, Skype와 같은 제대로 관리되지 않는 애플리케이션의 사용을 통제하는 것이 네트워크 보안의 중요한 부분이 되고 있다. 흥미롭게도 이것은 어떠한 웹 보안 게이트웨이 업체도 실제적으로 뚜렷한 결과를 내지 못한 분야다.

대부분의 장치들은 특정한 그룹이나 사용자에 대해서만 액세스를 차단하거나 허용할 수 있다. 이것은 부분적으로 새로운 애플리케이션이 나타나거나 너무 성급하게 채택되고 있기 때문이다. IM과 Skype는 어떻게 새로운 애플리케이션이 작업 환경에서 금세 깊이 베어들 수 있는지를 보여주는 예라고 할 수 있다. 실제적으로 효과를 발휘하기 위해서는 웹 보안 게이트웨이에 애플리케이션의 기능을 선택적으로 관리하거나 필요할 경우 차단하는 등 기업이 수용 가능한 사용 정책을 보강할 필요가 있다.

한 개의 제품으로 다양한 이익

물론 이러한 기술을 각각 제공하는 사용 가능한 솔루션들이 있다. 그들 모두는 반드시 웹 환경을 적절히 보호해야 하며 이러한 포인트 제품의 결합을 사용하는 것은 특정한 웹 보안 요구를 해결할 수 있다. 그러나 그들을 개별적으로 시행하고 관리하는 것은 복잡하고 비용이 많이 요구되며 분리하여 작동하기에 부적절하다. 대부분의 기업 네트워크 관리자들은 그들의 네트워크에 이미 수많은 보안 장치들이 꽂혀 있다고 느낀다. 그것을 모두 이해하고 유지하기 위해 담당 직원들이 필요하며 그것이 생산하는 다량의 데이터를 분석하기 위한 시간도 또한 요구된다.

웹 보안 게이트웨이는 하나의 장치에 보호 기능들을 종합적으로 탑재함으로써 관리를 합리적으로 처리한다. 관리자들은 각기 다른 다양한 장치들 전반에 걸친 각각의 정책을 시행하려고 노력하는 것에 비해 훨씬 쉽게 하나의 장치에 대해 정책 규칙들과 경계를 설정할 수 있다. 특히 처리해야 할 인터페이스와 장치가 하나뿐이므로 총 관리 비용을 감소시킨다. 관리 웹 보안 게이트웨이 서비스는 관리 비용을 보다 줄여준다.

통합 솔루션의 또 다른 장점은 정보가 모일 수 있다는 점이다. 웹 보안 게이트웨이는 정보를 교차 비교할 수 있어 트래픽이 잠재적으로 악성인지에 대한 여부에 관해 좀 더 정보에 근거한 결정을 내릴 수 있게 도와준다. 이것은 보다 효과적으로 트래픽 컨트롤, 분석, 리포팅을 할 수 있게 해준다.

실효성 

그렇다면 웹 보안 게이트웨이가 다목적 보안 솔루션으로써 얼마나 실용적일까? 보안과 수행, 사용의 편리함의 관점에서 보면 이것은 시행하기 복잡한 서비스의 혼합이라고 할 수 있다. 웹 게이트웨이를 배치하는데 있어서의 과제는 비동기식인 이메일과는 달리 HTTP 프로토콜이 실시간이며, 따라서 웹 게이트웨이의 프로세싱이 가변적이어야만 한다는 것이다.

분석 프로세스는 트래픽과 관련해 중요하며 엔드유저의 웹 경험에 직접적으로 영향을 끼친다. 가변성을 갖기 위해서는 장치들과 다중 네트워크 배치 사이의 정책 동기화가 필요하다. 웹 보안 게이트웨이가 광범위한 업무라고 한다면 신뢰도가 또한 핵심 요소가 될 것이다.

현재 어떠한 제품도 이러한 결정에 도움을 주는 신뢰할만한 데이터를 보유할 수 있을 만큼 오랫동안 존재하지 못 하고 있다. 따라서 기업 네트워크 트래픽의 양 때문에 하드웨어나 서비스 기반 모델만이 실제로 채택 가능한 후보일 뿐이다.

IM, VoIP, P2P와 같은 애플리케이션의 통제가 웹 보안 게이트웨이의 과제로 남아있다. 오랫동안 애플리케이션 통제에 있어 가장 안전한 솔루션으로 여겨져 왔던 프록시 서버는 실제 웹 게이트가 요구하는 포트와 프로토콜을 모두 처리할 수는 없다. 웹 페이지 처리의 경우 특히 지연 정도가 심하다. 또한 프록시를 통하는 모든 클라이언트와 프로토콜을 설정하는데도 비용이 든다. 이러한 유형의 딥 패킷 인스펙션을 처리하는데 필요한 처리 속도는 엄청난 수준이기는 하지만 수많은 웹 보안 게이트웨이 장치들은 네트워크 수행에 대한 가시적인 영향 없이 기업 수준의 막대한 처리량을 자랑하고 있다.

한편, 웹 보안 게이트웨이가 네트워크 사용자들에 대한 총제적인 보호 제공을 위해 반드시 극복해야 할 문제들 중 하나는 시맨틱 인터프리테이션(Semantic Interpretation) 이슈, 즉 분석하고자 하는 트래픽을 어떤 컨텍스트로 번역하는 가에 관한 것이다. 이것은 “임피던스 매치(=임피던스 부정합 Impedance Mismatch)”라고 불린다. 예를 들어 ‘present’라는 단어는 문맥에 따라 각기 다른 의미를 갖는다. 대부분의 솔루션이 사용하고 있는 정규 표현 매칭(Regular Expression Matching)은 임피던스 매치되기 쉽다. 결과적으로 이것은 악성 코드의 일반적인 신호에 관한 데이터를 분석할 때 완전히 효율적이지는 않다. 이것은 회피하기 쉽고 양성 오류가 되기도 쉽기 때문이다.

다시 말해 웹 보안 게이트웨이는 브라우저가 그것을 보호하는 것과 같은 방식으로 인바운드 데이터를 번역할 수 있는 능력을 갖춰야만 한다. 스크립트 엔진이 요구되며, 따라서 장치의 난독화가 제거되면 최종 실행된 코드를 브라우저가 그것을 실행했던 것과 같은 형태로 볼 수 있을 것이다. 운이 좋으면 우리는 이러한 다이내믹 분석 형태를 다음 세대의 보안 장치에서 만날 수 있을 것이다.

데이터 유출

온라인에서 데이터를 이동시키거나 전달하는 사용자의 수가 증가함에 따라 데이터 유출 통제는 대부분의 관리자들에게 핵심 과제가 됐다. 조직에서 빠져나가는 정보는 항상 문제였지만 그 문제의 깊이와 범위가 극적으로 변화하고 있다. 데이터 유출은 우연히, 또는 조악한 비즈니스 프로세스뿐만 아니라 네트워크를 통해 발송되는 여러 형태의 맬웨어 때문에 더욱 많이 발생하고 있다.

이와 관련하여 웹 보안 게이트웨이는 네트워크 경계를 통해 드나드는 파일 유형의 모니터링과 잠재적으로 데이터 유출을 야기할 수 있는 용어나 문장에 관한 문서 스캐닝으로 확실한 도움이 될 수 있다. 모든 커뮤니케이션 채널 전반에 걸친 컨텐츠 정책의 조정은 그들 모두가 하나의 박스를 통해 이루어질 때 훨씬 더 효과적이다.

한편 데이터 유출 감소 처리과정의 일부로써 사용자들은 알려지지 않은 소스에서 온 이메일 첨부 파일의 위험을 인식해왔던 것과 마찬가지로 웹 2.0의 위험을 인지해야할 필요가 있다. 모든 포트와 프로토콜의 트래픽을 포착하는 웹 보안 게이트웨이는 위험한 사용자 행위에 대처할 수 있도록 훌륭한 일련의 증거를 만들어낼 수 있다. 이를 위해 웹 보안 게이트는 분명하고 간결한 통합된 데이터 리포트를 제공해야만 한다. 실례로 Mi5의 Webgate는 뛰어난 리포트 기능을 가지고 있다. Webgate나 그 외의 웹 보안 게이트들에 의해 제공되는 또 다른 데이터 유출 차단 툴은 감염된 PC를 확인 및 원격 치료를 한다. 

데이터 분석에 있어 다소간의 맹점으로 존재해왔던 분야는 SSL 트래픽이다. SSL 해독은 SSL 트래픽을 해독하고 조사기 위해 장치에 SSL 인증 삽입을 요구한다. 이것은 분명 막대한 비용을 초래한다. 대부분의 웹 보안 게이트웨이는 여전히 SSL 암호화 트래픽을 처리하기 위해 별도로 추가되는 SSL 프록시 엔진을 필요로 한다.

비교·선택

웹 보안 게이트웨이는 분명 클라이언트 사이드 보안 소프트웨어 삭감을 원하는 수많은 대기업에 어필할 것이다. 그러나 보안 실무자들의 그룹인 Jericho Forum은  기존의 네트워크 경계의 붕괴와 웹 사용의 폭발적인 증가를 보안 실무에 있어 근본적인 변화가 요구되는 이유로 꼽았다. 경계를 통해, 또는 우회하여 들어오는 웹 트래픽과 다른 웹 프로토콜 내에 자신들의 프로토콜을 집어넣는 애플리케이션들은 기존의 경계 보안이 오늘날의 위협에 대해 효과적이지 않은 실례라 할 수 있다. Jericho Forum은 정보 자체를 보호하고 모든 구성 부분을 독립적으로 보호하는 “비경계화(deperimeterization)”를 지지했다.

이러한 접근 방식의 매력은 포괄적인 접근 방식으로 보안을 제공하는 것보다 비용이 훨씬 절감된다는 점이다. 그러나 이것은 성숙한 사용자 토대를 필요로 하며 데이터 유출 문제를 완전히 처리하지는 못할 수도 있다. 웹 보안 게이트웨이는 여전히 외부 위협의 위험과 대면하고 있는 기업으로 하여금 보안 정책을 네트워크의 데이터에 적용할 수 있게 해준다.

아웃바운드 트래픽 통제가 점점 더 중요해지고 있어 비경계화가 너무 무모하다고 생각하는 사람들에게 웹 보안 게이트웨이는 특히 그것의 보안 적용 범위와 시스템 관리 때문에 많은 관심을 받고 있다.

라운드테이블(Roundtable)사의 스텀프는 그의 회사가 다음 달 오픈 할 예정인 데어리 퀸(Dairy Queen) 매장들에 스캔세이프(ScanSafe)를 추가적으로 도입할 계획이다. 이 서비스는  웹을 통해 관리하기가 쉬우며 이것으로 그와 그의 팀원들이 URL과 소셜 네트워킹류의 웹사이트 유형을 작동시키거나 억제할 수 있다. 회사 도메인에만 국한된 것이 아니기 때문에 직원들은 현재 회사의 정책에 따르는 것 외에는 선택의 여지가 없다. 스텀프는 “그냥 내버려두기만 하면 된다”고 말했다.

<글·마이클 콥(Michael Cobb)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>