Web Security Solution All Guide

Chapter 1. 웹 보안의 개념과 이해

최근 인터넷의 사용이 대중화 되면서 웹을 통한 다양한 서비스와 비즈니스가 기업과 공공기관 등에서 제공되고 있다. 특히 초기의 단순 자료 검색에서 전문화된 서비스와 애플리케이션 제공으로 그 분야의 다양화 및 부가가치가 날로 높아지고 있는 추세다.

그러나 이러한 발전과 더불어 IT 인프라와 관련된 보안사고와 취약점은 날로 증가하고 있으며 그 방법도 다양해졌다. 특히 최근에는 옥션해킹 사건을 비롯해 각 공공기관과 금융권 해킹 사건 등 웹 관련 보안 사고들이 급격한 증가세를 보이고 있다.

물론 과거부터 IT보안에 대한 관심은 계속되어왔으며, 특히 보안업계의 논점이 최근 인프라 보안에서 개인정보보호 및 애플리케이션 보안을 포함하는 보다 다양하고 세분화된 영역으로 확장되고 있다. 그렇지만 아직도 대부분의 조직들은 웹 애플리케이션 보안보다는 IT 인프라 보안에 대한 투자와 관심을 보이는 경향이 강하다. 그러나 점차 전문화된 영역과 깊이 있는 보안 수준을 추구하면서 안전한 웹 서비스와 같은 새로운 요구조건이 대두되면서 상황이 바뀌고 있다. 특히 애플리케이션 보안에 대한 필요성이 증가하면서 애플리케이션 보안에 대한 관심이 더욱 고조되어 애플리케이션 보안 시스템에 대한 투자가 더욱 늘어날 것으로 예상된다.

지난 2007년 웹 방화벽 시장은 300억원 규모로 예상 됐으나 100억원 규모에 그쳤다. 그 이유는 예상과 달리 본격적인 시장 형성이 아직 이루어지지 않았고 또 업체 간 출혈경쟁으로 인한 것으로 분석되고 있다. 웹 방화벽의 필요성은 이미 많이 알려졌고 올해 공공기관의 보안 예산 책정이 늘어날 것으로 예상되면서 업계는 공공기관 등에서 웹 방화벽의 구축이 확대될 것으로 전망하고 있다.

이 때문에 업체들은 공공기관 웹 방화벽 공급에 필수적인 국가정보원 검증필 인증을 너도 나도 서두르고 있으며 정보보호제품 평가기관의 복수화로 인해 많은 업체들이 공공기관을 대상으로 활발한 영업을 펼치고 있다. 이로 인한 업체들간의 출혈경쟁을 피할 수는 없지만 주요 시장이 공공 및 교육기관인 점을 감안하면 인증과 적합성 검증 여부가 업체들간 경쟁에서 중요한 변수로 작용할 것으로 예상된다.

웹 방화벽은 현재 공공기관에서 대기업, 금융기관, 교육기관 순으로 도입되고 있는 추세다. 공공기관에 비해 대기업과 금융기관은 성능, 서비스 가용성 등을 문제점으로 지적하고 도입을 미루어 왔지만 최근 웹 방화벽의 필요성의 대두와 대기업들의 핵심기술 유출, 금융기관들의 인터넷뱅킹 해킹사례 등으로 본격적인 시장 형성이 예상된다. 특히 기업대상 웹 방화벽 시장은 대기업과 금융기관, 대형 포털사들을 중심으로 형성될 것으로 업계는 전망하고 있다. 이와 같이 기업 대상의 사업 규모가 커짐에 따라 웹 방화벽 업체들은 기업의 요구에 맞는 고성능 제품으로 업그레이드 시키고 있으며 글로벌 기업의 보안시장 공세 강화로 인해 국내 제품보다 고성능의 외산 제품들과의 국내 기업의 경쟁이 치열하게 전개될 것이다.

기존 보안 시스템과 웹 방화벽의 차이

웹 방화벽은 애플리케이션의 계층 분석 기술과 정규화 기술을 바탕으로 특화된 검사 엔진을 탑재해서 URL에 따른 접근 제어 기능과 SSL 트래픽을 자체적으로 복호화 검사하여 처리하기 때문에 기존의 보안 시스템과는 다른 차별성을 갖는다.

분석해야 할 자료를 어디에서 얻는지에 따라 네트워크 기반과 웹 서버 기반으로 나누는데 네트워크 기반의 방화벽은 HTTP/HTTPS 트래픽을 분석함으로 웹 서버의 종류와 상관없이 보호가 가능한데 비해 웹 서버 기반은 웹 서버가 제공하는 API 기반으로 구현되어 해당 웹 서버(IIS/아파치)의 플러그인 형식으로 탑재된다.

웹 애플리케이션의 모델은 포지티브 시큐리티 모델과 네거티브 시큐리티 모델로 구분하는데 포지티브 시큐리티 모델은 안전하다고 정의된 것만 허용하고 네거티브 시큐리티 모델은 위험하다는 것만 거부하고 나머지는 모두 허용하는 모델이다. 포지티브 시큐리티 모델이 먼저 URL 접근제어나 특정 방법의 수행 여부 허가 등 접근 및 사용이 허가된 목록을 기준으로 필터링을 수행한다. 필터링이 수행되고 난 이후 네거티브 시큐리티 모델이 패턴 매칭, 입력 값에 대한 검증, 비정상 침입탐지 기능을 구현하여 애플리케이션 레벨에 대한 공격을 탐지한다.

웹 2.0은 대화형 웹 프로그램을 사용하여 자바스크립트(AJAX) 같은 기술의 사용이 급증하였기 때문에 보안상 문제점이 현재 많이 존재하고 있고 악성코드를 침투시키거나 데이터 조작을 통해 기존의 서비스에 영향을 끼치는 여러 가지 공격이 가능하다. 이러한 보안상의 문제로 인해 국내의 싸이월드와 비슷한 미국의 마이스페이스닷컴은 웜바이러스에 공격당했고 야후닷컴에서는 야후배너가 각각 자바스크립트로 인한 허점으로 공격을 받았다. 이러한 허점을 없애기 위해 기존의 모든 웹 코드를 수정하는 것에는 시간이 걸릴 뿐더러 기존의 방화벽으로는 이러한 공격에 대응하는 것이 부족하기에 웹 방화벽의 필요가 더욱 더 절실해 지고 있다.

웹 방화벽은 웹 서버에서 보내는 정보에 대한 컨텐츠 필터링 기능이 있어서 그 컨텐츠의 내용을 해석하여 무단으로 정보가 노출되는 것을 막는 역할도 한다.

가령 웹서버에 연결된 데이터베이스에서 에러가 발생할 때 나오는 데이터베이스 고유 에러 메시지는 개발자 측면에서는 개발시에 필요한 중요한 정보를 담고 있는데 이 정보는 침입하려는 측에게도 중요하게 사용되기에 이러한 정보가 전송되는 것을 막는다.

또한 주민등록번호나 신용카드번호의 유출을 막는 기능도 하며 필터링 이후에는 쿠키에 대한 무결성 검사나 히든 필드의 변조를 막기 위한 암호화를 수행한다. 웹 방화벽은 기존의 소스코드 검사 도구와 달리 현재 운용중인 시스템에 기존 웹 애플리케이션의 수정 없이 구축할 수 있어 웹 애플케이션의 보안을 위한 가장 좋은 방어 대책으로 부상하고 있다.

웹 방화벽의 주요 기능

1. 분석 시스템

분석 시스템은 HTTP/HTTPS 서비스를 중계하기 위한 시스템 모듈로 사용자의 접속부터 웹 서버 응답처리까지의 일련에 연결을 중계한다. 서비스를 중계하기 위한 기본 프로세서들을 생성하고 서비스를 위한 네트워크 준비를 마치고 데이터베이스로부터 환경 설정 데이터를 읽어와 서비스를 초기화한다. 초기화가 정상으로 이루어졌다면 서비스 프로세서는 사용자의 요청을 기다린다. 사용자의 요청이 들어오면 HTTP 헤더의 데이터를 피싱하여 사용자의 리퀘스트를 분석한다. 분석한 데이터는 인바운드 정책 필터링 모듈에서 보안 정책을 적용하게 된다. 보안 정책 모듈의 리턴으로 사용자 요청이 정상 요청으로 파악되면 웹 서버로 응답을 요청한다. 반면 사용자 요청이 공격으로 파악되면 요청을 거부하고 오류 메시지를 발생한다. 위에 정상 요청에 대한 웹 서버에서 응답이 오면 아웃바운드 모듈을 호출하여 보안 정책을 적용할 수 있도록 한다.

2. 필터링 시스템

분석 시스템이 받은 사용자 요청 HTTP 패킷과 서버 응답 HTTP 패킷은 보안 필터링 시스템으로 넘겨진다. 보안 필터링 시스템은 등록된 HTTP 패킷에 보안 룰을 적용해 공격 패킷인지 아닌지를 판단한다. 만약 공격 패킷으로 판단될 경우에는 분석 시스템에서 결정된 동작 모드에 따른 응답을 준다.

사용자 요청의 보안 필터링은 OWASP 10대 취약점 및 국가정보원 홈페이지 8대 취약점에 대한 기능을 지원해야 하며 장애시 대응할 수 있는 바이패스지원이 가능토록해야 한다. 서버 응답의 보안 필터링은 개인정보에 대한 유출 탐지 및 차단, 홈페이지 위변조 방지, 홈페이지 위변조 복구, 출력 금칙어 차단, 신뢰할 수 있는 호스트, 서버 정보 숨김 등을 지원해야 한다.

3. 보안관리 시스템

보안 관리 시스템은 관리자 프로그램에서 센서에 접속할 수 있는 관리자 계정을 생성 및 관리하고 접근 통제와 권한 설정을 통해 인가된 관리자에게 센서 내부에서의 권한을 관리할 수 있도록 한다. 센서 접근 관리자에 대한 접근 내역과 각종 설정 변경내역 조회 모니터링을 지원하여 센서에 대한 감사 통제와 감사 내역을 통한 센서 자산에 대한 적절한 보안 대책에 기반이 된 감사 로그를 제공한다.

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>