Web Security Solution All Guide

Chapter 1. 웹 보안의 개념과 이해

웹 보안을 효율적으로 관리하기 위해서는 기업에 보안 전담 팀을 구성해서 전사적인 보안 정책을 기획하여 기술적인 부분에서부터 관리적인 부분, 나아가 물리적인 부분까지 보안을 기업 문화에 정착시키는 것이 가장 이상적이다.

박종성 NSHC 연구원은 “대부분의 기업이 보안 전담 팀을 운영하기엔 무리가 있는 것이 현실이다. 그렇다고 별다른 대책을 세우지 않고 무리하게 비즈니스를 진행하기보다는 정기적으로 보안 전문기업에 보안컨설팅을 의뢰해 하나하나 문제를 해결해 나가면서 담장을 높여가는 것이 중요하다”고 강조했다.

최근 웹 보안 솔루션의 대표 솔루션은 최근 각광을 받고 있는 웹 방화벽이다. 웹 방화벽은 80포트를 통해 들어온 공격자의 해킹 시도를 이미 정해진 패턴에 모두 등록을 시켜놓고 패턴을 검사해서 필터를 시키는 방식으로 시중에 판매 중에 대부분의 웹 방화벽이 OWASP 웹 보안 취약점 TOP 10에 대응하는 기술력을 가지고 있다.

박 연구원은 “웹 방화벽을 도입했다고 해서 무작정 마음을 놓고 있다면 자리만 차지하고 있는 고철덩어리에 불과하다”며 “철저한 보안 관제와 새로 등장하는 최신 웹 해킹 패턴을 파악해 정기적으로 업데이트를 시켜주어야만 안정적으로 웹 사이트를 운영할 수 있을 것”이라고 덧붙였다.

또 문성준 인터비젠테크놀로지 이사는 “웹 애플리케이션에 대한 개발, 테스트, 운영 부서간의 유기적인 업무 협조 및 보안 체계 구축에 의해 효율적인 웹 보안이 구축 될 수 있다”고 설명했다. 이는 개발 단계에서는 개발 보안 지침에 따른 애플리케이션 개발이 필요하고 테스트 단계에서는 품질 관점 뿐 아닌 보안관점의 애플리케이션 테스트 방안이 필요하다는 것.

문 이사는 또 “운영단계에서는 공격에 대한 방어 방안 및 모니터링 방안이 필요하며 이러한 단계별 프로세스를 통해 보안이 고려된 효율적인 애플리케이션이 완성된다”고 덧붙였다.

특히 공공시장의 경우 애플리케이션 관리의 대부분을 아웃소싱 하므로 기 개발된 애플리케이션의 보안 적용을 위해 운영 관점의 웹 보안 솔루션이 적당하다. 또한 공공 애플리케이션의 대부분이 SI 개발 형태이므로 개발 초기부터 보안을 고려하여 개발 할 수 있는 방안이 필요하다.

기업 및 금융기관은 공공 시장과는 다르게 기업 및 금융기관의 경우 개발 및 운영을 자체적으로 해결하는 경우가 많으며 대부분의 경우 개발 프로세스가 확립되어 있으므로 개발 프로세스와의 연동을 통한 보안 취약점 관리 및 운영 애플리케이션에 대한 전수검사를 통한 취약점 조치 가능 여부가 관건이며 변화되는 애플리케이션에 대한 변화 관리 지원 여부가 필요하다.

효율적인 웹 보안 시스템 운영 방안

효율적으로 웹 보안 시스템을 구축하고 운영하기 위해서는 웹 2.0 시대를 맞아 급변하고 있는 웹 보안의 트렌드를 잘 파악하고 보안 솔루션 구매 시 자신의 기업과 조직에 얼마나 최적화된 솔루션인지를 잘 살펴보는 것은 필수다. 또 보안 관리자는 항상 최신 패치에 신경을 쓰면서 보안관제 센터로부터 주기적인 보안관제 리포팅을 꾸준히 검토해야 한다. 이 외에도 내부적인 보안 전담 팀이 있더라도 외부자의 관점에서 아웃소싱 보안 컨설팅을 한번씩 받아 보는 것도 좋은 방법 중에 하나일 것이다.

박종성 연구원은 “특히 각 기업이나 조직에서 웹 방화벽을 도입하고자 할 때는 국제 공통 평가 인증인 CC 인증을 받은 제품인지 우선 선별해야 하고 국정원 보안 제품 적합성 인증필을 확인해야 한다”며 “이후 기술적인 부분에서는 OWASP 웹 취약성 TOP 10에 얼마나 충실히 구현이 되었는지 평가를 해봐야 하며 운영상에서 관리자의 편의성에 맞게 고려되었는지를 꼼꼼히 따져봐야 한다”고 강조했다.

문성준 이사는 “웹 애플리케이션은 특성상 운영 혹은 보안 관점에서만 접근할 수 없으며 개발, 보안, QA 등이 어우러져 완성 될 수 있다”며 “최근 들어 개발 보안의 중요성이 인식되며 상황이 많이 나아지긴 했지만 아직도 개발자 입장에서는 보안을 또 다른 업무 부하로 인식하는 경우가 많이 있고 보안 관점에서는 사후 대응 혹은 컨설팅 등의 서비스를 통한 조치에 치중하고 있는 현실”이라고 말했다. 또한 그는 업무 부서간의 유기적인 협조가 되지 않아 취약점들이 도출 되더라도 이에 대한 조치가 더뎌지진다는 것이 문제라고 지적했다.

애플리케이션 보안은 개발 및 보안의 유기적인 업무 분장에 의해 강화될 수 있으므로 보안팀에 의한 개발 보안 정책 및 변화관리가 필요하고 개발자에 의한 취약점 조치가 있어야 된다는 것이 문 이사의 생각이다.

개발자 업무의 70%가 디버깅 업무라고 보고 되어 있으므로 보안 취약점 또한 개발 과정중의 디버깅 관점으로 조치된다면 기업에서는 보다 안전한 애플리케이션이 확보 될 것이다. 네트워크나 시스템 인프라에 대한 보안은 일정한 경계를 만들고 보안 위협에 대한 대처를 행하는 ‘경계’의 보안이지만 애플리케이션의 경우 내/외부의 연결 고리를 가질 수 밖에 없는 특징이 있으므로 ‘경계’의 보안이 적용되기 어려운 것이 현실이다.

그러므로 애플리케이션 보안의 가장 근본적인 해결 방안은 전반적인 계획, 코딩, 테스트, 운영 등 전체 개발 프로세스 단계별 보안 적용을 통해 애플리케이션 보안 위협에 대처할 수 있는 ‘내성’을 가진 ‘강한’ 애플리케이션을 만드는 것이며 이러한 프로세스를 통해 ‘호미로 막을 것을 가래’로 막는 우를 범하지 말아야 할 것이다.

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>