Web Security Solution All Guide

Chapter 1. 웹 보안의 개념과 이해

최근 구글과 IBM, 그리고 스위스 연방 공과대학(ETH Zurich)은 2007년 1월부터 2008년 6월 사이의 전 세계 구글 사용자의 웹 검색 및 애플리케이션에 사용에 관한 로그 데이터를 조사, 웹 브라우저의 위협에 관해 연구했다(‘Understanding the Web browser threat’).

이 연구에 따르면 수많은 사용자들이 사용하고 있는 웹 브라우저는 가장 최신의, 안전한 웹 브라우저가 아니며 이는 특히 인터넷 익스플로러 사용자에게서 두드러지는 현상이라고 한다.(반면 파이어폭스 사용자들은 브라우저를 매우 빠르게 업데이트하고 있다.)

이에 관해 시큐리티 센터(Security Center)의 에디터 래리 셀처(Larry Seltzer)는 “수많은 사용자들이 그들의 브라우저를 필요한 만큼 빨리 업데이트하지 않는다는 것은 의심할 바 없다”며  “브라우저에도 우유나 약품처럼 유통기한(expiration date)이 있어야 한다”고 제안했다.

그러나 이 연구에서 지적하고 있는 브라우저 업데이트 비활성화만이 웹 위협의 전부라고 보기는 어렵다. 특히 국내 인터넷 환경이 인터넷 익스플로러에 치우쳐있다는 점과 엄청난 인터넷 사용자 인구로 우리나라의 웹 위험성은 심각한 수준이다. 이쯤에서 지난 해 해외 전문가들이 경고했던 웹 위협을 다시금 살펴보는 것도 우리나라가 처한 웹 위협의 현실에 다소나마 도움이 될 것이다.

웹 2.0 애플리케이션과 원격 액세스 증가에 따른 위협 증가

지난해 말 스캔세이프(ScanSafe)는 ‘2008년 웹 보안 위협 예측(Web security predictions for 2008)’을 발표했다.

1. 웹 2.0은 앞으로도 고위험의 공격들을 부채질 할 것

웹 2.0 애플리케이션의 폭발적인 증가로 웹 2.0 사이트들은 더욱 더 사이버 범죄자들의 훌륭한 먹이가 되었다. 또한 웹 2.0 애플리케이션은 2008년뿐만 아니라 그 이후로도 웹 기반 맬웨어의 핵심 소스가 될 것이다. 특히 소셜 네트워크는 기업의 평판과 데이터 유출에 대해 끊임없이 리스크를 안겨준다. 우리나라 역시 미국의 마이스페이스에 못지않게 미니 홈페이지 등을 통한 정보유출이 점점 더 심각해지는 상황이다.

2. 원격 및 로밍 보안이 기업 근심의 정점에 이를 것

직원들이 사무실 밖으로 뻗어나가고 있다. 보다 많은 직원들이 원격으로 작업해야 함에 따라, 또한 많은 기업들이 재택근무의 제시함에 따라 IT 관리자들이 기업 제공 노트북에서의 인터넷 사용을 포함한 기업 리소스의 적절한 사용에 관한 정책을 집행하기가 더욱 어렵게 되었다. 직원들이 사무실에 구속되지 않는 특혜를 즐기는 반면 남겨져있는 IT 부서들은 로밍 직원들과 증가하고 있는 탄력 네트워크 경계가 안겨주는 대신할 수 없는 보안 과제들을 처리해야 한다.

3. 탈취한 데이터베이스의 저장 및 판매를 위한 암시장 성장

2007년의 데이터 도용은 기록적이다. 이러한 데이터 취약성으로 2008년에는 중요 개인 정보에 관한 암시장이 성장할 것이다. 스캔세이프는 ‘합법적인’ 데이터 저장소로 보이도록 위장하여 탈취한 컨택 데이터베이스를 판매하고 제공하는 것이 증가할 것으로 예측했다.

4. ‘스톰 웜’의 여파가 2008년에도 계속 될 것

스톰 웜은 2007년 보안의 지형을 흔들었고 그 영향력은 2008년에도 이어질 것이다. 그런데 이 스톰 웜에 대해 다소의 오해가 있다. 일반적인 믿음과는 달리 스톰 위협은 2006년에 서서히 발달했다. 그 중 한 가지 변종이 2007년 1월 “유럽을 강타한 폭풍(스톰)으로 230명 사망”이라는 제목의 이메일로 퍼져나갔다. 이로 인해 “스톰 웜”이라는 별칭이 붙게 된 것이다.

이 ‘폭풍’이 실제로 가져온 것은 면밀하고 극도로 조직화된 일련의 공격들로, 이로써 해당 기간에 150만 대 이상의 기계가 감염된 것으로 추정되는 최대의 봇넷 중 하나가 생성되는 결과에 이르렀다. 바로 이 봇넷이 2008년과 그 이후에 사이버 범죄자들에게 이용될 것으로 예상된다.

스캔세이프가 웹 보안의 위협에 관해 예측한 지 7개월여가 지난 현재 스톰 웜 등은 우리나라에서 이미 밸런타인데이나 크리스마스 등을 거쳐 상당히 친숙(?)해졌기 때문에 일반 사용자들도 주의를 기울이고 있는 편이다. 그러나 웹 2.0의 고유한 성질에 따른 위협과 원격 사용에 관한 위협, 이에 따른 사이버 범죄자들의 암시장 성장에 관한 대책 마련과 지속적인 대응은 결코 만족스러운 정도라 할 수 없을 것이다.

탐지기술 무력화하는 회피 공격 등이 특히 위협적

한편, 스캔 세이프의 예측 발표보다 앞선 지난 해 6월 기업용 웹 보안 솔루션 제공업체 핀얀(Finjan)은 “웹 보안 동향 보고서(Latest Web Security Trends Report, 2007년 2분기 기준)”를 발표했다.

시그니처 기반 및 데이터베이스 의존 기술을 잠재적으로 우회하기 위해 고안된 고도로 교묘하고 파악하기 어려운 새로운 유형의 공격에 초점을 맞춘 이 리포트는 유명 웹사이트와 심지어 정부 도메인을 손상시키기 위해 대기 중인 악성 코드 패키지를 이용하는 악성 코드에 관한 “숙주(hosted) 모델”을 토대로 제휴 네트워크들의 확산을 설명했다. 또한 합법적인 사이트의 온라인 광고 내의 악성 코드의 증가에 관한 새로운 실례도 제시했다.

회피 공격(Evasive Attacks)은 악성 코드의 노출을 최소화하기 위해 특정한 웹사이트나 웹 페이지의 방문자들의 실제 IP 주소들을 기록한다. 이러한 정보를 이용해 공격자들은 각각의 고유 IP 주소의 싱글 뷰에 대한 악성 코드의 노출을 제한한다. 이것은 다시 한 번 주어진 IP 주소로 악성 페이지에 접속하려고 하면 양성 페이지가 자동적으로 그 자리에 나타나게 하며, 처음의 악성 페이지의 모든 흔적들은 완전히 사라지게 된다.

또한 트로이 키로거 로그 파일(Trojan keylogger log file)은 악성 코드가 은행 계좌 내역, 신용카드 번호, 주민등록 번호 등 사이버 범죄자들이 기꺼이 비용을 지불할만한 민감한 금융 및 개인 정보를 탈취하기 위해 사용되고 있음을 보여준다. 수백 명의 해커들이 이 기술을 사용하고 있기 때문에 이 문제의 심각성은 이미 전 세계적으로 영향을 주고 있다.

핀얀(Finjan)의 CTO 유벌 벤-이작(Yuval Ben-Itzhak)은 “가시적인 손상을 남기지 않으며 단지 외부 서버의 악성 코드로 향하게 하는 HTML 코드 한 줄을 삽입하는 슬그머니 이루어지는 공격에 많은 사이트들이 당하고 있다”며 “결론적으로 이러한 웹사이트의 모든 방문자들이 자신들의 개인 신원, 은행 계좌 내역, 신용 카드 번호를 이러한 체계 뒤에 숨어있는 사이버범죄자들에 대한 위협에 빠뜨리고 있다. 특히 시그니처 기반 안티바이러스나 URL 필터링 솔루션에 전적으로 의존하고 있는 비즈니스 사용자들은 이러한 유형의 공격에 대해 취약할 수 있다”고 말했다.

또한, 온라인 광고 속의 악성 코드의 심각성도 예고되었다. 현재 웹사이트들은 광고 수익에 보다 의존하고 있기 때문에 그들은 종종 제 3자 광고 네트워크의 광고를 보여준다. 문제는 그에 관해 해당 사이트들은 거의, 혹은 전혀 통제할 수 없다는 것이다. 합법적인 웹 사이트 소유자들은 광고주들이 악성 컨텐츠를 전시하지 않을 것이라고 믿지만 문제는 광고주들이 종종 다른 이들에게 그들의 공간을 “대여”하기도 한다는 점이다.

벤-이작은 “상업적으로 동기화된 해커들은 가장 짧은 시간 안에 최대한 많은 사람들에게 도달할 수 있는 방법을 찾고 있기 때문에 광고는 악성 코드에게 최고의 타깃이 되었다”고 설명했다. 또한 “대부분의 필터링 제품에게 일반적으로 ‘신뢰할만한’ 것으로 여겨지는 고용량 웹사이트를 대상으로 함으로써 해커들은 보다 높은 비율의 감염을 성취하고 더 많은 돈을 벌 수 있다”고 덧붙였다.

핀얀의 연구 결과는 특히 해커들이 새로운 종류의 고도의 회피 공격을 만들어왔음을 보여준다. 또한 이러한 공격들은 기술적 숙련도의 측면에서 드라이브 바이 다운로드와 코드 난독화 이상의 양적 비약이 이루어졌음을 의미한다.

그러나 ‘보안’ 또는 ‘대응’이라는 것은 본질적으로 ‘사건’이라는 작용에 대한 반작용으로 생성될 수밖에 없는 한계가 있기 때문에 늘 한발 뒤쳐질 수밖에 없는 것이 현실이다. 그렇다고 마냥 손놓고 있을 수만은 없는 일. 따라서 특히 기업체에서는 각각의 애플리케이션 환경과 비즈니스 프로세스에 적절한 웹 솔루션을 도입하고 관리하여 가장 기본적인 웹 보안에 만전을 기울이는 것만이 소 잃기 전에 외양간을 튼튼히 하는 유일한 방법이라 하겠다.

[정보보호21c (info@boannews.com)]

         <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>