Web Security Solution All Guide

Chapter 1. 웹 보안의 개념과 이해

현재 국내에서 빈번하게 발생하고 있는 해킹사고의 70% 이상은 웹을 통해서 이루어진다는 발표가 있다. 더 이상 시스템 해킹이나 그 외 해킹사고가 안 위험하다를 따지려는 문제는 아니지만 우리는 누구나 쉽게 웹을 통해 자료를 검색하고 정보를 공유 할 수 있는 현대에 살고 있다. 이처럼 웹이 우리 생활 속에 깊게 자리 잡혀있고 장점이 크게 부각되는 만큼 웹을 통한 위협도 무시할 수 없는 상황이다.

특히 최근 들어 해킹사고가 빈번하게 언론을 통해 보도되고 있다. 그 중 대부분은 웹을 통한 해킹사고로 어느 웹 사이트에 강한 불만을 갖고 메인 페이지를 변조해 우롱하는 사고부터 한 기업의 고객정보를 모조리 빼돌려 상업적인 목적에까지 사용되고 있다. 이에 대해 박종성 NSHC 연구원은 “웹 보안은 더 이상 소 잃고 외양간 고치는 일이 없어야 한다. 특히 안일한 마음을 가지고 있는 보안 관리자는 무엇이 자신의 비즈니스에서 가장 큰 리스크인지를 한 번쯤 다시 생각을 해봐야 한다”고 강조했다.

또 문성준 인터비젠테크놀로지 이사는 “애플리케이션 취약점을 이용한 공격이 전체 공격의 70% 이상을 차지하고 있는 상황에서 대부분이 웹 취약점을 이용한 공격이다”며 “웹 보안이란 이러한 애플리케이션 레벨 공격에 대한 방어, 애플리케이션 보안 테스트 및 사전 조치 방안을 마련하는 것”이라고 말했다.

최근 모든 기업들의 비즈니스 인프라에서 애플리케이션을 사용하지 않는 경우는 거의 없으며 또한 웹 환경의 발달에 따라 애플리케이션 레벨의 보안 위협은 더욱 심각해 질 것이기 때문에 애플리케이션 위협에 대응 할 수 있는 시스템 마련이 중요한 보안 화두로 인식되고 있는 것이다.

웹 보안 시장 지속적 성장세 전망

특히 최근 국내 웹 보안 시장의 흐름은 하드웨어나 소프트웨어가 아닌 서비스를 어떻게 얼마나 제공하느냐에 많은 관심을 두고 있다. 국내 유명 쇼핑몰의 고객정보 유출사건도 이미 많은 보안 시스템을 구축해 놓은 상태에서 공격이 이뤄졌던 만큼 유형적인 보안 솔루션에만 의지할 것이 아니라 무형적인 보안 서비스에 관심이 더욱 집중될 것으로 전망된다.

현재 웹 보안 시장의 가장 큰 문제점에 대해서 박종성 연구원은 “기업의 대표나 웹 사이트 관리자의 안일한 태도로 꼽을 수 있다”며 “해킹사고가 발생한 후에야 급하게 상황을 수습하고 비즈니스에 막대한 영향을 줄 수 있을 정도로 엄청난 손해비용을 부담해야 보안에 각별한 신경을 쓰는 반복적인 악습은 더 이상 남의 일만은 아닐 것”이라고 강조했다.

이러한 가운데 최근 제공되는 웹 보안 솔루션 제품과 서비스 동향을 살펴보면 웹 보안 솔루션은 하드웨어로 구성되어 있는 웹 방화벽 같은 제품과 보안USB 등의 솔루션이 출시되어 있고 고객정보를 많이 보유하고 있는 기업을 위한 DB 암호화 솔루션이나 안티바이러스 솔루션 등 같이 소프트웨어로 구성된 보안 솔루션이 있다. 이 외에도 모의해킹이라든지 보안컨설팅 같이 전문 인력을 투입해 진행하는 일회성 보안 서비스도 있으며 보안관제와 같이 장기적인 서비스도 활발히 진행 중이다.

문성준 이사는 “웹 보안 솔루션은 크게 웹 방화벽, 웹 스캐너, 소스코드 분석과 같은 세 가지 유형으로 나뉠 수 있다”며 “웹 방화벽의 경우 사용자 입장에서 가장 손쉬운 웹 보안 방안이기는 하나 웹 서버의 성능 저하, 룰 세팅의 방대함 등으로 인해 실제 적용에 어려움을 겪고 있지만 향후 하드웨어 및 소프트웨어 기술 발전에 따라 자연스럽게 문제 해결이 될 것으로 보인다”고 설명했다.

또한 “웹 스캐너의 경우 테스트 단계에서 공격자 관점으로 애플리케이션을 테스트하며 페이지상에 존재하는 취약점 및 설정상의 취약점들을 도출한다. 소스코드 분석은 취약점의 근본 원인인 소스코드상의 취약점을 찾아내어 조치 할 수 있도록 하며 변경관리, 형상관리 등과의 연동을 통해 개발프로세스와 연동될 수 있다”며 “이 세 가지의 솔루션들은 상호 보완적인 관점이며 개발 프로세스의 각 단계에서 각기 독립적으로 적용될 수 있으나 향후에는 통합되어 전체 개발 프로세스에 대한 통합 보안관리로 발전될 것”이라고 덧붙였다. 그는 또 현재 웹 보안 시장의 문제점은 웹 보안에 대해 개발 이후의 사후적인 관점에 치우쳐져 있다는 것이라고 지적했다. 이는 개발 완료 후에 웹 보안적용이 필요하기는 하지만 사후 관점 뿐 아닌, 개발 및 테스트 단계의 보안 적용 방안에도 많은 신경을 써야 한다는 것이다.

애플리케이션 취약점 분석 중요성 확대

아울러 최근 애플리케이션 취약점 분석 시장도 서서히 시장에서 자리를 잡아가고 있다. 이러한 애플리케이션 취약점 분석 시장이 본격적으로 형성되기 시작한 것은 지난 2004년 이후이고 가트너 보고서의 독립적인 항목으로 기술되기 시작 한 것도 2005년 이후다.

이 보고서에 따르면 2007년 전 세계 웹 애플리케이션 취약점 분석 시장은 전년 대비 40% 성장한 1.68억불 정도의 시장이 형성된 것으로 분석됐다. 이 금액은 벤더 라이센스 기준이므로 실제 엔드유저 공급 기준의 시장규모는 이보다 더 클 것으로 예측된다.

웹 보안 시장은 국내에서 이미 중요한 키워드로 자리 잡았으며 애플리케이션 취약점 분석과 관련하여 국내 금융권, 대기업 군에서는 ‘개발 프로세스와 연동된 취약점 조치 시스템’이 이미 구축되어 있고 최근 들어 금융권의 차세대 시스템 구축 시 개발단계부터의 보안적용, 공공 시장에서의 홈페이지 보안 등과 같이 공공, 민수 분야에서 애플리케이션 취약점 분석의 중요성이 핫 이슈로 대두되고 있어 향후 애플리케이션 취약점 분석 시장의 지속적인 성장이 이루어 질 것으로 예측된다.

문성준 이사는 애플리케이션 취약점 분석 관점에서의 올 국내 웹 보안 시장에 대해 “국내 시장의 경우 웹 스캐너는 경우 2002년, 소스코드 분석도구의 경우 2005년부터 국내에 공급되기 시작했다”며 “국내 애플리케이션 취약점 분석에 대한 정확한 시장 분석이 되어 있는 보고서는 없으나 엔드 유저 공급가 기준으로 2007년에 30~40억원 규모의 시장이 형성되었을 것으로 추측되며 2008년에는 60억원 내외의 시장이 형성될 것”으로 예측했다.

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>