솔루션도입·인프라보안 강화만으로 보안사고 막으려는 생각 버려야

웹 환경으로의 변화 및 발전은 초기 기업 및 단체의 얼굴로의 홈페이지의 개념을 뛰어 넘어 업무 환경의 중심으로 자리 잡고 있다. 기업 홍보의 홈페이지의 개념만으로도 웹에 대한 불법적인 변조 및 장애는 명확한 증상으로 인해 기업 이미지 손상의 가장 큰 역할을 담당했다.

이후 웹 환경으로의 초기 사업 모델인 인터넷 쇼핑이 생각보다 빠르게 자리 잡음과 동시에 웹에 대한 보안은 다른 부분과 함께 가장 중요한 보안 포인트로 인식됐다. 초기 경쟁적인 쇼핑몰 시장에서 보안보다는 서비스 및 속도에 치중했고, 방화벽 등 인프라와 관련된 보안 외에 웹 환경에 적당한 보안 솔루션이 공급되지 못했다.

최근의 웹 환경 진화는 쇼핑몰을 뛰어 넘어 인터넷 뱅킹 및 기업 인프라의 웹 환경으로 변경이 이루어지면서 더욱 더 웹에 전문적인 보안을 요구하고 있지만 현재까지도 적절한 대안이 부재중인 실정이다. 최근 이슈가 되는 고객정보 유출 사고는 예전의 기업 내부망으로의 해킹을 통한 방식이 아닌 상대적으로 쉬운 홈페이지를 통한 정보 습득의 형태로 이루어지고 있다. 웹 서비스 자체의 문제점과 웹 해킹의 진화, 기존 방화벽으로는 막을 수 없다는 한계와 개발 단계부터 보안성을 고려하지 않는다는 점이 사고를 더욱 가속화 하고 있다.

2008년 발생한 대형 쇼핑몰의 정보 유출 사고는 현상에 대한 손실 외에 경쟁사의 영업이익을 1분기 동안 89%나 올리게 만든 사실을 알 수 있다. 그러나 아직도 대부분의 기업은 웹에 대한 보안 대책을 단순 솔루션 도입이나 기존의 인프라 보안 강화만으로 생각하고 있다는 점이 고객정보 유출에 대한 지속적인 보안사고로 이어지고 있다.

웹에 대한 보안 대책은 기존의 인프라 보안 강화 외에 3가지 관점에서 접근할 수 있다.

개발 단계에서의 보안, 지속적인 취약성 분석에 따른 제거, 웹 방화벽 또는 위·변조 방지 시스템 구축을 통한 방어 및 대응으로 침해사고 예방, 품질 개선, 대응 활동으로 구분할 수 있다.

 

 

위의 보안관리 업무 상에서 무엇이 더 중요하다고 정의 할 수 없지만, 조직 내 보안 담당자가 침해나 사고에 대하여 빠르게 인지하고 즉각적인 대응 활동은 다른 업무에 비해 결과에 따라 그 영향도가 크다고 할 수 있다.

결국 예방활동 및 품질 개선활동은 침해사고 대응을 위한 사전 작업이라 할 수 있으며, 이 모든 업무들이 유기적으로 실천될 때 적절한 보안관리가 이루어진다.

여기서 침해사고대응 활동 중 웹 시스템 상에서 불법적 또는 임의의 위·변조에 대한 보안 대책의 현실에 대해 논의해 보자.

기존의 방화벽, 침입탐지시스템은 웹 서비스에 대해 기본적으로 Open돼 있다.

 

 

위와 같은 단점을 보완하기 위해 적용되는 대책이 바로 웹 전용 방화벽이다. 웹방화벽은 웹 서비스와 관련된 통신만 대상으로 사전 정의된 정책에 따라 통제하는 방식이다. 초기 웹 방화벽은 웹서버 자체에 설치되어 작동하는 방식으로 시스템의 과부하, 버전 별 패치 등의 문제로 전용 하드웨어 형태의 시스템으로 진화했다. 그러나 대다수 통신의 점유율이 높은 웹 서비스를 게이트웨이 형태로 처리하는 부담감은 줄어들지 않고 있다. 안정적인 웹방화벽 인프라의 설치에는 많은 예산이 소요되므로 최소의 비용으로 최대의 효과를 만들기 위해 앞서 언급한 ‘보안관리 업무 Life Cycle’이 필요한 것이다.

사전 예방차원으로 주기적인 취약점관리와 웹방화벽의 도입 외에 가장 표면적으로 영향이 크며, 즉각적인 인지와 대응이 필요한 부분은 웹 시스템에 대한 위조와 변조 부분이다. 위·변조는 정상적인 웹 서비스 통신으로 접속하여 다양한 활동(웜 코드 삽입, 피싱 등)이 가능하다는 점이 가장 큰 문제점이다. 초기 위·변조에 대한 모니터링 및 자동 대응이 가능한 에이전트 형식의 솔루션이 공급되었지만 웹방화벽의 문제점과 유사하게 서버에 대한 부하 유발 및 버전에 따른 패치 문제로 현재는 적절한 솔루션이 부재하며, 간단한 스크립트를 통한 수동 작업이나 무료 제공 툴을 이용하는 수준이 전부이다. 웹 서비스의 위조와 변조에 대한 필수 관리 체계를 살펴보자.

가장 기본적인 요건은 즉각적인 인지와 그에 따른 신속한 대응이 될 것이며, 기존 인프라에 영향을 최소화 할 수 있는 방식으로 구성되어야 한다는 점도 필요하다. 이를 정리하면 다음과 같다.

1. 적절한 모니터링(다양한 데이터의 수집)

2. 신속한 대응(원인 규명이 가능한 분석)

3. 인프라 영향 최소화(에이전트 설치 없는 별도 구성)

가장 많은 다양한 데이터를 수집하기 용이한 방식이 에이전트 방식이다. 그러나 웹 시스템의 영향을 최소화하기 위해서 URL 추출(GET/POST 모두 지원)을 통하여 정보를 수집하는 방식을 권장한다. 수집할 수 있는 정보는 다음과 같다.

1. 소스 위·변조

  -프로그램 소스(JAVA, Servlet, JSP, ASP, PHP 등)

  -바이너리 파일(Image, Sound 등)

2. 웹 컨텐츠 변조

  -신규 페이지발견, Iframe Injection, 악성 사이트 URL, 침해 스크립트 문자열

  -미등록 외부페이지 연결, 제목변경, MIME타입 변경

  -최종수정일 변경, 페이지 사이즈 변경, 구성요소 순서 및 수 변경, 필수구성요소

위와 같은 정보는 Non-agent 방식에서 수집이 가능하며, 대부분의 위·변조에 대한 정보가 해당된다. 수집된 정보는 합리적인 분석 요건을 통해서만 가치 있는 정보로 생성된다.

1. 페이지 특성에 따른 분석 조건 분리

  -정적 페이지 : 최종수정일 변경, 페이지 사이즈변경, 구성요소 순서와 수의 변경을 통한 탐지.

  -동적 페이지 : 최종 수정일 수집, 페이지 사이즈 변경 등 수시로 구성요소가 변경 되므로 정적 페이지 조건으로 탐지 불가.

  -추가적인 웹 구성요소<TAG>에 대한 침해여부를 조사함으로 웹 변조 탐지

2. 분석 요건

  -신규 페이지 발견

  -MIME Type

  -침해 문자열 발견

  -IFRAME Injection 발견

  -페이지 사이즈

  -최종 수정일

  -구성요소 변경

  -제목 변경

  -미등록 외부 페이지 발견

  -악성 사이트 URL 발견

다음과 같이 분석된 이벤트를 통해 담당자는 웹 시스템에 대한 즉각적인 이상 징후를 발견하고 원인 분석을 통해 신속한 대응이 가능할 것이다.

[글 : 최영수 인포섹 솔루션연구개발팀 차장 youngs@skinfosec.co.kr]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>