창 vs. 방패 - 뚫리느냐, 뚫느냐 그것이 문제다!

웹 애플리케이션은 매일 서로 다른 개발자들에 의해서 만들어지고 있고 지금 이 순간에도 새로운 유형의 취약점이 새로운 애플리케이션에 알게 모르게 만들어지고 있다. 이러한 현실에서 새로운 공격 패턴을 즉각적으로 업데이트하는 노력을 한다고 해도 해킹과 보안의 이 피 말리는 전쟁은 앞으로도 당분간은 지속될 것이다. 미래의 결말은 아무도 예측할 수는 없지만 보안이 최종적으로 승리를 이끌 수 있는 방안은 무엇일까?

중세 말기에 프랑스를 전장으로 한 영국과 프랑스의 백년전쟁은 116년 만에 끝이 났지만 1960년대 MIT 대학에서 첫 해커가 탄생한 이후, 해킹과 보안은 언제 끝날지 모르는 치열한 전쟁의 한 가운데 있다. 특히 끊임없이 진화하고 있는 다양한 유형의 공격이 넘쳐나는 웹 애플리케이션 보안시장에서 보안 제품을 만드는 일을 하고 있는 장수의 입장에서는 이 끝을 알 수 없는 전쟁을 확실하게 이길 수 있는 전략이 없을지 늘 이리저리 궁리해 보게 된다.

일정 공격 패턴으로 수많은 공격들이 모델링 가능하거나 예측 가능하다면 이미 승부가 기울어진 상황이다. 하지만 웹 애플리케이션은 매일 서로 다른 개발자들에 의해서 만들어지고 있고 지금 이 순간에도 새로운 유형의 취약점이 새로운 애플리케이션에 알게 모르게 만들어지고 있다. 이러한 현실에서 새로운 공격 패턴을 즉각적으로 업데이트를 하는 노력을 한다고 해도 이 피 말리는 전쟁은 앞으로도 당분간은 지속될 것이다. 미래의 결말은 아무도 예측할 순 없지만 보안이 최종적으로 승리를 이끌 수 있는 방안은 무엇일까?

보안의 대중화로 웹 방화벽 발전

다양한 해킹 툴의 개발과 인터넷 웜, 악성코드 등은 소수 컴퓨터에 제한된 해킹의 위험을 네트워크상 모든 컴퓨터로 확산시키는 원인이 되었다. 위험도를 높여 준 대가로 보안시장도 생겨나게 되었고 역시 중요한 것은 일반 사람들에게 보안 의식을 심어 준 계기가 되었다.

웹 공격 툴의 대중화야 말로 인터넷에 연결된 PC에 앉아 있는 우리 모두를 쉽게 해커로 만들어 주는 역할을 했다. 2008년 말 기준으로 6개월 전보다 30배가 넘는 SQL 인젝션 공격이 발생하고 있는 것(IBM Internet Security Systems in 2008 X-Force - Trend & Risk Report)과 같이 누구나 압축 유틸리티 사용하듯이 웹 애플리케이션을 공격할 수 있는 시대가 된 것이다. 웹 개발 기술의 대중화로 누구나 웹을 개발할 수 있는 것을 경고라도 하듯이 웹 해킹 기술의 대중화는 누구나 웹을 해킹할 수 있게 되어 조심스럽게 개발되지 않는 웹 애플리케이션을 위협하고 있다.

웹 해킹 기술의 대중화로 웹 방화벽이 가장 기본적으로 방어해 낼 수 있어야 하는 공격의 수준을 파악할 수 있게 되었고 이와 함께 웹 해킹 툴의 발전 속도 이상으로 웹 방화벽을 꾸준히 성장시키는 노력을 기울이게 하고 있다. 식상한 표현일 수도 있겠지만 웹 보안도 대중화와 다양화를 통해 발전하고 있는 것이다. 무료백신을 제공하는 업체들이 생겨나고 마이크로소프트도 6월말에 무료 백신 ‘Morro’를 공개한다. 보안 산업과 사업적 기회에 대한 논의를 제외하고 어찌되었건 백신 기술을 연구하고 사용해야 할 사람들에게 백신 기술은 치열하게 발전하고 있는 셈이다.

이와 비슷하게 웹 해킹 기술의 대중화는 웹에 대한 위협이 늘어나는 측면과 함께 웹 애플리케이션의 체력을 끌어올리는 기능도 담당해 주고 있다.

IT보안과 물리적 보안의 통합

IT 보안 업체들은 이미 물리적 보안 업체들과 자연스럽게 동맹관계를 맺었다. IT 보안은 생체인식, 감시 시스템, 출입통제 장치 등을 결합하고 물리적 보안은 신원관리, 카드 엑세스, 보안 정책 등을 결속 시키고 있다. 물리적인 보안과 IT 보안이 합쳐져서 하나의 보안 시스템으로써 시너지 효과를 내며 성공한다면 이는 수많은 이익을 창출 할 수 있을 것이다.

‘코드명 J’란 영화에서 미래의 인간사회가 어떻게 변하는지 보여주고 있다. 주인공 조니 역의 키아누 리브스는 자신의 뇌 속에 들어 있는 실리콘 칩 메모리 확장 장치를 이용해 비밀 정보를 전달해주는 스페셜리스트다. 그는 전달해야 할 정보가 그의 용량을 훨씬 초과해 재빨리 입력된 정보를 다운로드 시키지 않으면 목숨이 위험한 상황에 이른다. 이처럼 보안이 고도로 발전 한다면 물리적인 것을 넘어서 생체적으로도 결합되어 지진 않을까.

웹 보안에서 물리적 보안과의 통합은 궁극적인 보안 해결책을 제시해 주지만 상용화까지는 과제가 많이 남아있다. 기존의 네트워크 보안 제품, 즉 네트워크 방화벽이나 IPS 등은 네트워크 수준의 보안을 제공하기 때문에 물리적 보안과의 결합에 대한 상상력을 아예 펼치기 어려운 것이 사실이지만 애플리케이션 수준까지 처리하는 웹 방화벽에서 물리적 보안 결합은 현실적으로 가능한 것이기에 호시탐탐 이를 통해 궁극적으로 보안의 승리를 이끌어 낼 수 있는 무기로 사용할 수 있는 묘안이 없을 지 고민하게 만든다.

웹 보안의 지능화로 성능 향상

유전자 알고리즘은 적자생존과 유전의 메커니즘을 바탕으로 하는 탐색 알고리즘이다. 다시 말해서 주어진 환경에 잘 적응하는 유전자만을 선택(selection)하고 교배(crossover)하며 돌연변이(mutation)도 하며 우수한 유전 형질이 전달(reproduction)되어 진화(evolution)가 거듭될수록 환경에 적합한 유전자들만이 남아 있게 된다.

만약 유전자 알고리즘을 보안 제품에 적용시킨다면 그 보안은 막강한 힘을 얻을 수 있다. 선택은 각 개체의 적합도를 이용하여 다음 세대를 위한 집단을 새로이 생성하는 연산이다. 웹 변종 공격이 들어올 경우 웹 방화벽은 이 연산을 통해 이를 수용할 것인지, 차단할 것인지를 판단할 것이다. 유전자 알고리즘의 성능은 교배 연산자의 성능에 의존 한다.

교배 확률은 개체 수와 크기라는 변수에 의해 결정되며 높은 교배 확률은 더 넓은 영역을 탐색할 수 있게 하지만 낮은 교배 확률은 좁은 영역에서 오탐을 하게 만든다. 보안 소스와 바이러스의 결합은 개체 내에서 진화의 한계가 존재 한다. 다시 말해 주어진 환경에 어느 한계까지는 진화하여 적응할 수 있지만 개체군 내의 개체의 유전자 Schema를 극복할 수 없다. 이 한계점을 보완할 수 있는 과정이 돌연변이 과정이다. 돌연변이는 랜덤 함수를 적절하게 이용해 게놈 내의 유전자를 임의로 변화시키는 연산으로 급속도의 진화로 이어질 수 있다.

영화 ‘메트릭스’의 네오는 모든 소스를 자가 복제 증식 할 수 있다. 학습을 통해 배운 것들을 바탕으로 결국 스미스의 어떤 공격이 들어와도 전지전능하게 막아내며 파괴 시킨다. 이러한 기능을 탑재한 웹 방화벽이라면 단순한 지능화가 아닌 학습하며 지능을 발전시키는 존재가 될 수 있다. 지능화가 절실한 웹 방화벽 메커니즘에서 궁극적인 해결책이 아닐까?

공격이 최선의 방어

상대의 약점을 찾아 갖가지 여러 형태의 공격이 들어온다면 제 아무리 고수라도 고전을 면치 못할 것이다. 보안이 진정한 고수가 되기 위해선 어떤 수련이 필요할까? 물리에서 뉴턴 제 3법칙인 작용 반작용 법칙을 보안에 활용해 보자.

물체가 빠른 속도로 벽에 부딪칠 때 충격은 그 충돌될 때의 속도와 비례하지만 방향은 반대이다. 웹 공격으로 판단될 시 전송되는 패킷을 근원지 방향 쪽으로 그대로 전송한다면 공격자에게 역으로 피해를 주어 마비시키면 어떨까? 웜이나 바이러스와 관련된 보안 제품에서 이러한 아이디어를 활용하는 사례가 있겠지만 웹 브라우저와 웹 서버라는 불균형 관계에 있는 웹 보안에서는 보다 더 어려운 아이디어다.

HTTP의 불균형적인 부분이 제거된 더욱 낮은 수준의 네트워크 관계에서 유도나 씨름의 고수가 자신의 힘을 이용하지 않고 상대의 힘을 이용해 상대를 제압할 수 있다면 에너지 소모 없이 방향만 바꿔주는 것과 같이 고효율의 시스템을 만들어 낼 수 있을 것이다. 만에 하나 판독 오류가 발생하더라도 보호 대상인 웹 애플리케이션에는 피해가 가지 않는 시스템이다.

75% 이상이 웹 애플리케이션 공격

적을 알고 나를 알면 백전백승이다. 하지만 상대는 변화무쌍하다. 이에 대한 해결책은 지능형 웹 방화벽이다. 75% 이상의 공격이 웹 애플리케이션을 향한 것이라 한다. 이 치열한 창과 방패의 싸움 가운데에서 궁극의 보안을 향한 상상력은 우리가 앞으로 웹 방화벽 시장에서 해 나가야 할 일이 더욱 많기 때문에 더욱 의미가 있다.

앞으로 웹 방화벽은 더욱 적극적인 보안 매커니즘을 확보해야 하고 좀 더 효율적으로 대중화·다양화해야 한다. 더불어 물리적 보안과 결합하여 그로 인해 발생되는 기능을 추가하며 마지막으로 지능적인 판단 자체로써 만족하기 보다는 스스로 지능을 개발할 수 있는 알고리즘을 탑재해야 할 것이다.

한편 펜타시큐리티의 WAPPLES(와플)은 기존 제품과는 전혀 새로운 방식의 지능형 웹 방화벽 이라는 모토로 설계되고 개발된 제품이다. 지능적인 웹 방화벽의 정답이 되기에는 아직 갈 길이 멀지만 이러한 상상력을 현실화하는 노력으로만 가능할 것이라는 것은 명백하다. 언젠가 웹 보완은 자체 지능적인 진화를 통해 무자비한 공격들을 선방해내며 오히려 역공을 통해 끝나지 않을 것 같은 이 전쟁을 종식 시킬 수 있는 잔다르크가 되리라 믿고 있다. 또한 리처드 도킨스의 ‘이기적 유전자’라는 책에서처럼 웹 방화벽도 버릴 것은 버리고 취할 것만 취하는 이기적인 모델로 진화되는 그 날을 기대해 본다.

<글 : 김덕수 펜타시큐리티시스템 보안기술연구소장(dskim@pentasecurity.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>