웹2.0 시대를 노리는 새로운 보안 위협 등장에 대비해야

사용자의 참여, 정보의 공유 등, 기존의 패쇄적인 웹1.0에서 웹2.0으로 발전하면서 사용자들은 인터넷에 손쉽게 접속하고 주도적으로 쉽게 정보를 올리고 함께 공유하는 환경으로 발전하면서 보다 많은 혜택과 이익을 얻었다. 하지만 웹2.0 시대를 노리는 새로운 보안 위협도 등장했기 때문에 이에 대한 대비도 필요하다. 웹2.0 시대의 보안은 Ajax, XML, RSS 등에 특히 주시해야 한다. 웹2.0이라고 새로운 위협이 존재하는 것은 아니다. 단지 공격이 개방형 환경에 맞춰 다양한 형태로 진화하는 것이다. 웹2.0은 XML 기반 서버사이드 XML 기반 웹서비스가 분산된 애플리케이션에 대한 접근을 제공한다.

◆ 연재순서

1. 웹 보안 & 웹 방화벽 이란? 

2. 웹 방화벽 구축     

3. 웹 방화벽 New Trend

인터넷의 존재와 함께 접속이 가능한 모든 형태의 웹 사이트는 다양한 공격을 받고 있다. 언론 보도를 통해 알려진 QuickTime XSS 웜으로 손해를 본 MySpace, Yamanner 웜 공격에 최근 부딪힌 Yahoo 메일, 그리고 구글의 Gmail도 XSS 공격에 취약한 문제를 가지고 있었다. 이러한 거대 기업들도 많은 비용을 들여 새로운 취약점에 대비하고 웹 해킹 침해가 발생했을 때 손해발생비용은 기업의 규모만큼 커진다.

사용자의 참여, 정보의 공유 등, 기존의 패쇄적인 웹1.0에서 웹2.0으로 발전하면서 진화된 웹 세상을 경험하게 되었다. 사용자가 인터넷에 손쉽게 접속할 수 있는 환경에서 모든 사람이 주도적으로 쉽게 정보를 올리고 함께 공유하는 환경으로 발전하면서 보다 많은 혜택과 이득을 접하게 된 것이다. 하지만 웹2.0 시대를 노리는 새로운 보안 위협이 등장하여 이에 대한 대비가 필요하게 되었다.

웹 2.0 시대의 새로운 보안 위협

과거의 웹은 정적 HTML 페이지를 전송하여 사용자 관여가 거의 불가능한 일방적인 정보를 제공했다. 하지만 웹 2.0에 이르러 다양한 AJAX 애플리케이션, 소셜네트워킹(싸이월드, MySpace), 개인블로그, RSS 피드와 같은 다양한 참여 지향적인 환경을 선보이며 전문가가 아닌 누구라도 직접 웹 세상에 참여할 수 있게 되었다.

따라서 일방적인 정보제공에서 다양한 사용자의 참여로 기존의 단편적인 보안정책만으로는 보호하기 힘든, 새로운 보안 위협이 대두됨에 따라 기업은 웹 2.0 시대 이전과 비교할 수 없는 새로운 보안 위협에 노출되고 있다. 웹 2.0은 사회적이고 상호 의존성이 높은 특성을 가지고 있다. 또한 단순한 정보 공유뿐만 아니라 폭넓은 정보 공유도 가능해졌다.

하지만 이러한 개방성은 많은 취약점을 가지고 있고 이는 공격자에게 많은 허점을 드러낸다. 웹 2.0과 같은 열린 환경에서 중요 정보 유출을 막는다거나 유해 콘텐츠를 모니터링하는 일은 매우 어려운 일이다.

웹 활용이 확대됨에 따라 이를 위협하는 수준 또한 높아졌기 때문이다. 블로그 등의 개인 웹 공간을 통한 정보의 유출은 장기적으로 심각한 영향을 미칠 수 있다. 블로그는 검색 사이트를 통한 검색이 가능하기 때문에 관심 있는 누군가에 의해 다른 사이트로 전달될 가능성이 높다. 많은 기업이 ERP, CRM, MIS 같은 중요한 애플리케이션을 웹 기반으로 전환하고 있다. 이러한 애플리케이션은 접속 및 사용의 편의성으로 IT 관리 비용을 절감하게 해준다. 그러나 해커들은 복잡한 웹 애플리케이션에 도사리고 있는 잠재적 취약점을 노리고 있는 실정이다.

특히 웹 2.0은 피싱 공격에 취약하다. 피싱 사이트들은 RIA를 이용해 합법적인 사이트로 가장하여 중요한 사용자 정보들을 유출하는데 피싱에 대한 지식이 있는 전문가도 속일 수 있고 기존의 보안 솔루션도 우회할 수 있다. 이런 무작위 피싱 공격은 해커를 추적하는 것 조차 힘들게 하고 있다.

안전하다고 생각되는 사이트들도 해커들은 실행 가능한 XML 악성코드를 유명 사이트에 심어둘 수도 있다. 실제로 미국의 대표적인 웹2.0 서비스 사이트인 MySpace에 심어져 있던 악성 코드가 발견되기도 했다. 아울러 스트리밍 비디오도 새로운 악성코드 매개체로 급부상했다. Youtube 같은 수백만 명이 시청하는 유명 UCC 사이트의 동영상 속에 악성코드가 숨겨져 있을 때 피해는 기하급수적으로 늘어날 것이다.

웹2.0 시대의 보안은 Ajax, XML, RSS 등에 특히 주시해야 한다. 웹2.0이라고 새로운 위협이 존재하는 것은 아니다. 단지 공격이 개방형 환경에 맞춰 다양한 형태로 진화하는 것이다. 웹2.0은 XML 기반 서버사이드 XML 기반 웹서비스가 분산된 애플리케이션에 대한 접근을 제공한다.

반면 클라이언트 사이드에서는 Ajax와 RIA가 인터페이스를 지원하는 구조가 일반적이다. Ajax가 취약한 이유는 XSS공격에 노출되기 때문이다. 이는 특정 사이트의 악의적인 자바코드가 브라우저에 실행되어 개인정보를 유출하는 공격이다.

특히 개인 쿠키의 유출문제는 심각하다. Ajax는 또한 사용자 모르게 공격자가 악의적인 목적으로 silent call을 통해 쿠키를 재전송 할 수 있다. 웹2.0 애플리케이션은 클라이언트 사이드에서 Ajax가 많은 일을 담당하고 있어 Data Type, Data Filed, Data 내용 등에 대한 검사를 서버사이드에서도 함께 해야 한다.

웹 보안의 ASP(SaaS) 사업

어플라이언스 타입의 하드웨어 웹 방화벽은 도입가격 및 설치비용 때문에 ASP(SaaS:Software as a service 서비스로서의 소프트웨어) 사업에 불리하다. 필자가 컨설팅 진행한 다양한 사이트에서 웹 방화벽의 구매 비용에 대해 부담스러워 하고 있고 이 때문에 저렴한 소프트웨어 방식이나 공개용 웹 방화벽을 고려하는 경우가 종종 있다.

중소 웹 호스팅 업체들이 공개 웹 방화벽으로 최소의 관리비용만 받고 웹 보안 서비스를 제공하는 경우가 많다. 이는 비싼 상용 웹 방화벽을 도입할 자금이 없는 웹 사이트에는 단비와 같은 존재이나 최적의 보안서비스를 받기 힘든 게 사실이다. 이러한 경우, 공개 웹 방화벽을 사용하다가 침입사고가 발생하여 상용 웹 방화벽을 검토하거나 도입하는 업체를 상당히 많이 보아왔다.

최상의 ASP(SaaS) 서비스라면 하드웨어 웹 방화벽을 일정비용을 내고 빌려쓰고 24시간 보안관제 서비스까지 받는 것이고 이것에 대한 서비스를 하는 보안회사도 있다. 자금의 여유만 있다면 이 방법이 보안에 최선이라고 말할 수 있다.

고성능 10G급 웹 방화벽 개발

10G급은 많은 네트워크 장비 및 보안장비들이 준비하거나 초기 제품들이 출시되어 조만간 대규모 시장이 형성될 예정이다. PCI Express x16 1.1은 초당 8GB/S, PCI Express x16 2.0은 초당 16GB/S의 전송속도를 가지고 있다. 10G라는 Bandwidth는 일반적인 CPU와 Memory간의 데이터 처리흐름 보다 빠른 속도이다.

따라서 기존의 방식대로 인터페이스만 바꿔서는 10G 급 성능을 낼 수 없을 것이다. 그런데 요즘 출시되거나 준비하는 제품을 보면 단지 인터페이스만 10G로 바꾸는 황당한 경우가 있다. 따라서 하드웨어 백플레인이 10G를 처리 할 수 있게 개선되어야 할 것이다. 이 부분은 구매 시 충분히 고려하여 정말 10G급의 제품인지 충분히 검토하여야 할 것이다.

그리고 완벽한 하드웨어가 셋팅 된 다음에는 웹 방화벽 Packet Filter 모듈이 10G급 데이터를 처리 할 수 있어야 한다. 웹 방화벽에서 가장 많은 부하를 주는 Packet Filter 모듈의 최적화를 통해 대용량 데이터를 처리 할 수 있게 개선되어야 할 것이다. 최근에 10G급 LAN-bypass 모듈이 검증이 완료 되었다고 하니 다양한 In-Line 보안장비에서 10G 인터페이스를 지원할 것이다.

웹 스캐너와 웹 방화벽 연동

다양한 고객들을 컨설팅 하다 보면 웹스캐너를 통해 나온 취약점을 보안 솔루션과 연계하여 바로 보안하기를 원하는 고객들이 많다. 안타깝게도 이 부분은 아직 웹 스캐너와 웹 방화벽을 같이 개발하여 연계한 사례가 없다. 외산 및 국산 업체 중 동일 벤더가 웹 스캐너와 웹 방화벽을 같이 개발한 경우는 있지만 연동이나 보안정책 설정의 편의성 관련해서는 별로 큰 이점이 없고 시장에서도 크게 빛을 보지 못하고 있는 상황이다.

기존의 메이저 웹 스캐너 업체와 웹 방화벽 업체가 기술 제휴를 맺어 스캔 후 바로 취약점이 보완 될 수 있기를 기대해 본다.

이종 보안장비간의 통합

네트워크뿐만 아니라 보안 시장도 비용절감 및 운용의 편의성 때문에 이기종 장비간의 통합이 요즘 상당이 이슈화 되어 있다. 대표적으로 세계적인 네트워크 업체인 CISCO 역시 자시 스위치에 L3, L4 Switch를 모듈화 시켜 탑재하고 여기에 FW, IPS까지 포함시켜 시장에 공급하고 있다.

사내 자원통합으로 인해 설치공간도 절약할 수 있고 예산 절감과 운용의 편의성까지 얻을 수 있는 최적의 모델이 될 수 있다. 웹 보안장비도 기존 보안장비 업체들의 영역확장으로 UTM이라는 시장에 일부 편입되어 있다.

대표적으로 방화벽, IPS, VPN과 같은 기존 네트워크 보안장비 플랫폼에 안티바이러스, 안티스팸, 개인정보보호 솔루션, 웹 애플리케이션 필터링까지 통합되어 단일 장비도입으로 모든 Layer에 대한 보안을 완성할 수 있다.

그러나 초기에 시장에서 각광받던 UTM 시장이 성능이슈 때문에 급격히 냉각되었다. 네트워크 Layer 기반의 장비에 무리하게 Application Layer의 보안 필터링을 걸어서 전체 기능을 다 올리기 힘들 정도로 문제가 많았다.

최근 이러한 문제를 해결하고 많은 부하를 주는 Application Layer를 일부 포기하고 시장이 요구하는 성능을 갖춤 제품들이 새롭게 출시되고 있다. 이 역시 성능문제에서 완전히 자유로울 수  없어 중소규모의 사이트에만 적용되고 있다.

결국 웹 애플리케이션을 보호해 줄 수 있는 통합보안장비는 아직까지 웹 방화벽이 가지는 부하 때문에 다른 장비와 연동되기 힘든 부분이 있다.

향후 보안장비의 하드웨어가 더욱 발전하여 모든 Layer의 보안이슈를 단일 장비로 해결 할 수 있는 날이 조만간 오지 않을 까 생각한다.

이상으로 지금까지 총 3회에 걸쳐 웹보안과 웹방화벽의 원리, 웹방화벽의 구축방법, 그리고 새로운 트렌드에 대해 알아보았다.

짧은 지면관계로 많은 부분을 소개하기에는 어려움이 많았지만 꼭 필요하다고 생각하는 부분을 고려해 연재를 진행했기에 이 글을 통해 많은 보안관계자 들이 실무에 도움이 되기를 바란다.

<글 : 안종찬 트리니티소프트 기업부설연구소 과장>

[월간 정보보호21c 통권 제108호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>