“웹 애플리케이션은 개발 과정에서 고유의 취약성을 가질 수밖에 없다”

티핑포인트의 보안연구기관인 DV랩스(DVLabs)의 수석디렉터인 로힛 다만카(Rohit Dhamankar)는 취약성, 바이러스, 웜, 트로이목마, P2P, 스파이웨어 및 기타 유해한 애플리케이션을 차단하는 보호필터를 개발, 티핑포인트 IPS에 탑재하는 디지털 백신 그룹의 필터 개발 총책임자다. 그는 연구실을 이끄는 본업 외에도 세계적인 보안연구기관 SANS 인스티튜트(SANS Institute)에서 전 세계 20만 명을 대상으로 발행하고 있는 주간 뉴스레터 ‘@리스크(@RISK)’의 수석에디터로 활발하게 활동하고 있다. 또한 SANS의 Top 20 인터넷 보안 공격 타깃 프로젝트의 디렉터로도 활동하고 있는 그는 “단일 솔루션에 의지하는 것은 이제 더 이상 충분치 않다”며 ‘심층 방어’를 강조했다.

DV랩스(DVLabs)에 대해 소개해 달라. 여타 보안 연구단체와는 다른 DV랩스만의 강점이 있다면?

우수한 보안 연구원들로 구성된 티핑포인트 DV랩스(DVLabs)는 취약점 발견 및 보고 활동을 보다 책임감 있게 전개하기 위해 지난 2005년 전 세계 공동 연구자, 운영자들의 후원프로그램인 제로데이 이니셔티브(ZDI : Zero Day Initiative) 조직을 설립했다. ZDI 프로그램은 미국 시장조사기관 ‘인포네틱스(Infonetics)’가 선정한 경쟁 IPS 벤더들보다 6배 이상 많은 소프트웨어 취약점을 발견해내고 있음을 인정받았다. 또한 2008년에 실시된 IPS 고객 만족도 조사에서는 상위 경쟁벤더들보다 3배 이상 많은 취약점 발견실적을 기록했다고 검증 받은 바 있다.

지난 5월에 한국을 방문해 ‘다가오는 위협(Coming Threats)’을 주제로 DV랩스 세미나를 갖기도 했는데 앞으로 우리에게 닥칠 위협은 무엇인가?

여전히 네트워크 웜이 인터넷 공격 트래픽의 주요한 소스가 되고 있다. 하지만 공격들은 웹 기반 애플리케이션에서 애플리케이션과 이더넷 환경의 취약점 증가로 인해 빠르게 애플리케이션에 기반한 공격방식으로 옮겨가고 있다. 또한 금전적인 동기로 인한 공격이 놀라운 비율로 증가하고 있으며 보다 많은 수익을 창출하기 위해 정교하고 은밀한 수법을 이용한 사이버 범죄가 훨씬 더 증가할 것으로 예상된다. 특히 일반 사용자들이 피싱 및 맬웨어 사이트를 분별하기 어렵다는 점을 악용해 점차 폭발적으로 증가하는 소셜 네트워킹 사이트로 사용자들을 유인한 후 상세 개인정보를 훔쳐가는 범죄가 늘어날 것이다.

웹 애플리케이션이 공격의 타깃이 되는 특별한 이유가 있다면?

웹 애플리케이션 공격은 빠른 속도로 기업의 보안을 위협하는 존재로 자리 잡고 있다. 웹 기반으로 바뀌기 전의 애플리케이션은 보안 레이어 뒤에 위치한 기업 네트워크의 깊숙한 곳에 자리 잡고 있었으나 지금은 사용자를 지원하기 위해 웹 기반으로 변화하고 있으며 네트워크 경계 가까이로 옮겨 오고 있어 악성 공격에 노출되기 쉽다. 게다가 구축할 수 있는 무한한 양의 웹 애플리케이션들은 해커들로부터 얼마든지 공격받을 수 있는 대상이 될 수 있다. 

특히 기존 전통적인 공격의 대상이었던 OS 및 네트워크 소프트웨어 벤더들이 보안 코드 및 패치를 강화하면서 해커들이 이를 공격하기가 어려워졌다. 이로 인해 비교적 공격하기 쉬운 웹 애플리케이션으로 공격 대상을 바꾸게 됐다. 게다가 많은 기업들이 스스로 웹 애플리케이션을 구축하고 있는데 이것은 해커들에게 보다 많은 공격의 기회를 제공하는 것으로 전통적인 보안 방법으로는 보호받기 어렵다. 이런 이유로 웹 애플리케이션 공격이 급격하게 늘어나고 있다는 것을 알 수 있다.

웹 애플리케이션이 취약한 근본 원인은 무엇이라고 생각하는가?

애플리케이션의 구성 요소들이 처음부터 긴밀하게 결합해 작동하도록 설계되지 않은 상태에서 사용자들에게 제공되고 사용자들이 접속하기 때문에 문제가 발생하게 된다. 또한 사용자들은 이 시스템의 문제를 발견하고 정정하는데 많은 시간과 비용을 들이고 있는 이 부분으로 해커들은 네트워크의 민감한 데이터에 쉽게 접근할 수 있다.

외부 공격으로부터 기업 웹사이트를 보호하기 위해 필요한 기본적인 조치가 있다면?

정교한 IPS는 PHP 파일을 포함하거나 XSS(Cross Site Scripting), SQL 인젝션과 같은 웹 애플리케이션 공격으로부터 네트워크 자산을 보호할 수 있어야 한다. 그러나 웹 애플리케이션은 개발되는 과정에서 각 애플리케이션마다 고유의 취약성을 가질 수밖에 없다. 또한 해커들이 보다 지능적으로 진화하면서 커스텀 애플리케이션의 취약성을 찾기 쉬워져 이에 대한 공격이 증가하는 추세다.

웹 취약점과 관련된 티핑포인트만의 차별화된 서비스, 또는 솔루션이 있다면?

티핑포인트는 지난 4월 웹 애플리케이션의 취약점을 이용한 보안 위협을 방어하는 새로운 ‘웹 애플리케이션 디지털 백신(Web Application Digital Vaccine, 이하 웹 애플리케이션 DV)’ 서비스를 출시했다. 웹 애플리케이션 DV 서비스는 웹 애플리케이션 스캐닝 서비스와 필터 개발 및 설치 서비스로 서로 다른 2가지 서비스로 구성된다. 웹 애플리케이션 스캐닝 서비스는 우선 악성 공격에 이용될 수 있는 코드에서 취약점 여부를 가늠하는 애플리케이션 및 연합된 URL들의 스캔을 시작한다.

이로써 사용자의 웹 애플리케이션에서 취약점을 찾아내 네트워크의 위험에 따라 평가하고 분류한 리포트를 제공한다. 그 후 DV랩스는 찾아낸 취약점을 기반으로 계약에 의거해 커스텀 필터를 생성하여 사용자의 IPS에 설치한다. 이것은 사용자들에게 각자의 환경에 맞게 구축된 독특한 솔루션이다.

소셜 네트워크를 노리는 맬웨어도 심각한 문제라고 했는데 일각에서는 소셜 네트워크의 이용자들이 스스로를 방어할 방법에 대해 무지하기 때문에 잠재적인 위협이 더 심각하다는 지적도 있다. 이에 대한 생각은?

나도 전적으로 동의한다. 소셜 미디어는 여러 단계에서 보안이 필요하다.  페이스북, 마이스페이스 등 소셜 네트워킹 사용을 위해 구축된 애플리케이션은 다른 미디어만큼 규제되지 않고 있으며 취약점으로 가득 차 있다. 아울러 사회적 측면에서의 전망 또한 소셜 네트워킹이 보안 이슈가 될 것이라고 생각한다. 소셜 네트워킹은 가입자 중심으로 서비스를 제공하는 ‘폐쇄형 네트워크’라는 인식이 확대되면서 안심해도 된다는 안전 불감증을 불러오고 있다.

사람들은 업무 중 받은 의심스러운 메일은 열어보려고 하지 않지만 페이스북을 통해 받은 메일에 대해서는 안정성 여부에 대해 망설이는 태도를 보이게 되는데 결국은 자신의 페이스북을 통해서 가족이나 친구들에게 무심결에 바이러스를 전달하는 일이 발생하기도 한다. 또한 소셜 네트워킹 사이트에 사용자들이 올린 정보들은 피싱 공격 및 위조된 패스워드 검색 툴을 이용한 사이버 범죄를 위해 정보를 찾는 해커들에게 쉽게 노출돼 범죄에 악용될 수 있다. 다시 말해 전 세계 많은 사람들이 페이스북, 트위터, 마이스페이스와 같은 소셜 사이트 이용에 익숙해지는 동시에 그들이 소셜 사이트에 등록하는 많은 개인정보들이 해커들의 공격 대상이 되고 있다.

흔히 정보보호에서의 ‘공격과 방어’는 ‘작용-반작용’과 같다고 말한다. 이는 곧 보안 연구자들은 “언제나 게임에서 진다”는 것인데 이에 대해 어떻게 생각하는가?

보안 위협들은 끊임없이 진화하면서 보호하기 어려워지고 있으나 티핑포인트는 최신 취약점 필터를 통해 공격보다 한발 앞선 보안 서비스를 제공하기 위해 매진하고 있다. 티핑포인트 DV랩스는 최첨단 기술과 분석 능력을 지닌 보안 전문가들로 구성된 팀으로 디지털백신(Digital Vaccine)을 통해 실시간으로 취약점 필터를 생성, 사용자 IPS에 제공하고 있다.

또한 앞에서 언급한 바와 같이 DV랩스는 취약점 발견을 위해 보다 책임감 있는 활동을 전개하고자 현업 연구자, 운영자에 대한 후원 프로그램인 제로데이 이니셔티브를 운영하고 있다. 이 프로그램은 전 세계에서 1,000명이 넘는 현업 실무자들이 활동하고 있으며 보안 취약점 검색 및 발견 분야의 선두그룹으로 티핑포인트에 업계 최고 수준의 보안 서비스를 위한 정보를 제공하고 있다.

얼마 전에는 컨피커 웜(Conficker worm)이 전 세계적인 이슈였다. 이와 관련한 DV랩스가 보유한 정보와 더불어 이에 대한 개인 및 기업 이용자들에게 조언을 해준다면?

컨피커는 동일한 취약점을 활용해 다양한 공격 방법을 사용하고 있다. 우선 컨피커는 넷바이오스(NetBios)에 영향을 미칠 수 있는 서버 서비스를 주요 공격 대상으로 삼고 있다. 그리고  ‘ADMIN$’와 같은 관리목적의 공유폴더 및 USB 저장장치나 CD 등 다양한 감염 벡터를 이용한 진화양상을 보이고 있다.

가장 취약한 네트워크는 허술한 시스템 및 사용자 패스워드의 호스트들을 포함하고 있으며 최신 보안 패치 및 안티 바이러스 업데이트 설치 없이 많은 사람들의 접근이 가능한 공유 폴더를 가지고 있을 것이다. 우리는 다양한 감염 경로를 가지고 있는 컨피커 웜으로부터 사용자의 네트워크를 보호하기 위해 다양한 도구와 과정들을 혼합한 방어 방법을 권장한다. 우선 최신 패치와 안티 바이러스 업데이트의 설치를 확실히 하는 것이 제일 중요하며 USB와 같은 이동식 저장매체의 사용을 제한하는 것이 좋다. 또한 공격 벡터가 진화하고 있기 때문에 네트워크의 주요 부분에 접근하는 악성 콘텐츠를 검사하고 방어하기 위한 IPS와 같은 시스템을 구비해 놓은 것이 중요하다.

한국은 최근 심각한 DDoS 공격에 노출된 바 있다. 이와 관련해 조언해준다면?

우리도 한국에서 발생하고 있는 DDoS 공격에 의한 위협에 대해 잘 알고 있다. DDoS 공격으로부터 보호할 수 있는 가장 효과적인 방법이자 사람들이 많이 사용하는 방법으로 공격이 들어오는 IP 주소 및 IP 주소 범위를 탐지해 고립시키거나 구축해놓은 DDoS 블랙리스트와 같은 소스를 통해 트래픽을 차단시키는 IP 레퓨테이션(Reputation) 서비스가 있다. 또 다른 방법으로는 티핑포인트의 웹 애플리케이션 DV 서비스와 같은 방식으로 온라인 자산을 보호할 수 있는 커스텀 필터를 설치하는 것이다.

이 외에 한국의 보안 연구자, 또는 보안 실무자들에게 하고 싶은 말이 있다면?

보안 업계에 종사자들은 앞서 언급한 ┖심층 방어┖ 과정을 마스터해야 하며 이로 인해 기업들은 특정한 취약점들을 찾아내고 방어하고 정정할 수 있게 된다. 이제는 더 이상 방화벽이나 안티바이러스와 같은 단일 솔루션에 의지해 보호 받기엔 충분하지 않다. 해커들의 범죄는 보다 지능화되고 정교해지고 있으며 보안 업계에 종사자들은 네트워크의 각 단계에서 보안 체크를 추가해 데이터 보호를 유지하는 최선의 방법을 찾아야 할 것이다.

또한 ‘심층 방어’와 함께 네트워크 트래픽을 지속적으로 다양한 단계에서 면밀히 살펴봐야 한다. 예를 들어 보안 위협이 방화벽을 통과하였는데도 여전히 정상 트래픽으로 보인다면 뛰어난 IPS의 경우 이 위협을 네트워크로 투입되기 전에 발견하고 막을 수 있어야 한다. 그리고 기업들은 위협 발견 능력과 정확도를 높이기 위한 조정을 위해 각 보안 단계의 효과 평가를 위한 과정을 가져야 한다.

마지막으로 티핑포인트는 항상 위협으로부터 발 빠른 대책을 강구하기 위해 ZDI 프로그램을 개방하고 있음을 강조하고자 한다. 우리는 새로운 현업 연구자, 운영자들의 참여를 기다리고 있다. 이와 관련된 보다 자세한 사항은 http://www.zero dayinitiative.com/ 에서 확인 할 수 있다.

<글 : 김동빈 기자(foreign@boannews.com)>

[월간 정보보호21c 통권 제109호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>