이 정 훈 | 에이쓰리시큐리티컨설팅 선임컨설턴트

최근 해킹 동향

단위 서버, 네트워크 단위에 대한 침해행위가 과거 공격유형의 주종을 이루고 있었다면, 현재는 웹에 대한 공격으로 그 흐름이 변화되는 것을 알 수 있다. 공격기법과 공격도구의 자동화 및 다양화로 인해 해킹의 난이도가 하락되고 있는 추세다. 즉, 공격자의 지적수준이 낮다고 하더라도 손쉽게 웹 상에서 떠돌고 있는 간단한 도구를 이용해 공격을 시도할 수 있는 환경으로 변화되어 가고 있는 실정이다.

2002년 가트너 조사에 따르면 사이버 공격의 75%가 인터넷 서비스를 통해 이루어지고 있으며, 대다수는 웹과 메일을 기반으로 한 공격이라고 한다. 이러한 현상의 이면에는 기본적인 형태의 보안, 즉 방화벽, IDS, 접근제어 장비 등을 적용해 IP 주소 및 서비스 기반의 보안정책을 이미 상당 수 적용하고 있어, 공격자는 인터넷(80포트)과 연결된 웹 또는 메일 등을 매개로 한 공격을 시도하고 있다. 대부분의 웹을 대상으로 한 해킹의 형태를 보면 웹 애플리케이션에 대한 공격 이후에 DMZ 및 내부망에 존재하는 시스템에 대한 공격으로 연결되고 있다. 이러한 해킹 패러다임의 변화에 따라 주요 공격대상이 되고 있는 웹 애플리케이션에 대한 능동적인 정보보호 방안을 수립해 침해사고에 대비하는 것이 필요하다 할 수 있다.

웹 애플리케이션 보안도구에 대한 이해

웹 애플리케이션 보안도구는 웹에 대한 해킹 및 웜 등으로부터 기업의 DMZ(DeMilitarized Zone)이나 웹 기반으로 구축된 기업내부 시스템(그룹웨어 등)에서 구동되는 웹 애플리케이션을 보호하기 위해 적용되는 전용 솔루션으로 정의해 볼 수 있다. 이러한 웹 애플리케이션 보안도구는 크게 웹 애플리케이션에 대한 취약점을 진단하는 웹 스캐너와, 기존 방화벽처럼 웹 애플리케이션을 통해 웹 애플리케이션의 취약점을 차단해주는 웹 애플리케이션 방화벽(게이트웨이)로 나눌 수 있다.

웹 애플리케이션 보안도구는 지난 호에 설명했던 침입차단 시스템(F/W), 침입탐지 시스템(IDS) 등과는 표 1과 같이 여러 가지 부분에서 차이를 보인다. 즉, 웹 애플리케이션 보안도구의 보안대상이 7계층인 애플리케이션 계층이라고 한다면, 침입차단 시스템(F/W), 침입차단 시스템(IDS) 등은 네트워크 계층을 중점적인 보안대상으로 해 제품이 개발됐다는 점이 가장 큰 차이점이라고 할 수 있다. 공격대상이 되는 핵심범위가 어디가 될 지에 따라 그에 따른 보안도구의 도입 및 적용에 대한 필수적인 고려가 필요하다는 것을 반증한다고 볼 수 있다.

현재 웹 애플리케이션 보안도구는 웹 애플리케이션 방화벽 제품과 웹 애플리케이션 스캐너가 통합적으로 구성되어 있는 경우도 있고, 타사 제품과 연동 가능하도록 설계된 제품도 있다. 표 2는 국내에 출시되어 있는 웹 애플리케이션 보안도구를 웹 스캐너와 방화벽으로 구분해 명시한 것이다.

웹 애플리케이션 보안도구 도입시 고려사항

웹 애플리케이션 보안도구의 도입에 있어서 가장 먼저 고려되어야 할 사항은, 현재 운영 중인 웹 애플리케이션이 어떠한 취약점을 가지고 있는지에 대한 현황 및 취약점 분석의 시행이다. 즉, 웹 애플리케이션이 지니고 있는 문제점을 분석해 그에 대한 대응방안을 수립, 가장 적절하고 효율적인 개선방안을 적용하는 것이 가장 중요하다 할 수 있다. 웹 애플리케이션 스캐너를 활용하거나 보안 컨설팅(모의해킹, Reverse Engineering 등을 통한 웹 애플리케이션 취약점 분석)의 시행 등을 통해 현재 웹 애플리케이션에 존재하는 취약점에 대해 분석하고, 도출된 여러가지 취약점에 대해 가장 적합한 대응방안을 적용하는 것이 필요하다.

웹 애플리케이션 스캐너 선정시 고려사항

웹 애플리케이션 구조파악의 용이성

웹 애플리케이션의 구조파악은 웹 애플리케이션 취약점 분석의 가장 기본이 되는 기능으로 URL 수집을 통해 이루어진다. 웹 애플리케이션은 Server Side Script, Client Side Script, Flash 등의 다양한 방법으로 구동이 가능하다. 이러한 다양한 방법에 대한 분석을 시행하게 되므로, 웹 애플리케이션 구조파악의 용이성에 대한 고려가 필수적이라 할 수 있다.

잘못된 탐지의 비율

오류의 잘못된 탐지는 어떤 기업이든지 업무 효율성을 떨어뜨리는 원인이 된다. 어떤 스캐닝 도구든지 오탐이 존재하듯이, 웹 애플리케이션 스캐너도 오탐이 존재한다. 중요한 것은 기업환경에 가장 유연하게 적용할 수 있도록 이러한 오탐율이 가장 낮은 웹 애플리케이션 스캐너를 선정하는 것이다. 오탐율이 가장 낮은 보안도구를 선정하는 방법은 정확하고 세부적인 기준에 따른 BMT(Bench Marking Test)를 시행하는 방법이 최선이다.

알려진 CGI에 대한 취약점 분석 지원

잘 알려진 CGI를 활용해 웹 애플리케이션에 적용하는 경우가 상당수 존재하며, CGI 자체가 가진 취약점에 대한 필터링을 수행하지 못하는 경우가 존재한다. 따라서 이러한 CGI 소스에 대한 검증이 가능한 보안도구를 선정하는 것이 필요하다고 할 수 있다.

Error 처리 대응 옵션 제공 여부

Error가 발생하는 페이지에 대해 취약점으로 인식하는 경우가 존재하는데, 이러한 Error 페이지의 처리에 대한 대응 옵션을 제공하는지에 대한 고려가 필요하다. 예를 들면, 열리지 않는 페이지에 접속을 하면 HTTP404 Error 등으로 메시지가 발생하지만, 일부 웹 애플리케이션에서는 200 Error 등으로 메시지가 발생하는 예외적인 경우도 존재하기 때문에 적절한 Excep-tion 처리여부에 대한 방식을 지원하는지에 대한 고려가 필요하다.

GUI 및 다양한 리포팅 기능의 지원

GUI(Graphic User Interface)가 사용자가 이용하기 쉽게 구성되어 있는지에 대한 여부와 보고서의 한글(DOC, HWP) 지원 등의 여부에 대한 고려가 필요하다.

기술지원 및 유지보수

웹 애플리케이션 스캐너가 진단한 내역이 오탐인지에 대한 여부를 확인하기 위해서는 웹 애플리케이션 스캐너의 취약점 분석원리에 대한 이해가 필수적이라 할 수 있다. 따라서 웹 애플리케이션 스캐너 제공업체로부터 이에 대한 기술지원 및 유지보수가 가능한지에 대한 고려가 필요하다.

웹 애플리케이션 Gateway(방화벽) 선정시 고려사항

서비스의 가용성(Performance)에 대한 고려

웹 애플리케이션 방화벽은 해당 기업의 네트워크 구성 특성에 따라 다양한 형태로 구축된다. 따라서 네트워크 트래픽 용량, DMZ의 구성, 지원하는 인터페이스 속도 등 네트워크 구성의 특성에 부합한 최적의 구성을 통해 서비스의 가용성(Perfor-mance)을 확보하는 것이 가장 중요한 고려사항이라 할 수 있다.

잘못된 탐지의 비율

웹 애플리케이션 스캐너와 마찬가지로 웹 애플리케이션 방화벽도 오탐이 0%인 제품은 존재하지 않는다. 기업 환경 및 서비스에 필수적으로 허용이 필요한 패킷 등을 취약점으로 오판해 서비스의 중단이 발생하게 된다면 기업의 업무 연속성에 큰 영향을 끼치게 된다. 따라서 기업의 서비스에 적절하게 커스터마이징이 가능하도록 유연한 웹 애플리케이션 방화벽의 선정이 필요하다. 오탐율이 가장 낮은 보안도구를 선정하는 방법은 정확하고 세부적인 기준에 따른 BMT(Bench Marking Test)를 시행하는 것이라 할 수 있다.

해당 기업의 IT 환경에 대한 이식성(Interoperability) 고려

기업의 IT 환경은 서비스의 특성에 따라 다양한 형태로 구성돼 있다. 따라서 SLB(Server Load Valancing) 기능의 지원여부, 서버 및 애플리케이션 구성의 변경여부, 네트워크 토폴로지(Topology)의 변경여부 등을 고려해 기업 현실에 적합한 보안도구를 도입해야 할 것이다.