| 이제부터는 웹 보안이냐? | 2005.09.28 | |||
이제부터는 웹 보안이냐? 시장 활성화, 조금 더 지켜봐야 할 듯
[시장]국내 휴대폰의 기능과 디자인이 하루가 다르게 변하고 있다. 카메라가 달린 휴대폰이 출시된 지 채 2년 남짓한 시간동안 디지털 카메라를 능가하는 성능을 보유한 휴대폰이 등장하는가 하면, 디자인도 하루에 수십 개의 모델이 쏟아져 현기증이 일어날 정도다. 물론 이 모든 것이 적극적인 수요가 있기에 가능할 것이다. 그렇다면 상대적으로 보수적이라는 보안 분야에서는 어떨까. 가용인원도, 예산도 그리 넉넉하지 않은 상황에서 새롭게 등장하는 보안영역과 보안 솔루션을 볼 때마다 보안 관리자의 고민 또한 늘어나지나 않을까. 최근 새로운 보안영역으로 회자되는 웹 보안을 볼 때면 관리자들의 한숨소리가 들리는 것은 왜 일까. 취재 임재우 기자
웹 취약점의 대두와 이를 보호할 수 있는 솔루션이 출시되면서 웹 보안에 대한 관심이 뜨겁다. 지난 2003년 초 STG 시큐리티가 이스라엘 보안업체 카바도의 웹 방화벽 「인터두」와 웹 취약점 스캐너 「스캔두」를 국내에 소개하면서 본격적으로 알려지기 시작한 웹 보안은 2004년 하반기부터 외산 웹 보안 업체들이 국내 업체들과 손을 잡으면서 본격적인 시장몰이에 나서고 있다. 과거 대부분의 보안업체들이 그러했던 것처럼 이들 업체 역시 ‘지금까지의 기술로는 막을 수 없었던 문제를 해결한다’는 구호로 새로운 보안영역에 대한 관심을 높이고 있다. 새로운 보안영역의 등장 웹 보안은 웹 서비스를 제공하기 위해 필요한 웹 서버 환경과 웹 애플리케이션 프로토콜 등 웹 애플리케이션 전반을 다룸으로써, 트래픽에 관련된 네트워크 보안과 시스템이나 OS 상의 취약성을 다루는 시스템 보안과는 또 다른 보안영역으로 분류된다. 최근 불거지는 웹 해킹을 통한 개인정보 유출사고나 홈페이지 위·변조, 웹 서버를 매개로 한 기업 내 파일 및 관리 시스템의 불법접근 같은 문제들이 웹 보안의 주된 이슈들이다. 이들 문제는 웹 서비스 구조상 모든 인터넷 사용자들에게 개방될 수밖에 없는 80번 웹 포트를 이용한다는 점에서 출발한다.
일반적으로 기업의 보안 구조는 내부 네트워크와 외부 네트워크의 경계에 침입차단 시스템이 설치돼 보안정책 상 허용되는 트래픽만을 유입시키고, 추가로 침입탐지 시스템을 이용해 유입되는 트래픽의 유해성을 판별해 사용자에게 경고하는 구조를 가지고 있다. 이런 구조에서도 보안체계의 허점을 뚫고 PC나 서버와 같은 내부 시스템으로 침투가 이뤄지기도 하는데, 이 경우를 대비해 PC보안 솔루션이나 Secure OS, NIDS 등의 보안 솔루션들이 보완하게 된다. 그러나 이런 보안체계에서도 예외라는 것이 있는데, 웹 트래픽이 대표적인 경우다.
웹 서버 해킹을 통한 내부 네트워크로의 침입, 웹 애플리케이션의 취약점 공격은 이런 웹 서비스의 특징을 악용하는 것으로, 불법적인 아이디·패스워드 추출, DB 접근, 관리자 권한획득 등이 이뤄진다는 것이 웹 보안 업체들의 주장이다. 이런 원인은 시스템이나 네트워크 차원의 문제가 아닌, 잘못 짜여진 웹 애플리케이션이라는 프로그램 상의 문제가 더 커 이에 대한 대책이 필요하고 또, 이에 특화된 솔루션이 웹 보안의 주류를 이루고 있다. 웹 보안의 이슈, 웹 애플리케이션
웹 보안, 전문 솔루션으로만 가능한가 웹 보안 그중에서도 웹 애플리케이션 보안이 왜 필요한지는 어렵지 않게 알 수 있다. 그럼에도 불구하고 여전히 의문이 생기는 부분 중 하나는 웹 보안을 웹 보안 솔루션으로만 해야 하느냐 하는 점이다. 한 예로 기존 IPS 제품의 경우, Web을 비롯해 FTP, Telnet, SMTP 등의 모든 애플리케이션을 포함하는 레이어7의 애플리케이션 보안이 가능하다고 주장하고 있어 ‘웹 보안=웹 보안 전문 솔루션’이라는 등식이 다소 못 미더운 것이 사실이다. 이에 대해 본지에 지난 2003년 9월부터 웹 애플리케이션 보안을 주제로 연재했던 前 STG 시큐리티 이혁중 소장(現 인포섹)은 “L7 애플리케이션 보안기술을 적용한 보안제품이 웹 보안의 기능을 제공할 수도 있고, 또 지원한다고 주장하는 기존 업체들도 있지만, 웹 보안에 대한 전문성은 웹 애플리케이션 보안 솔루션이 훨씬 더 깊다”고 설명했다. 또 대다수의 전문가들 역시 웹 보안의 필요성과 웹 보안을 강화시켜줄 웹 보안 솔루션의 필요성에 대해 공감하는 있는 분위기다. 일단, 웹 보안 그중에서도 웹 애플리케이션의 문제가 어떤 심각성을 갖고 있는지, 또 웹 보안을 위해 특화된 웹 보안 솔루션이 필요하다는 사실은 입증되고 있다고 볼 수 있다. 중요성은 ‘인정’, 구매는 ‘글쎄요’ 그렇다면 웹 보안 솔루션을 구매하고 사용할 사용자들은 과연 어떤 입장일까. 결론부터 말하자면 ‘필요할 것 같지만, 구매하기까지는 시간이 더 필요하다’라는 분위기가 지배적이다. 웹 보안 솔루션 업체들이 1차적인 수요계층으로 꼽는 쇼핑몰의 한 보안 관리자는 “웹 보안에 대한 심각성을 아직까지 느껴보지 못했지만, 애플리케이션의 문제를 모두 하나하나 점검할 수 없다는 점에서 문제 제기는 인정한다”면서도 “구매시점이 언제냐에 대해서는 확실하지 않다”고 다소 조심스러운 입장을 취했다. 웹 보안에 대한 문제가 제기되면서 구매하자는 분위기가 있었지만, 다시 재검토 단계로 바뀌었다고 말한 또 다른 쇼핑몰의 보안 관리자는 “악의적인 공격이 웹으로 이동하고 있다는 사실을 알고 있지만, 웹 보안 솔루션 자체가 검증된 사례가 없기 때문에 도입이 꺼려지고 있다”며 타 기업들이 솔루션을 도입해 사용하는 과정을 조금 더 지켜볼 것이라고 말했다. 한편, 실무자의 인식과 구매부서와의 괴리를 지적하는 보안 담당자도 있다. 실무자들이 웹 보안의 중요성과 필요성을 인식한다고 해서 보안 솔루션을 구매하는 것이 아니라고 전제한 증권사의 한 보안 담당자는 “현재 업체들이 말하는 것처럼 80번 포트를 이용해 서비스하는 분야가 생각만큼 많지 않고, 더 중요한 것은 구매부서를 설득 시킬만한 계기가 아직은 부족하다”며 웹 보안이 시기상조라고 밝혔다. 반면, 같은 금융권이면서도 웹 보안에 대한 관심을 보다 적극적으로 표명한 관리자도 있긴 하지만 이 역시 웹 보안 솔루션에 대한 직접적인 구매보다는 서비스 차원이라는 대안을 제시하는 입장을 취했다. 한미은행 전산정보부 이명희 차장은 “보안 업체들이 내놓는 솔루션을 기업이 모두 구매한다는 것은 현실적으로 불가능하다. 변화가 자주 일어나는 웹 애플리케이션이 문제라면 컨설팅 업체를 통해 일년에 한번 혹은 분기별로 특화된 서비스만 받는다면 오히려 편리할 것”이라고 새로운 의견을 제시하기도 했다.
특이한 국내 보안문화, 극복 가능할까 지난 2003년 말부터 전 세계 SSL VPN 업체들이 너도나도 국내 시장으로 눈을 돌린 적이 있었다. IPSec VPN이 대세였던 당시 상황에서 SSL VPN은 VPN 시장의 대변혁을 일으킬 것처럼 보였다. 특히, 미국, 유럽 등 IT 선진국에서의 SSL VPN에 대한 높은 인기는 업계가 낙관적인 전망을 내놓기 위한 든든한 후원자나 다름없었다. 하지만 약 3~4개월 남짓 지속된 SSL VPN 업체의 파상적인 마케팅에도 불구하고, 국내에서 여전히 주도권을 잡고 있는 VPN은 IPSec 쪽이다. 그렇다고 SSL VPN이 IPSec에 비해 성능이 떨어지거나, 가격 경쟁력이 없었던 것은 물론 아니었다. 그럼에도 SSL VPN 업체들의 입에서 ‘아직은 때가 아니다. 하지만 꼭 SSL VPN 시대는 온다’라며 일보후퇴하게 만들었던 원인은 다름 아닌 ‘특별하다 못해 특이’하다는 국내 보안 문화였다. 웹 환경으로 변해가는 IT 흐름을 볼 때, 그리고 웹 애플리케이션들이 가진 문제들을 감안해 볼 때, 웹 보안의 중요성을 부정할 수는 없을 것 같다. 또 많은 전문가들 역시 웹과 관련된 취약성의 심각성을 지적하기도 한다. 하지만 중요성과 솔루션이나 서비스 시장이 항상 비례하지만은 않는다. 적어도 국내에서만큼은 그래왔다. 웹 보안도 크게 다르지는 않을 것처럼 보인다. 웹 보안 시장에 대해 업계도 언론도 밝은 전망을 앞 다퉈 내놓고 있지만, 실제 기업들의 입장은 ‘구매부서를 설득할 만큼의 이슈가 제기됐느냐’와 ‘누가 사용하고 있느냐’의 문제로 고민하고 있다. 물론 이런 문제들이 웹 보안이라는 주제에 대해서도 쉽게 해결될 것 같지는 않아 보인다.
<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.> |
||||
 |
