헌법재판소는 사이버 위협에 대한 사전 예방 및 능동적 대응을 위해 웹 방화벽을 구축했다.

이는 헌법재판소의 주요 판결이 있을 때마다 사회의 관심이 집중되는 만큼 웹 사이트에 대한 위협도 증가해 웹 서버에 대한 공격 방지뿐만 아니라, 개인정보 유출방지를 위해 웹 서비스에 대한 보안을 강화할 필요가 있었다.

헌법재판소는 정보화기획과에서 정보화와 관련된 모든 업무를 담당하고 있다. 정보화기획과의 주요 구성원은 과장 1명, 전산사무관 1명, 전산직 4명, 기능직 1명으로 상주유지보수 인력 2명 등 총 9명의 인력이 정보화 관련 업무를 맡고 있다. 정보화기획과는 기획팀과 운영팀으로 업무를 구분하고 있으며 전산사무관을 중심으로 한 기획팀에서는 정보화사업을 추진하고 운영팀에서는 각종 서비스 등이 안정적으로 운영될 수 있도록 하고 있다.

이곳 헌법재판소의 보안업무를 담당하고 있는 조영진 정보화기획과 전문관은 “헌법재판소가 제공하는 서비스의 안정적 운영에는 장애 및 외부 사이버 공격 등에 대한 대응도 포함되어 있다”며 “운영팀에서 중요하게 생각하는 부분은 홈페이지 등 대국민 서비스의 안정적 운영과 내부 사건처리와 관련된 정보시스템의 무중단서비스 제공”이라고 말했다. 이러한 이유로 지난 2008년에 홈페이지를 통한 전자송달이 가능하도록 했고 2009년에는 홈페이지를 통한 전자접수를 할 수 있도록 시스템을 구축하여 홈페이지 서비스의 안정적 운영이 더욱 중요하게 된 것이다.

홈페이지 무중단 서비스가 관건

웹 방화벽 이중화 구축전의 보안 시스템과 업무환경에서의 보안 상황에 대해 조영진 전문관은 “앞서 설명한 것과 같이 지난 2008년 홈페이지를 통한 전자송달시스템을 구축하면서 홈페이지 서비스의 무중단이 더욱 중요하게 되었다”며 “이에 따라 지난 2009년 정보화사업 추진시 홈페이지 서버의 이중화 구성을 준비했는데 이때 한정된 예산으로 구성하려다 보니 이중화에 대한 우선 순위를 고려하게 되었다”고 말했다.

또한 그는 웹 서버와 WAS 서버의 장비 이중화는 1차적으로 구성하고 L4 장비 이중화를 할 것인지 웹 방화벽 이중화 구성을 먼저 할 것인지 고민을 많이 했으나 웹 방화벽 없이 서비스를 내보내는 것이 보안에 취약하기 때문에 웹 방화벽의 이중화가 우선이라고 판단했다는 것. 그래서 그는 웹 서버 앞단에 웹 방화벽을 각각 두는 구성으로 구축했다.

이제는 웹 서버와 웹 방화벽을 떼어놓고는 생각할 수 없을 정도로 웹 서비스를 위해서는 웹 방화벽 구성이 필수라는 것이 그의 생각이다. 조 전문관은 “이를 위해 CC인증 제품으로 다양한 네트워크 환경을 지원할 수 있을 뿐만 아니라 보안성도 높은 웹 방화벽인 펜타시큐리티시스템(이하 펜타시큐리티)의 WAPPLES(와플)을 도입하게 된 것”이라고 설명했다.

특히 헌법재판소에서 펜타시큐리티의 웹 방화벽 선택 기준과 이유로 보안장비를 도입할 경우 오랫동안 데모를 진행해보고 안정성이나 운영상에 문제점이 없는지 등을 확인했다. 펜타시큐리티의 웹 방화벽의 경우 지난 2005년에 약 6개월 이상 데모를 진행하면서 검토를 해온 제품이었다.

헌법재판소의 경우 사회적으로 이슈가 되는 사건에 대한 선고 일을 전후해서 홈페이지 등에 대한 해킹이나 사이버 공격 등의 보안 위협이 많은 편인데 이 당시에 와플의 데모를 진행하면서 공격에 대한 방어나 정책 수립, 모니터링 등의 운영면에서 상당히 만족스런 결과를 얻었다는 것. 또한 와플은 새로 추가되는 정책에 대한 지원 및 의심이 가는 사항에 대한 기술지원 등에 대해서도 만족스러운 결과를 보여줬기 때문에 도입하게 된 것이다.

조 전문관이 펜타시큐리티의 장비를 도입하게 된 이유는 무엇보다 제품에 대한 신뢰성이 주요했다. 그는 “현재 시장에는 다양한 기능의 비슷한 솔루션들이 많이 있지만 믿을 수 있고 문제 발생시에 신속한 기술지원, 그리고 새로운 공격유형에 대한 패치가 바로 제공되는 솔루션이라는 점에서 펜타시큐리티의 제품을 선택했다”고 말했다. 그는 “특히 다양한 기능을 가진 외산 장비도 많이 있었지만 펜타시큐리티의 와플은 운영자가 관리하기 쉽고 커스터마이징이 복잡하지 않으면서 웹 구간 암호화 연동 기능이 장점이라 선택했다”고 덧붙였다.

인라인 방식으로 이중화 구성

헌법재판소는 네트워크 장애 대비를 위해 이중화 네트워크로 변경했고 각각의 웹 서버 뿐만 아니라 관련 웹 사이트를 보호해야 했다.

또한 이중화된 네트워크는 상단 L4 스위치에서 로드 밸런싱(load balancing) 하도록 구성되었기 때문에 와플에서는 웹 세션 관리를 통해 네트워크 흐름을 제어해야 했다.

이에 헌법재판소의 와플은 인라인 방식으로 이중화된 라인에 각각 설치되었다. 와플 사이에는 세션 공유 라인을 이용하여 한쪽의 와플이나 네트워크 라인에서 장애가 발생했을 경우 반대쪽으로 네트워크 통신을 넘기도록 구성하여 안정적인 운영을 가능케 한 것. 또한 Mesh 구성을 통해 네트워크상의 SPOF(Single Point Of Failure)를 방지할 수 있도록 했다. 

그리고 각각의 와플은 웹 서버를 등록하고 모든 웹 트래픽을 검사하여 공격 차단 및 개인정보유출 방지 기능을 수행토록 설정되었다. 또한 보안관리 체계 구축을 위해 ESM 연동기능을 이용하여 중앙에서 공격탐지 및 웹 방화벽 상태관리가 가능하게 되었다. 

“공공기관의 특성상 한정된 예산으로 도입해야 할 장비들은 많은데 새로운 서비스를 구축할 경우 눈에 보이는 효과가 있는 것에 반해 보안 시스템의 경우에는 도입했을 때 눈에 보이는 효과가 없어 이의 필요성을 설득하고 예산을 확보하는 부분이 가장 어려운 일이다”고 말하는 조 전문위원은 “그래도 최근에는 7.7 DDoS 대란 등 사회적으로 큰 파장을 낳은 보안 관련 사건들이 많이 알려지면서 의사 결정권을 갖고 있는 분들의 보안인식이 많이 높아졌고 이에 보안 시스템 도입에 대한 설득의 어려움이 많이 해소되었다”고 덧붙였다. 또한 그는 이번 웹 방화벽 이중화 구축 시에는 기존에 운영중인 웹 방화벽이 있었던 관계로 정책설정 등 이미 세팅되어진 부분이 있어 크게 어려운 부분은 없었다.

보안사고 예방, 안정성ㆍ보안성 강화

헌법재판소에서 웹 방화벽 구축 후에 나타난 결과로 보안사고의 예방이 가장 큰 효과라고 한다. 예전의 경우 공격이 있더라도 피해사실 자체를 모를 수도 있었고 피해규모에 따른 대응책도 달라졌는데 웹 방화벽이 도입되면서 대부분의 공격이 차단되고 있으며 웹 방화벽 도입 이후에는 크고 작은 보안사고가 발생하지 않았다. 또한 조 전문관은 “보안사고가 발생하더라도 이 외의 보안시스템 등에서 각종 로그 등을 통해 피해여부를 파악해 즉시 대응할 수 있고 백업시스템 등을 통해 복구가 가능하므로 이제는 어떤 사이버 공격이 발생하더라도 극복할 수 있다는 심리적 안정감을 갖게 된 점도 큰 효과”라고 말했다.

한편 그는 “현재 웹 방화벽이 2대가 운영되면서 정책 등을 각각 설정해야하는 불편함과 모니터링 결과도 각각 확인해야 하는 불편함이 있어 이 같은 불편함에 대해 펜타시큐리티측에 보완을 요청해 곧 진행할 예정”이라며 “꼭 웹 방화벽이 아니더라도 관리해야 할 보안 장비가 늘어나면서 각종 위험 및 서버상태 등을 한 번에 관리할 필요가 생겨나고 있다. 인원은 한정되어 있는데 관리해야 할 장비가 계속 늘어남에 따라 내년에는 ESM 등을 도입하여 이러한 어려움을 극복할 계획”이라고 밝혔다.

이와 같이 펜타시큐리티는 우수한 웹 방화벽 솔루션과 웹서비스 보안 구축 노하우를 바탕으로 헌법 재판소에 웹 방화벽을 성공적으로 구축했다. 펜타시큐리티시스템의 웹 방화벽 WAPPLES-100은 로직 분석을 통한 웹 공격 탐지, 개인정보 노출 차단 등의 보안기능과 더불어 Dashboard, 설정마법사와 같은 관리기능, 간편한 설치 과정 등이 높은 평가를 받았다.

설치 이후 XSS(Cross Site Scripting), 웹 스캐닝뿐만 아니라 Mass SQL Injection의 확산 시에도 이를 정확히 탐지, 차단함으로써 안전한 웹 사이트 운영이 가능해 졌다. 특히 Mass SQL Injection 공격은 DB에 악성 Java Script를 삽입, 페이지를 변조한 후 해당 페이지에 접속한 사용자의 브라우저에서 악성 스크립트를 실행토록 만드는 공격으로 공격 과정이 자동화되어 많은 웹 사이트가 피해를 입었던 대표적인 웹 공격이다.

와플은 헌법재판소의 프로젝트 진행 중에도 이를 탐지, 차단하였으며 지속적으로 발생하는 중국발 해킹시도 또한 차단했다. 개인의 정확한 신상정보를 위해 주민번호를 이용하는 사이트 특성상 이를 사전에 검사하고 주민등록번호를 비롯한 개인정보유출을 사전에 차단함으로써 신뢰성을 더욱 높인 것이 헌법재판소가 와플을 선택하게 된 것이다.

한편 와플은 CC 인증 이후에도 지속적인 기능 개선과 더불어 변경승인 절차를 밟아 최신 릴리즈에 대해서도 인증 상태를 유지하여 구축 이후의 보안적합성 검증도 통과하여 공공기관에서의 요구사항과 보안성의 만족도를 입증했다.

<글·사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>