최근의 웹 공격은 과거와 비교했을 때 크게 달라진 것은 없으나 그 목적이 변했다. 즉 과거에는 단순한 기술적인 능력 과시를 위한 것이 주된 공격의 목적이었다면 최근에는 금전적인 이익을 위한 수단으로 변하고 있는 것이다.

웹 공격에 있어서 진화, 혹은 진보라는 말을 붙이는 것은 어색한 면이 있다. 실제 지금도 웹 공격의 대표적인 유형의 SQL injection, Cross Site Script 등 대부분의 공격 형태는 10년 전부터 알려진 공격이고 또한 새로운 공격이라고 하더라도 신개념이라기 보다는 이전 공격이 약간 변형되거나 혹은 여러 가지 공격을 혼합하는 형태가 대부분이기 때문이다. 또한 웹 환경 또한 크게 변화된 것이 없으니 어찌 보면 당연한 것일 수도 있을 것이다. 결국 웹 공격의 변화는 기술의 진보라기 보다는 목적과 방향성이 바뀌었다고 볼 수 있을 것이다.

웹 공격의 과거와 현재

그림 1을 통해 웹 공격의 현재와 과거의 모습과 현재의 모습을 비교해 보자. 실제로 공격의 기술적인 기반은 크게 변함이 없으나 목적성이 변하고 있다는 것을 알 수 있다. 과거에는 단순히 자신의 기술적인 능력을 자랑하는 것이 목적이었으나 돈을 벌 수 있는 수단으로써 웹 공격은 변화를 하고 있는 것이다. 이러한 관점에서 가까운 미래를 예측해 본다면 악성코드 배포를 통한 금전적인 이득을 위한 궁극적인 목적은 크게 변화가 없을 것으로 보인다. 다만 앞서 언급된 이미 알려진 웹 공격에 대해 충분히 방어를 하고 있는 사이트가 늘어나게 되어 더 이상 웹 공격을 통한 악성코드 배포가 어렵다면 웹을 통하여 악성스크립트가 삽입된 문서파일이나 이미지 파일등을 배포하여 좀비PC를 확보하는 방법이 늘어날 것으로 보인다.

웹공격의 현재와 미래

대부분의 웹사이트에서 악성 파일 업로드를 막기 위해 다양한 필터링 기법을 사용하고 있다. 하지만 이러한 필터링 기술로도 업로드를 막기 어려운 파일을 소개해 보려고 한다.

그림 3은 악성 스크립트가 삽입된 문서 파일을 열었을 때의 화면이다. 우리가 흔히 이용하는 문서 파일을 열었을 때 사용자도 모르게 자동으로 웹사이트에 접속하고 악성파일을 다운로드하여 좀비PC가 되는 과정을 알 수가 있다. 이러한 파일들을 게시판이나 자료실에 업로드해서 아무런 의심을 하지 않고 다운로드 받는 사용자는 자신도 모르게 좀비PC가 되어 버리는 것이다.

그리고 문서 파일 뿐만이 아니라 이미지 파일, 미디어 파일, 압축파일 등도 이런 악성 스크립트를 삽입하는 기술이 알려져 있고 이러한 파일들은 현재 웹서버의 필터링 기술로는 차단하는데 한계가 있다. 아직은 웹 페이지를 변조하여 악성코드를 삽입하는 방법이 쉽게 가능하기 때문에 이런 기술들이 많이 이용되지는 않고 있지만 앞으로 웹을 통하여 이런 악성 파일을 배포하는 방식도 다양하게 연구될 가능성이 있다.

클라우드 컴퓨팅과 Web 2.0

근래 웹 2.0을 통하여 콘텐츠를 공유하는 클라우드 컴퓨팅 기술에 대한 연구가 활발하게 진행되고 있다. 다양한 정보를 실시간으로 공유할 수 있는 새로운 차원의 리얼 미디어 시대를 열게 될 것으로 기대되는 이것은 미래의 핵심 기술의 하나로 자리 잡고 있는데 보안의 관점에서 본다면 대단히 위험한 시도라고 할 수 있다.

만약에 악성코드가 삽입된 미디어 파일이나 문서 파일이 실시간으로 다수의 사용자들에게 공유가 된다면 굳이 웹 서버를 공격하지 않더라도 손쉽게 좀비PC를 획득할 수가 있는 것이다. 웹 2.0의 보안이 가지고 있는 취약성의 핵심은 정보의 공유가 서버의 통제를 상당 부분 벗어난다는 점이다. 지금의 웹 형태는 서버의 보안을 완벽하게 구축하면 안전한 정보를 사용자에게 제공을 할 수가 있지만 웹 2.0의 시대에 오면 더 이상 정보의 무결성과 안정성을 담보해줄 장치가 현재로써는 매우 미흡하다고 볼 수 있다. 따라서 사용자들이 공유하는 컨텐츠들의 보안성을 중앙에서 통제할 수 있는 해법이 마련되지 않으면 지금의 웹 2.0은 화려함속에 해커들의 어두운 놀이마당으로 전락될 수 있을 것이다.

편의성과 보안

편의성을 추구하다 보면 보안성이 떨어지게 되고 보안성을 중요시 하다보면 편의성이 떨어지게 되는 딜레마에 접하게 되는데 이 양자간의 적절한 균형을 이루는 것은 매우 어려운 문제이다. 사실 웹보안의 관점에서 볼 때 사용자가 특수문자를 전혀 입력하지 못하게 제한한다면 의외로 대부분 보안 문제들은 쉽게 해결된다. 만약에 포털 사이트 게시판에 특수문자를 입력하지 못하게 한다면 사용자들은 당장에 불만을 호소할 것이고 사용자에 대한 서비스가 생명인 포털 사이트에게는 치명적인 영향이 될 것이다. 결국 이러한 해결책은 현재 웹의 환경에서는 불가능하다.

또한 사용자의 PC와 서버간에 리소스 분산이 핵심인 웹 2.0은 통제할 수 없는 사용자 PC의 데이터에 대한 보안에 대하여 어떻게 대처를 할 것인가? 현재 웹이라는 환경이 편의성만을 추구하다가 메울 수 없는 커다란 구멍이 생긴 것을 거울삼아 웹2.0이 태생적으로 갖고 있는 보안 문제에 대해 심각하게 고민을 하면서 차근차근 대중화를 진행해야 할 것이다.

웹의 성격상 편의성과 보안성이라는 두 마리 토끼를 잡아야만 하는 현 시점에서 정상적인 데이터와 비정상 데이터를 분류하는 통합적인 보안 관리가 필요할 수밖에 없고 결국 웹방화벽과 같은 보안 장비들의 역할이 웹 보안에 매우 중요하다고 할 수가 있다. 그리고 다가올 웹 2.0 시대에 대비하는 웹2.0 보안 통합 관리 시스템에 대한 연구가 앞으로 웹 보안에 대한 핵심 과제가 될 것으로 예측해본다.

<글 : 김태한 파이오링크 보안컨설팅팀 팀장(teran@piolink.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>