웹 보안을 위해 기업들은 웹 방화벽을 도입해 웹 공격을 차단하고 있다. 하지만 도입전 충분한 검토와 운영 방안에 대한 준비가 되어있지 않으면 기본적인 정책만 도입되어 무용지물이 되는 경우가 있다. 때문에 웹 방화벽을 도입하고자 할 때는 우선 내부에서 운영중인 웹 애플리케이션의 운영 현황을 파악해 웹 방화벽의 운용환경을 최적화해야 한다.

웹 해킹은 지금 현재도 지속적으로 전개되고 있다. 해커들은 침투할 사이트의 지명도는 물론, 운영체제 등도  가리지 않으며 공격 행위를 계속한다. 문제는 사이버 악동들이 내 사이트를 마치 자신의 집 안방에 드나들 듯 하지만 정작 당사자들은 그런 사실을 알지 못한다는 점이다.

이에 전문가들은 웹 해킹에 대한 경각심을 가져야 하며 각종 해킹방법을 알아두고 평소에도 관련 보안대책을 마련하는 것이 최선의 방어라고 한다. 이러한 웹 해킹을 통해 개인정보를 빼내고 이를 통해 금전적인 이득을 취하기 위한 웹 공격이 해마다 큰 폭으로 증가하고 있기 때문에 기업의 웹 애플리케이션 보안은 더욱 더 중요하다. 기업들은 이러한 웹 공격을 차단하고자 다양한 웹 보안 솔루션을 도입하고 있다.

특히 웹 방화벽은 웹 보안의 가장 핵심이 되는 솔루션으로 사전에 충분한 검토와 운영, 그리고 관리방안이 준비되지 않은 채 도입하면 다양한 기능과 성능을 가진 웹 방화벽은 아주 최소한의 기본적인 정책만 적용되어 허울뿐인 웹 보안이 되기 마련이다.

본고는 이러한 허울뿐인 웹 방화벽이 되는 것을 방지하고 웹 방화벽의 도입을 검토하는 여러 기업들에게 도입 후 보다 강화된 웹 보안을 구현할 수 있도록 웹 보안 가이드를 제시하고자 한다.

• 웹 애플리케이션 운영 현황 파악
• 웹 방화벽 정책 수립
• 오탐 로그 분석 및 예외처리
• 주기적인 웹 방화벽 로그 분석
• 보안 정책 강화

웹 애플리케이션 운영 현황 파악

웹 방화벽 도입을 검토할 경우 가장 먼저 파악해야 할 것이 내부에서 운영 중인 웹 애플리케이션의 운영 현황이다. 현재 사용하고 있는 웹 서버 IP, 서비스 포트, SSL 사용 유무, 도메인 리스트, 운용 중인 URL을 정확하게 파악해야만 웹 방화벽 초기 구축 시 현재 운용 환경과 정확하게 매칭이 되는 설정이 가능하다.

웹 방화벽 정책 수립

일반적으로 초기 웹 방화벽 구축 시 벤더가 권장하는 기본적인 설정을 하는 경우가 많으나 가능한 웹 방화벽 정책을 모두 적용 후 학습기간(평균 2주~4주)동안 가능 한 많은 로그를 남김으로써 향후 로그 리뷰를 통한 웹 방화벽의 차단 정책 수립에 도움이 될 수 있도록 한다. 웹 방화벽은 일반적인 방화벽과 달리 보안 정책에 위배되지 않는 트래픽은 로그를 남기지 않는다.

실제 느슨한 보안 정책 운영으로 인해 웹 서버가 공격을 받았다는 연락을 받고 해당 시간 대 웹 방화벽 로그를 확인 해 보아도 관련 로그가 없어 어떤 형태의 웹 공격이 들어왔는지 확인을 못하는 경우가 비일비재하다. 그러므로 초기 웹 방화벽 정책수립 시 강력한 정책 적용을 목표로 구축하는 것이 향후 웹 보안 강화 및 보안 사고 대처에 도움이 될 것이다.

오탐 로그 분석 및 예외처리

웹 방화벽 구축 후 학습기간(평균 2주~4주)이 지나면 그 동안 생성된 로그를 기준으로 벤더 엔지니어와 담당자의 공동 로그 리뷰를 통한 오탐 로그 분석 및 예외처리 작업을 진행하게 된다. 많은 경우 하루에도 몇 만 건이 넘는 로그를 일일이 모두 확인하는 것은 사실상 힘들다. 그래서 웹 서비스 장애를 두려워하는 담당자의 의중이 반영되어 단순히 시그너쳐에 의한 명백히 공격이라고 판단되는 트래픽에 대해서만 차단을 하는 경우가 대다수이다.

하지만 웹 방화벽 도입을 통해 한층 강화된 웹 보안을 구현하고자 할 경우 학습 모드 기간 동안 수집된 로그를 웹 애플리케이션 운영팀과의 공조를 통해 오탐겶榻?로그를 정확히 구분하여 예외처리 또는 웹 방화벽 정책상에서 차단을 해야할 지에 대한 세부적인 보안 정책을 수립한다. 여기에서 웹 방화벽의 큰 이슈인 예외처리 부분에 대한 문제가 발생하게 된다.

예외처리는 보안 정책에 의해 차단되는 정상 트래픽을 차단이 되지 않도록 해 주는 설정을 의미하며 예외처리는 항상 최소한의 범위로만 진행해야 한다. 웹 방화벽은 예외처리를 함에 있어 다양한 옵션(Domain, Header, URL, Parameter, Signature 등)을 다중항목의 AND 조건을 통해 트래픽의 성격과 맞는 최소한의 범위로 예외처리를 해야 한다.

주기적인 웹 방화벽 로그분석

일반적인 방화벽의 경우 보안 정책 수립 후 사용자의 추가적인 요청이 없을 경우 최초 수립된 보안 정책이 운용되게 된다. 그러나 웹 방화벽의 경우 주기적인 로그 분석을 통한 웹 공격 패턴의 변화에 따른 웹 방화벽 보안 정책의 변경 부분이 필수이다. 최초 구축 시 수립된 보안 정책에서 탐지모드로 되어 있는 정책에서 로그 분석 결과 공격으로 판단되어 웹 방화벽에서 차단해야 하는 경우가 발생하기 때문이다.

보안 정책 강화

웹 방화벽 도입 후 최초 구축 시 적용된 보안 정책을 몇 달이 지나도 동일하게 운용하는 경우가 많다.

이는 보안 정책 강화에 따른 웹 서비스 장애에 대한 담당자들의 부담감이 많이 작용하는데 웹 애플리케이션 운영 팀, 보안 담당자 및 벤더 엔지니어와의 공동 로그 분석을 통해 현재 탐지 모드로 되어 있는 로그에서 비정상적으로 접속으로 판단되는 로그 분석을 통해 주기적인 웹 방화벽 정책 강화를 통해 웹 애플리케이션 서비스의 첨병으로써 외부로부터의 보안 위협에 대한 차단을 충실히 수행할 수 있을 것이다.

<글 : 황정길 싸이버텍홀딩스 보안기술팀 선임 엔지니어(najababara@cybertek.co.kr)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>