변화하는 비즈니스 환경에 적절한 웹 보안 적용해야

웹 애플리케이션 상의 공격이 급증하고 있는 가운데 최근 잘 알려진 공격은 대중적인 소셜 네트워킹 사이트부터 금융 기관까지, 정부 기관에서 대규모 웹 사이트에 이르기까지 모든 유형의 시설 및 웹사이트를 꼼짝 못하게 하고 있다.

 

이러한 사이버 위협은 금전적 이익을 목적으로 하는 지하 범죄로 조직화되고 있으며 비즈니스에 미치는 금전적인 영향은 연 1조에 달한다. 이에 기업이 웹 기반의 자산, 특히 증가하는 웹 애플리케이션을 효과적으로 보호할 수 있는 방안에 대해 알아보자.

최근 웹사이트 및 애플리케이션 상에서 광범위하고 위협적인 공격이 급격히 증가하고 있다. 기업이 메인 프레임에서 데스크톱으로, 또 웹으로 이동하면서 사이버 범죄는 더 활개를 치고 있다. 인터넷은 기업에 있어 민감한 데이터 및 기업의 가치를 상징하는 자산의 황금 저장소나 다름없는 공간이 되었지만 불행하게도 보안적인 측면에서의 위상은 그만큼 따라오지 못했다.

 

▲공격 트래픽 근원지 상위 국가 ⓒ아카마이

그 반대로 웹이 갈수록 복잡해지고 이질적인 환경이 되면서 취약점은 크게 증가해 왔다. 그럼에도 불구하고 보안은 항상 과소평가돼 기업은 취약점 및 잠재적인 공격 이슈로 끊임없이 시달리고 있는 것이다. 이는 곧 웹사이트 및 애플리케이션이 다른 그 어느 때보다 위협에 노출되기 쉬운 환경에 있다는 것.

최근 웹 애플리케이션 시큐리티 컨소시엄(Web Application Security Consortium)은 웹 애플리케이션의 87% 이상이 높은 수준의 위험성 또는 그 이상으로 분류되는 취약점에 노출돼 있으며 절반 정도만이 순수하게 자동 스캐닝을 통해 탐지되고 있다고 보고했다. 설상가상으로 웜 및 바이러스는 점점 더 정교해지는 기술을 사용하고 있으며 탐지 및 대응하기가 어려워지면서 악성 소프트웨어(malware)가 갈수록 위험해지고 있다.

그 결과 향상된 루트킷(rootkits), 소셜 엔지니어링, 암호화, 다형성(polymorphism) 기술 등의 은밀한 사용으로 악성 소프트웨어는 수백만의 호스트를 통해 빠르게 번식하고 있다. 또한 감염된 좀비 PC들로 구성된 네트워크인 봇넷은 최근 기하급수적으로 증가, 오늘날 대다수의 사이버 범죄를 일으키고 있다.

조지아 테크 인포매이션 시큐리티 센터(The Georgia Tech Information Security Center)는 2009년 미국에서만 3,400만 대의 컴퓨터가 봇넷 역할을 하고 있다고 추산했다. 좀비 PC 네트워크는 디도스(DDoS) 공격, 데이터 갈취, 스팸, 피싱 및 스파이웨어 및 기타 악성 소프트웨어 등 다양한 사이버 범죄를 일으키는데 적은 비용이 소요되면서 효과적이기 때문에 상당히 위협적이다.

누구나 방심할 수 없다. 최근 잘 알려진 공격은 대중적인 소셜 네트워킹 사이트부터 금융 기관까지, 정부 기관에서 대규모 웹 사이트에 이르기까지 모든 유형의 시설 및 웹사이트를 꼼짝 못하게 하고 있다. 고도로 정교한 지하 범죄는 금전적으로 수익이 되는 이러한 공격을 통해 전문화된 서비스를 위한 암시장 활성화를 형성하고 조직화된 범죄로 확산된다. 이들이 의도적으로 레이더를 피해 확산되는 동안 그 파급 효과는 상상할 수 없을 만큼 거대하다. 사이버 범죄가 비즈니스에 미치는 금전적인 영향은 연 1조에 달하는 것으로 알려져 있다.

이에 본고에서는 기업이 웹 기반의 자산, 특히 증가하는 웹 애플리케이션을 효과적으로 보호할 수 있는 방안은 무엇인지 알아 본다.

아카마이의 네트워크에 의하면 글로벌하며 서로 연결돼 있다는 인터넷의 특성이 사이버 범죄를 야기하면서 공격 트래픽 소스도 끊임없이 변동되고 있다. 아카마이는 매분기 인터넷 현황 보고서를 통해 이와 같은 인터넷 관련 통계를 전한다.

증가하는 웹 애플리케이션 공격

웹 애플리케이션이란 인터넷이나 인트라넷과 같은 네트워크상의 웹 브라우저에서 이용할 수 있는 응용 소프트웨어라고 할 수 있다. 현재 우리가 인터넷 또는 기업의 인트라넷을 통해 사용하는 웹 메일, 온라인 전자상거래 및 블로그 등이 이에 해당한다. 국내에서 인기가 높은 온라인 게임들 또한 웹을 통해 서비스되면서 사용자가 급속하게 증가하는 등 웹 애플리케이션의 형태는 갈수록 다양해지고 있다.

이러한 발전을 입증하듯 최근에는 ASP(Application Service Provider) 형태의 웹 애플리케이션 서비스인 ‘SaaS(Software As A Service)’ 가 등장, 클라우드 서비스 모델과 접목돼 각광을 받고 있으며 대표적인 서비스 기업으로는 세일즈포스닷컴을 들 수 있다. 그러나 온라인상의 업무 트랜잭션이 증가하면서 웹 애플리케이션에 대한 공격 위험 역시 증대되고 있다. 뿐만 아니라 다양한 종류의 단말을 통해 언제 어디서든 업무를 처리하고자 하는 요구사항을 최대한 수용하면서 안정적인 서비스를 제공해야 하기 때문에 담당 부서와 CIO의 고민은 더욱더 커지고 있다.

비즈니스 환경 변화에 따른 새로운 웹 애플리케이션 보안 이슈

지난 몇 년 동안 대다수 기업들은 비즈니스에 영향을 미칠 수 있는 수많은 트랜잭션을 인터넷을 통해 온라인으로 옮겨왔다. 그 결과 웹 애플리케이션은 점점 더 개방됐으며 외부 노출의 위험에도 불구하고 사용량은 계속 증가했다. 웹 애플리케이션은 특히 공격에 민감한 구조이므로 이를 위한 보안 대책이 요구된다.

- 일반적으로 기업의 데이터와 애플리케이션의 접속은 내부망으로 제한돼있다. 그러나 네트워크 방화벽의 경우는 HTTP(80)와 SSL(443) 트래픽에 대해 외부에서의 접속을 대부분 허용한다.

- 대부분의 회사의 웹 사이트는 보안적인 측면에 대한 고려 없이 간단한 형태로 시작된다. 그러나 규모가 커지면서 다양한 애플리케이션들을 기능적으로 추가하고 새로운 기술을 수용하면서 점차 복잡한 구조로 변형되기 때문에 관리가 까다로워지고 보안 취약성이 증가하고 있다.

- 웹 2.0이 적용되면서 사용자와 애플리케이션간의 상호 커뮤니케이션이 증가하고 있다. 이처럼 사용자 경험을 중요시하는 서비스 트렌드로 인해 보안 취약성은 더욱 확대되고 있다.

- 앞으로 애플리케이션의 새로운 기능에 대한 요구사항은 더욱 빠르게 증가할 것이며 애플리케이션은 갈수록 다양하고 복잡해 질 것이다. 그러나 기술 발전 속도에 맞춰 투자를 해야 하는 기업이 계속 인프라를 확장하기에는 한계가 있다.

- 기업이 경쟁사 대비 우위를 차지하기 위해 타이밍은 매우 중요하다. 즉, 새로운 기능 추가를 위해 적절한 투자를 실시, 이를 통해 발생할 수 있는 또 다른 새로운 취약점에 대비해야 한다.

웹기반의 공격 트렌드

앞서 언급한 웹 애플리케이션의 복잡성은 취약한 보안 환경과 사이버 범죄로 이어지는 악순환을 야기하고 있다.

- 사이버 범죄의 전문화: 전문적인 사이버 범죄자에 의한 대규모 좀비 PC는 네트워크에 치명적인 영향을 미칠 뿐 아니라 사용자 ID 도용에도 악용되고 있다. 또한 인터넷뱅킹과 신용카드 거래가 인터넷상에서 확대되면서 금전적 이득을 위해 온라인 금융거래를 대상으로 삼는 사이버 범죄 역시 증가하는 추세다.

- 공격을 위한 가상의 웹사이트 증가: 특정 웹사이트를 방문하려는 사용자를 허위 웹사이트로 유인해 사용자 ID와 암호를 도용하는 공격 유형도 증가하고 있다. 이러한 공격으로 사용자들로부터 신뢰를 잃는 인터넷 기업이 등장하고 있으며 특히 크로스 사이트 스크립팅 및 SQL 인젝션 공격의 경우, 직접적인 사이트 공격보다 더 치명적이다.(웹보안 전문기업인 웹센스의 조사결과 2009년 상반기 100개의 인기 사이트 중 61개의 사이트가 이러한 공격에 영향을 받았다는 것이 확인됐다.)

- 공격의 그룹화: 최근 전문 공격자들의 모임과 R&D 사용자가 증가와 더불어 중소 사이트를 대상으로 하는 테스트 형태의 공격이 계속되며 관련 해킹 프로그램을 위한 버그 수정과 업데이트 지원도 이뤄지고 있다. 최근에는 좀비와 봇넷이 포함돼 공격을 자동화하는 툴을 이용한 공격도 증가하고 있다. 이는 단순한 웹 애플리케이션뿐만 아니라 인터넷 전체에 대한 위협이기도 하다.

주요 웹 애플리케이션 위협

전 세계 보안 전문가들의 커뮤니티인 WASC(Web Applications Security Consortium)는 지난해 발표한 ‘2008년 웹 애플리케이션 보안 통계 프로젝트’ 보고서를 통해 레이어7에 대한 공격이 계속 증가되고 있으며 웹 애플리케이션의 87% 이상이 취약점을 갖고 있다고 밝힌 바 있다. 최근 부각이 되고 있는 3가지 주요 공격 유형은 다음과 같다.

- SQL 인젝션: 웹브라우저 등의 취약점을 이용해 악성코드를 유포하는 공격으로 데이터베이스의 사용자 입력 정보와 신용카드 정보 유출로 이어질 수 있다.

- 크로스 사이트 스크립팅(XSS): 사용자의 웹사이트 로그인 정보와 쿠키에 포함된 사용자 정보를 볼 수 있는 공격 유형이며 사용자측 URL에 스크립트를 삽입해 실행할 수 있다.

- 분산서비스거부 공격(DDoS): DDoS는 지난해 국내에서 발생한 7.7 DDoS 대란을 통해 일반 사용자들에게도 널리 알려졌다. 특히 DDoS 공격은 네트워크 계층보다 애플리케이션 계층에서 감지가 더 어려우며 복잡한 트래픽 중 사용자의 정상적인 웹 요청을 구분하는 것 역시 어렵다.

기업 인프라 보호를 위한 최상의 접근- 분산 형 웹 애플리케이션 보안

사이버 공격자들의 공격 성향이 점점 더 광범위하고 정교해지면서 기업은 웹 인프라 및 디지털 자산을 보호하기 위해 보다 혁신적이고 사전 행동이 요구되고 있다. 이러한 위협이 도사리는 환경에서 기업이 운영 리스크를 경감시키고 미션 크리티컬한 인프라를 보호하기 위해서는 모든 계층에 걸쳐 공격을 탐지 및 모면하기 위한 심도 있는 방어 전략의 도입이 필요하다.

특히 기업의 네트워크 경계가 모바일 기기, 접속 방법 및 클라이언트 플랫폼의 다양성 증가를 수용하면서 방화벽, 침입탐지시스템, 강력한 라우터 및 기타 보안 어플라이언스와 같은 전통적인 경계선(perimeter) 기반의 솔루션만으로는 웹 기반의 공격에 대해 충분한 보안을 제공할 수 없다. 이들 솔루션의 기술과 웹 애플리케이션 계층 보안에 대한 논쟁은 여전히 진행 중이나 이론상으로는 웹 애플리케이션 코드 상에 직접적인 보안을 적용하는 것이 사이트 보호를 위한 최상의 접근 방식이다.

이 같은 방식에 있어 코드에 대한 엄격한 제어와 제품 개발 및 테스트 진행은 필수적이며 더 나아가 코드의 취약성 및 진단 테스트를 판단 할 수 있는 툴을 포함해 매뉴얼 또는 자동 방식을 병행해 사용한다면 모범사례라고 볼 수 있다. 그러나 현실적으로 기업에서 시간에 구애 받지 않고 관리하기란 리소스 부족으로 어려우며 빠른 기술 및 보안의 변화에 대응하기도 쉽지 않다.

웹 서버에 들어오는 모든 트래픽에 대해 중앙에서 DPI(Deep Packet Inspection)를 실시해 페이로드(Payload)를 분석하는 방식이 대안으로 제시되기도 하나 논쟁의 소지를 안고 있다. 이 외에 웹 서버 앞단에 웹 애플리케이션 파이어월(Web Application Firewall; 이하 WAF) 어플라이언스를 구성하는 방식의 경우, 실질적인 효과를 거두고 있으나 증가하는 트래픽에 따른 용량 설계에 있어 어느 정도의 설비투자비용(CAPEX)을 감수해야 한다.

 

▲웹 애플리케이션 보안에 대한 분산 접근 방식 ⓒ아카마이

즉, 기업은 WAF 어플라이언스 제품을 인라인으로 설계, 고장시 전체 웹사이트 장애가 생기는 이슈를 감수해야 한다.(단, 현재는 바이패스(Bypass) 형태로 서비스 연속성 제공이 가능하다) 또한 취약점 관련 공격을 완벽히 방어할 수 있다는 전제하에 제품을 구매하더라도 장애 발생을 대비한 이중화 시스템 구현이 필요하다.

이러한 이유로 고도로 분산된 클라우드 기반의 보호는 필수적인 계층이 되었으며 이러한 유형의 솔루션들은 인터넷의 본성으로 야기된 도전 과제들을 극복할 수 있게 지원한다. 또한 기업의 핵심 인프라에 도달하기 전에 공격을 경감시키는 성능뿐 아니라 뛰어난 온디맨드 확장성, 유연성 및 성능을 제공한다.

[글ㆍ정택진 아카마이코리아 부장 / tchong@akamai.com]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>