1 (4) (1)

완벽한 웹 보안, 어떤 것들이 필요한가?

(‘웹-시대, 웹은 과연 안전한가?’에서 이어집니다.)

완벽한 웹 보안 2/3

사실 정보보안이라는 게 완벽함을 보장하긴 영 어려운 일이다. 완벽에 가까워지려면 아무리 초절정 전문가라 하더라도 구축 설계에서부터 운영에 이르기까지 무지무지 심각한 어려움이 따른다.

특히나 웹 보안은 현재 표준화된 보안 대책 및 방법이 따로 없어서 제각각 처한 현실에 따라 보안 환경을 뚝딱뚝딱 각자 구축하는 실정이다. 대부분의 기업들이 웹 보안 솔루션을 운영하고 있지만 각각의 형편에 딱 알맞은 솔루션을 운영하는 곳은 그리 많지 않다. 종류부터 너무나 다양한 제품들이 마구 난립하는데다 각 솔루션이 제각각 역할에 맞춰 설치되고 운영되지 못하기 때문이다.

안전한 웹 보안을 위해서는 기업의 보안 담당자가 웹 보안 원리에 대해 충분히 이해하고 자사의 IT 시스템에 적합한 웹 보안 체계를 구축해야 한다. 어떻게? 우선 자사의 IT 시스템에 대한 적절한 이해와 파악이 선행되어야 한다.

“그래서 웹 보안, 도대체 뭘 어떻게 하라는 건데?”

먼저 기업에서 사용하는 IT 시스템 구조에 대해 간단히 알아보자. 일반적으로 IT 시스템은 크게 네트워크, 시스템, 애플리케이션으로 이루어진 3개의 계층으로 구성되어 있고, 보안은 각 계층에 빠짐없이 고루 적용되어야 한다.

가장 하단에 있는 ‘네트워크’ 계층은 데이터의 송수신과 관련된 통신을 담당하는 역할을 하고, ‘시스템’ 계층은 우리가 흔히 알고 있는 Windows, Linux 등 운영체제가 그러하듯 여러 애플리케이션이 동작할 수 있는 플랫폼 역할을 맡는다. 최상위 ‘애플리케이션’ 계층은 여러 가지 기능을 가지고 동작하는 프로토콜 및 응용 서비스들을 제공한다.

각종 서버의 시스템 구조 또한 이와 같은 구조를 기본적으로 따르기 때문에, 안전한 서버 보안이란 위 IT 시스템의 세 계층의 보안, 즉 네트워크 보안 + 서버 시스템 보안 + 애플리케이션 보안이 모두 안전하게 구축된 것을 뜻한다.

네트워크 보안

네트워크 보안은 쉽게 말해 가장 바깥에 있는 외피 보호막이라고 생각하면 된다. 시스템 내부와 외부 사이에 방화벽을 끼워 비정상적인 통신이나 패킷을 차단한다.

네트워크 보안을 위해서는 안전하지 않은 IP나 포트에 대한 접근 제어가 필요하고, 허용된 IP나 포트로 들어온 트래픽에 대해서도 유해성 여부를 체크할 필요가 있다. 이를 위해 방화벽과 침입 탐지/방지 시스템 IDS/IPS 등을 사용한다.

하지만 방화벽의 경우 허용된 IP나 Port로부터의 공격은 막을 수 없고, 그리고 IDS/IPS에서 이루어지는 네트워크 계층 유해성 검사는 애플리케이션 계층에 대한 이해가 없이 이루어지기 때문에 애플리케이션 취약성을 노린 공격에 대해서는 방어가 불가능하다는 한계가 있다. 애플리케이션을 노리는 공격이 많은가? 모든 정보보안 공격 중 절대적 다수가 애플리케이션 공격이다.

서버 시스템 보안

시스템 보안은 대부분 운영체제와 연관된다. Windows, Linux, Unix 등 운영체제에 관련된 개발을 주로 하는 업체들은 자사의 시스템에 대한 주기적인 보안 업데이트 및 패치를 통하여 ‘알려진 웹 위협’에 대응한다.

기업의 보안 담당자는 보안 업데이트 및 패치뿐만 아니라, 주기적으로 시스템 악성코드 점검을 통하여 시스템을 항상 안전한 상태로 유지해야 한다. 이를 위해 기업들은 주로 안티바이러스 솔루션을 구축한다. 필수 불가결한 조치이긴 하나, ‘알려진 공격’ 자체의 한계가 있다. 그럼 알려지지 않은 공격은? 알려지지 않은 공격도 많은가? 물론 매우 많다. 생각해 보라. 누군가 전신전령 최선을 다해 공격을 꼭 해내고야 말겠다 작정했다면,

이미 알려진 공격을 시도하겠나? 다들 백신 싹 다 돌려 보고 공격한다.

웹 애플리케이션 보안

애플리케이션 계층은 네트워크 계층이나 시스템 계층에 비해 기술적으로 고도화되어 있고 애플리케이션의 종류도 다양하기 때문에 대부분의 보안 관리자들이 보안 정책을 수립하고 또 적용함에 있어 가장 많은 어려움을 겪는다. 그러니 이를 가능한 한 쉽게 풀어서 말하자면,

우리가 일반적으로 생각하는 ‘웹’은 모두 다 애플리케이션으로 구성되어 있다. 웹사이트, 모바일 앱 등이 모두 애플리케이션이고, 이를 노리는 웹 공격 또한 애플리케이션의 취약성을 이용한 애플리케이션 공격이 전체 공격의 대부분을 차지한다.

SQL Injection, XSS 등 언론 보도 등을 통해 유명해진 웹 공격도 결국 모두 다 웹사이트의 애플리케이션 취약점을 노린 공격이고, 소위 ‘웹 쉘’이라 불리는 웹 기반 악성코드 또한 PHP 등으로 구성된 웹 애플리케이션이다. 웹 보안 업계에서 유명한 ‘OWASP(The Open Web Application Security Project)’가 선정한 ’10대 웹 취약점’ 또한 모두 다 웹 애플리케이션 공격이다. 즉,

현재 이루어지고 있는 웹 공격의 90% 이상이 웹 애플리케이션을 노린 공격이라고 해도 과언이 아니다. 결국 안전한 웹 보안을 구축하고자 한다면 안전한 웹 애플리케이션 보안 구축이 필연적인 것이다.

웹 애플리케이션 보로를 위해서는 웹 취약점 스캐너, 웹 방화벽, 웹 악성코드 탐지, 시큐어 코딩, 데이터 암호화 등과 같은 방법을 사용한다. 하지만 위험과 그에 대응하는 기술에 대한 계몽 부족으로 인해 보급 상황이 영 시원찮다. 실로 안타까운 일이다.

자 그럼 어디, 각 계층에서 필요한 보안 방법들을 그림으로 그려 보자.

거듭 강조하는 바 웹 애플리케이션 보안은 웹 보안 전체에 있어 가장 중요도가 높은데도 불구하고 정작 애플리케이션 보안에 대한 투자는 네트워크 보안 투자비용의 고작 1/10에 불과하다. 그 까닭은? 아마도 뭘 어떻게 해야 하는지 모르겠다 싶은 난해함 때문 아닌가 싶다. 네트워크 보안은? 비교적 간단하지. 그냥 기계 사다가 랙에 꽂고 “아, 끝났다!” 잊으면 되니까. (물론 네트워크 보안도 그렇게 하면 절대 안 된다,,)

완벽한 웹 보안! 어떤 것들이 필요한가?

기업의 보안 관리자들은 다양한 웹 보안 솔루션을 도입하여 웹 공격에 대비한다. 하지만, 자사에서 구입하고 관리하는 웹 보안 솔루션의 역할이 무엇이고, 그 중에서도 웹 애플리케이션 보안과 연관된 솔루션이 무엇인지 정확히 구분할 수 있는 보안 관리자는 그리 많지 않다.

다시 말해 기본적인 네트워크 보안 솔루션 외 따로 웹 애플리케이션 보안의 적절한 솔루션을 적용하고 운영 중인 기업이 많지 않다는 이야기이다. 그러한 환경은 기업의 전반적인 보안 수준을 낮추고, 나아가 해커들의 잠재적 공격 대상이 될 수 있다.

애플리케이션 구축은 집 짓기에 비유하면 그나마 이해가 쉽겠다. 집을 어떻게 짓느냐에 따라 집이 안전할 수도 불안할 수도 있듯, 애플리케이션을 어떻게 구축하냐에 따라 애플리케이션의 안정성이 결정된다.

애플리케이션 보안은 구축 초기인 개발 단계부터 구축 이후의 유지보수에 이르기까지 모든 단계에 걸쳐 신경을 써야 한다. 하지만, 이를 실천하기 힘든 건 적절한 방법론의 부재도 문제지만, 웹 애플리케이션 보안 자체를 쉽게 이해하기 어렵다는 점 때문이다. 웹 스캐너, 웹 애플리케이션 방화벽 등 용어의 뜻은 대략이나마 알겠는데, 그것들의 정확한 기능이나 동작 위치 등을 쉽게 이해하기는 쉬운 일이 아니다.

이에 웹 애플리케이션 보안과 각각의 솔루션이 동작하는 위치를 집을 짓는 것에 비유하여 보다 쉽게 접근해 보자.

시큐어 코딩, Secure Coding

개발의 전체 단계는 집을 짓는 과정이라고 생각해 보자. 집을 지을 때는 단단한 지반에 튼튼하고 안전한 벽돌로 집을 지어야 한다. 이는 집을 지을 때 가장 기본이 되는 것으로서, 기본이 튼튼해야 보다 안전한 집을 지을 수 있을 것이다.

‘시큐어 코딩’이란 개발 과정에서 개발자의 지식 부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 온갖 취약점을 최소화하기 위해서, 설계 단계부터 보안을 고려하여 코드를 작성하는 제작 방식을 뜻한다.

미국의 정보 기술 연구 및 자문 회사 Gartner사의 조사에 따르면, (Gartner 같은 집단 하나 없는 나라가 ‘IT 강국’을 자처한다는 게 애초에 희극이긴 하다,,), 소프트웨어 배포 이전 상태에서 취약점을 50% 감소시키면 보안 사고 대응 비용이 75% 가량 감소한다고 한다. 애플리케이션 개발에 있어서 빠른 구축기간도 중요한 요소지만, 속도보다는 안전하고 체계적으로 개발하는 것이 더욱 중요하다는 사실을 알 수 있다.

안전하지 않은 개발 환경에다 여타 다른 웹 보안 솔루션을 마구 도입하는 짓은 아랫돌 빼어 윗돌 괴는 것처럼 허무한 임시방편에 불과하다.

웹 스캐너, Web Scanner

집이 완성된 이후에에도 벽돌에 금 간 건 없는지, 집이 기울어진 건 아닌지 확인할 필요가 있다. 보안적으로 설명하자면, 벽돌에 금 가거나 집이 기울어진 것을 체크하는 것과 같이 애플리케이션을 점검하는 ‘웹 스캐너’를 주기적으로 실행할 필요가 있다.

웹 스캐너는 ‘웹 취약점 점검 툴’로도 불리며, 웹 애플리케이션 외부에서 통신을 통하여 잠재적인 취약점이나 설계상의 취약점을 분석하는 프로그램이다. 시중에는 많은 종류의 웹 스캐너가 판매되고 있으며, 비상업적 용도로도 제공되는 다양한 웹 스캐너도 있다. 웹 스캐너의 성능과 동작은 각각 다를 수 있지만, 웹 스캐너의 핵심은 그 효과를 얻기 위해서는 꾸준한 점검을 통해 애플리케이션의 상태를 주기적 그리고 지속적으로 확인해야 한다는 점이다.

웹 서버 악성코드 탐지, Web-based Malware Detection

공사 완료 이후에 집 안에 혹시 비가 새는지 벌레가 숨어 들 구멍은 없는지 점검해야 한다. 애플리케이션 내부를 점검하는 솔루션에는 ‘웹 서버 악성코드 탐지’ 솔루션이 있다.

웹 서버 악성코드(Web-Based Malware)는 웹 쉘(WebShell)이라고도 불리며, 애플리케이션 내부에서 동작하는 악성코드다. 해커는 웹 쉘을 통해 보안 시스템을 우회하여 별도의 인증 없이 시스템에 접속하는 것이 가능하다. 이를 점검하기 위해서는 전문적으로 웹 쉘만 탐지해주는 솔루션을 활용하여 서버 내부에서 탐지해야 한다. 웹 스캐너와 동일하게 웹 서버 악성코드 탐지 솔루션 또한 주기적인 점검과 실행이 필수적이다.

웹 방화벽, Web Application Firewall

이제 애플리케이션이라는 집을 안전한 벽돌로 제작하고 안팎으로 점검했다. 이제 안전한 집인가?

집을 짓고 나면 우리는 예상치 못한 자의 접근으로부터 집을 지키고 미처 발견하지 못한 내부의 위험 요소를 최종적으로 보완하기 위해 울타리나 담을 짓는다. 애플리케이션 보안에 있어 이러한 울타리 역할은 ‘웹 방화벽(Web Application Firewall)’이 맡는다.

웹 방화벽은 웹을 통한 외부의 침입이나 웹 공격을 탐지하고 대응하는 역할을 한다. 특히 웹 보안 취약점을 외부에 노출되지 않도록 보호하고 해당 보호 솔루션들에게까지 공격이 미치기 이전에 외부에서 근본적으로 차단하는 역할까지 수행한다. 또한 웹 서버 악성코드가 웹 서버로 업로드되는 것도 막는다.

최신 웹 방화벽의 경우 광범위하고 다양한 웹 공격을 실시간으로 차단하고, 학습 모드를 통한 룰 적용이 가능한 특징을 지닌다. 이는 웹 방화벽이 일반적인 방화벽과는 달리 웹 애플리케이션에 특화되어 개발되어 있기에 가능한 일이다. 웹 방화벽은 여타 솔루션들과는 달리 서버에 구축 및 적용하는 비용이 들지 않고, 외부에 편리하게 설치할 수 있다.

데이터 보안, Data Security

마지막으로, 집안에 가장 중요한 현금과 통장 등 재산을 어떻게 보호할지의 문제다. 애플리케이션의 입장에서는 개인정보나 카드정보, 계좌정보와 같은 중요 데이터를 그러한 재산으로 볼 수 있다.

일반적인 웹 애플리케이션 환경에서는 데이터베이스를 구축하여 데이터를 보관하고 관리한다. 하지만 데이터를 안전하게 관리하기 위해서는 데이터 보안과 연관된 보안 장치를 도입해 안전하게 데이터를 관리하여야 한다. 일반적으로 데이터를 암호화함으로써 해커가 최종적으로 노리는 데이터를 알아볼 수 없게 만드는 ‘데이터 암호화’ 솔루션을 많이 사용한다.

하지만 암호화만으로 모든 일이 끝나는 건 아니고, 누가 접근할 수 있고 언제 접근했는지 등을 확인하는 접근 제어와 로그 감사에도 많은 주의를 기울어야 한다. 또한 데이터 암호화에 있어서는 암호화된 데이터를 열어 볼 수 있는 데이터 암복호화 키 관리가 매우 중요하기에, 키 관리에도 각별히 주의해야 한다.

시큐어 코딩에서부터 데이터 보안에 이르기까지, 사실 위 전체 과정은 어떤 분야에 한정된 전문가가 담당하기보다는 각 분야 전문가와의 협업이 필수적이다. 즉, 분업이 필요하다. 그리고 개발자부터 사용자까지 각자의 역할을 충분히 발휘해야만 보다 완전한 보안을 이룰 수 있다.

그리고, 위와 같은 시스템을 구축한 것만으로는 안전한 웹 보안은 달성할 수 없다. 각 솔루션 요소의 설명에서도 언급했듯, 지속적인 관리를 통해 보안 상태를 확인하고 보완하는 과정이 필수적으로 동반되어야 한다.

그런데,

“이건, 이제 새로 만드는 웹 서비스에만 해당하는 이야기 아닌가?”

그렇다. 그럼 이미 서비스 중인 현장에서는 뭘 어떻게 해야 하는가? 이어지는,


3편: “실제 현장에서 벌어지는, 실전 웹 보안”

..에서 알아보자.

 

2015-03-09-1425884181-3668170-171-thumb (1)

아이핀 유출사고의 데자뷔, 미워도 다시 한 번

작년 이맘때 ‘소 잃고 엉뚱한 외양간 고친다’는 글을 썼다. 그로부터 1년이 지나고, 똑같은 일이 또 터졌다. 이번엔 무려 “아이핀!” 주민등록번호에 지나치게 의존하는 인증 시스템을 악용한 정보 보안 사고가 속출하자 문제를 해결하기 위해 도입한 신원 확인번호 체계라는 점에서 문제의 심각성이 특히 돋보인다.

그리고 작년 여름에 ‘개인정보 유출사고, 한국이 1등 ‘이란 글도 썼다. 이번 사고로 75만 명의 개인정보가 샜으니 1위 자리는 한동안 타의 추종을 불허할 듯싶네. 이번에도, “무지 부끄러운데도 왠지 좀 자랑스럽기도 하고 아주 복잡미묘한 기분이다.”

사실 이런 이야기는 이제 좀 지겹다만, 왜? 같은 이야기를 자꾸자꾸 하니까,, 그래도 사건의 전모를 살펴보자.

용의자는 아이핀 증명서 발급 및 열람 서비스에 접속해 증명서 발급을 신청했고, 프록시 툴을 이용해 오가는 정보의 매개변수 값 즉 파라미터를 위변조해 통신구간 중간에서 정보를 탈취했다. 이는 어쨌든 정상적인 통신으로 판단하는 시스템, 정확하게는 웹 애플리케이션의 취약점을 악용한 공격이므로 바이러스니 악성코드니 뭐니 하는 문제가 아니니 안티바이러스 즉 소위 ‘백신’ 프로그램으로는 막을 수 없는 공격이다.

간단한 일인데 어째 좀 복잡해 보이니, 그림으로 다시 보자.

일단 웹 서비스에 접속해 용의자 자신의 신원을 인증 받는다. 그리고 정상적으로 아이핀 증명서 발급을 요청한다. 서버가 정상 및 유효 요청으로 판단하고 데이터베이스에서 해당 증명서 발급을 결정하면, 이때 프락시 툴을 이용해 타인의 증명서 번호를 반복해 요청한다. 하지만 서버는 이 요청이 정상적인지 아닌지 이미 끝낸 상태라 별 생각 없이 해당 증명서를 막 발급해버린다.

데자뷔, 좀 허무하다. 작년 초 대형 통신사에서 벌어졌던 개인정보 유출사고와 완전 같은 유형, 그러니 사고 후일담 또한 몇 번째 똑같은 말을 하는 건지,, 그래도 핵심본질을 정리해 보면,

– 웹 애플리케이션 보안의 문제다.
– 범죄가 발각되지 않는 한 설계 원론적으로는 지극히 정상적인 과정이다.
– 따라서 백신 프로그램으로는 막을 수 없다.

문제 해결을 위한 해법 또한 늘 하던 이야기다. 그래도 써 보면,

1) 데이터 접근제어 등 기초적인 보안성 보장하는 시큐어 코딩에 입각해 개발한다.
2) 파라미터의 OTP화 등, 데이터 보안을 통해 공격을 원천적으로 차단한다.
3) 정상적인 웹 브라우저인지, 즉 프락시 툴이 아닌지 판단하는 장치를 사용한다.
4) 파라미터 탬퍼링 공격을 탐지하고 차단하는 웹 방화벽을 적절히 사용한다.

중요도 및 우선순위는 1)에서 4)로 흐르지만 당장 문제를 해결할 수 있는 처방의 즉각성(?)은 4)가 가장 높다. 특히 시큐어 코딩은 정말이지 봄날의 꿈 같은 이야기다. 이에 대해서도 ‘당장 아파 죽겠는데, 그저 건강해지라고?’란 글을 통해 말했던 적이 있다. 역시나, “개발을 잘하라? 물론 잘하고 싶지. 그 말을 ‘개발 환경의 척박함’ 주제와 함께 떠든다는 게 모순일 뿐.”

그간 벌어졌던 각종 정보 보안 사건사고를 종합해 보면 역시나 가장 중요한 정보 보안의 요소는, 근본적으로는 ‘데이터 암호화’, 사고 빈도수에 따른 처방 효과로는 ‘웹 애플리케이션 보안’, 중요도는 높지만 흔히 간과하므로 위험성이 높은 ‘인증 보안’, 이 세 가지라는 추론이 확신 수준으로 굳어진다. 해당 요소들의 중요성에 대해서는 ‘정보보안, 완벽한 방어는 없다’는 주장을 통해 에둘러 이야기했더랬다.

이번 아이핀 사고는 특히 웹 애플리케이션 보안이 중요하다. 그럼 이런 경우 당장 써먹을 수 있는 처방은? 웹 애플리케이션 방화벽을 도입하고 대응 옵션을 적절히 조절하는 일. 이 당연한 일을 왜들 그리 안 하는 건지 난 정말 모르겠다,,

그리고 또 인증 보안. 이번 사건을 통해 우리나라의 개인 신원 확인 절차는 또 어지러워질 것이다. 온갖 성토가 속출하고 대책이 난무할 것이다. 그럼? 절차가 복잡해지는 것이다. 게다가 아이핀 아닌가, 이거 무너지면 이제 뭘로 주민등록번호를 대체하겠다고 나설 작정일지 벌써부터 궁금하다. 그러다 결국 ‘너무 어려워서 인증 받지 못하는 인증’이 되고 만다. 이에 대해 ‘내가 누구인지 말할 수 있는 자는 누구인가’라는 사용자 입장에서의 의문을 던졌던 적도 있다.

자, 보라! 이미 다 했던 이야기들이다! 그러니 사실 상당히 번거로운 일이로구나 싶기도 하다. 그래도 뭐 어쩌랴. 정보 보안 관련해 계몽은 어쩌면 완전히 포기해야만 비로소 이후 대책이 나오는 거 아닐까? 뭐 그런 생각마저 들 지경이라, 오늘 나의 취미는 끝없는 인내요 이 길은 도 닦는 길이로구나, 뭐 그런 생각도 든다.

개인정보 유출사고

개인정보 유출사고, 한국이 1등

미국 보안회사 ‘SafeNet’이 제공하는 ‘개인정보 유출사고 TOP’ 10위 중 한국이 무려 4건을 기록해 3건인 미국을 제치고 1등 했다. 그중에서도 지난 1월에 벌어졌던 신용카드사 개인정보 유출사고는 당당히 1위를 차지했다. 이로써 대한민국은 교통사고 사망률, 자살률, 이혼율, 해외입양, 고급 위스키 소비, 저출산율, 부패인식지수, 학생 공부시간, 공교육 민간부담률, 노인 자살률, 항생제 사용률, 남녀 임금 격차 등에 이어 또 하나의 ‘세계 1위’ 타이틀을 얻게 되었다. 무지 부끄러운데도 왠지 좀 자랑스럽기도 하고 아주 복잡미묘한 기분이다.

출처: www.breachlevelindex.com/#!breach-database

분야 불문, 사고 터지고 나면 늘 터져 나오는 탄식, ‘소 잃고 외양간 고치기’

개인정보 유출사고가 터질 때마다 늘 대책이랍시고 회자되는 몇몇 주장들이 있다. 보안 실무자뿐 아니라 고위직 임원급까지 책임지자, 징벌적 벌금을 때려 경종을 울리자, 근본적인 대책을 마련하자 등등. 열띤 성토는 ‘선진국에선 일을 이딴 식으로 하지 않는다’는 비웃음으로 끝맺는다.

그런데 선진국에선 정말 이딴 식으로 하지 않을까? 사정이 어떤지 알아보기 위해 위 목록에서 아쉬운 2위를 차지한 미국 ‘Target’사의 사고 정황과 뒤처리를 살펴보자.

유통업체인 Target사가 잃은 것은 고객의 신용카드 정보다. 유통업체 특유의 허점인 POS (Point Of Sales) 시스템을 통해 개인정보가 유출되었다. 웹을 통해 유입된 악성코드 감염에 따른 결과였는데, POS 시스템은 웹에 연결되어 있지 않기 때문에 우선 웹 연결이 가능한 회사 내부 시스템 침투를 노렸다. 최초 침투 경로는 하청업체인 냉난방기기 관리회사를 통해 접근한 걸로 추정된다.

침투 후 범인은 내부 서버를 장악하고 이를 통해 배포한 악성코드에 감염된 POS 시스템으로부터 카드 정보를 탈취해 외부 FTP로 전송했다. 러시아에서 만든 것으로 확실시되는 악성코드는 자기 자신을 정상적인 서비스인 것처럼 위장하고 실행되었다. 사고 발생 전 몇 차례 의심 경보가 있었지만 보안 담당자는 이를 무시했다.

여러 정황을 놓고 볼 때 웹 애플리케이션 취약점을 노린 공격으로 보인다. 가장 위험한 침투 경로인 웹 공격의 90% 이상이 웹 애플리케이션을 노리는 공격이므로 사건 규모가 클 뿐이지 아주 특이한 사건은 아니고 하도 흔한 일이라 별로 놀랍지도 않다. 그렇게나 위험한 웹 애플리케이션 보안 조치가 다른 분야에 비해 영 시원찮다는 현실이 훨씬 더 놀랍지.

그럼, 사고 이후 취해진 경영적 조치에 대해 알아보자.

최고정보책임자 CIO가 사고 책임을 지고 사임했다. 그리고 최고정보보안책임자 CISO 제도를 신설했다. 적절한 조치다. 기업 보안은 결국 보안 거버넌스, 즉 리더십 + 조직구조 + 프로세스의 문제니까. 그런데 CISO의 업무 보고 대상이 CEO나 이사회 전체가 아니라 CIO라는 점은 어째 좀 이상하다. 정보 보안의 중요성에 대한 인식 한계 아닌가 싶어 아쉽기도 하다.

CIO에 이어 최고경영자 CEO가 사임했다. 스타인하펠 CEO는 Target사에서 무려 35년 동안이나 재직한 인물이다. 스타인하펠은 브랜드 신뢰도 추락을 걱정해 사고 사실을 공개하지 말라고 말리는 임원진을 무시하고 “Target은 해킹 피해가 아니라 해킹에 어떻게 대처했느냐로 기억될 것”이라며 공개를 결정했다. 마땅한 말이고 또 낭만적이기도 하나 그 결과는 실로 참혹, 매출과 주가는 급락하고 결국 스스로 사임에까지 이르고 말았다.

한창 진행 중인 일이긴 하나 사건 직후 각계 전문가들은 Target사가 벌금만 따져 30억 달러 이상을 물게 되리라고 전망했다. ‘개인정보가 유출되면 회사가 망한다’는 사회적 인식에 따른 징벌적 벌금으로도 해석할 수 있으나 유출된 개인정보의 수가 너무나 많아 이런 놀라운 액수가 나온 것. 건당 액수가 일정한 벌금을 건수에 따라 누적해 총액을 매기는 제도는 시사하는 바가 크다.

벌금뿐 아니다. Target사는 기존 마그네틱 카드를 마이크로프로세서와 메모리를 내장해 위변조가 어렵고 사용할 때마다 고유 암호를 생성해 복제하기가 어려운 IC 칩 카드로 교체하는 데 약 1억 달러, 카드 감시 시스템에 수천만 달러, 브랜드 재건에 수억 달러를 써야 했고, 카드 재발급, 콜센터 인력 충원, 수사 및 데이터 보안 부서 신설, 정부 조사와 개인 소송에 따른 변호사 비용 등으로 천문학적 손실을 감당하며 겨우겨우 버티고 있다. 규모가 작은 회사였다면 진작 망했을 것이다.

그리고, 기술적 조치에 대해 알아보자.

POS 시스템을 통한 유출이었던 까닭에 대책 또한 우선 그 부문에 집중되었다. 카드 검증 방식을 미리 지정된 목록만 통과시키고 나머지는 모두 차단하는 화이트 리스트 방식으로 변경함으로써, 사업적 효율을 포기하고 대신에 안전을 최우선하기로 결정했다. 간단해 보이지만 결코 쉽지 않은 결정이다.

연계된 회사끼리 주고 받는 웹 트래픽의 보안성 검토 수준을 높이고, 문제가 되었던 대외 연계 업체의 서버 접근 가능 범위를 최소화하고 모니터링 정책을 대폭 강화했다. 보안 경고에 대응하는 정책을 강화하고, 모든 보안 관련 로그를 중앙 집중식으로 관리하는 시스템을 도입했다.

관계자 전원의 비밀번호 교체, 비밀번호 외 여타 수단을 동원해 다중으로 신원을 확인하는 2팩터 인증, 비밀번호 최소 길이 확대, 계정별 권한 축소, 공통 계정 금지, 비밀번호 관리 교육 강화 등 임직원 계몽 활동도 한층 강화했다. 다소 뻔해 보이지만 문제의 진짜 핵심에 근접한 적절한 조치들이다.

진짜 핵심은, 가장 자주 공격 받는 그리고 가장 위험한 대외 연계 보안과 웹 애플리케이션 보안. Target사의 사고를 보더라도 겉으로는 POS 시스템 허점이 크게 부각되었지만 실상을 살펴보면 대외 연계 보안과 웹 애플리케이션 보안이 문제의 근원이었다. 웹을 통해 소비자와 소통하고 웹을 통해 협력사와 소통하는 웹 시대의 보안, 가장 집중해야 할 두 분야라 할 수 있다.

Target사의 경우와 한국의 유사 사례를 비교해 보면 비슷한 점과 다른 점이 한데 막 섞여 뭐가 어떻게 다른지 딱 잘라 말하기 애매하지만, 이것 하나만큼은 확실히 다르구나 싶다. 선진국,

그들은 어쨌든 논리적이고 합리적으로 행동하는 것 같다. 좀, 아니 상당히 부럽다.

 

네트워크7계층구조도

차세대 방화벽은 웹방화벽이 아니다

‘차세대 방화벽’, ‘차세대 IPS’ 등 소위 ‘NG (Next Generation)’ 장비들이 보안 마케팅 판을 흔들고 있다. 그내막과 실상을 알기 위해 우선 홍보 문구를 살펴보자.

기존 방화벽으로는 한계가 있다? 옳은 말이다. 지금 벌어지는 현실적 보안 위협에 대비해야 한다? 역시 옳은 말이다. 그러기 위해 차세대 네트워크 보안 장비를 사용해 완벽한 보안을 이루어야 한다? 이건 글쎄다. ‘완벽한 보안’이란 말을 함부로 내뱉는 사람의 말은 일단 의심해 보는 것이 좋다.

NG 장비의 DPI (Deep Packet Inspection) 등 진일보한 기능을 통해 콘텐츠 레벨까지 검사가 가능하다? 이건 과장으로 보인다. 완전히 사실이 아니라고 단정할 수는 없겠으나 소비자의 심각한 오해를 불러일으킬 위험성이 있다.

기존 방화벽으로는 한계가 있다. 사실이다. 기존 방화벽은 패킷 페이로드 전체를 검사하지 않고 특정 포트 사용 여부만으로 트래픽의 적절성을 판단해 차단 또는 통과를 결정한다. 따라서 최소한의 조건만 충족하면 무사 통과되기 때문에 해당 트래픽이 진짜로 위험한지 아닌지는 알아낼 수 없다. 하지만 아직도 방화벽만으로 버티는 곳이 적지 않으니 매우 심각한 문제다. 대책이 절실하다.

지금 벌어지는 현실적 보안 위협이라면, 웹 보안 위협이 가장 크고 또 가장 위험하다. 웹 서비스의 폭발적 증가에 따라 웹 애플리케이션 콘텐츠가 주요 공격 지점이 되었다. 이는 주로 개방형 포트를 사용하므로 방화벽은 있으나 마나다. 패킷 상태만 보고 판단하면 전혀 문제가 없어 보이기 때문에 기존 방화벽 및 네트워크 보안 장비로는 막을 수 없다. 그래서 대안으로 제시된 것이 패킷 검사를 보다 강화한 이른바 ‘차세대’ 네트워크 보안 장비들이다.

■차세대 네트워크 보안 장비 = 진보한 L4 보안 장비

차세대 장비 제조사들이 제시하는 자료를 보면 매우 현란하다. 패킷 수준을 초월해 애플리케이션 수준의 검사를 거쳐 침입을 차단하는 등, 기존 방화벽의 기술적 한계를 뛰어넘고 지능까지 더한 보안 만병통치약처럼 보이기도 한다. 다른 보안 장치 따위 필요 없이 딱 이거 하나면 모든 문제가 해결될 것 같다. 하지만 내용을 자세히 들여다보면 묘한 과장이 있다.


▲ 네트워크 7계층 구조도

일정한 전기 신호의 흐름인 네트워크는 논리적으로 7개 계층으로 이루어진다. 개중 정보 보안 기술에 있어 가장 중요한 레이어는 주고 받은 패킷 신호를 데이터 형태로 서로 변환하는 4계층 인’Transport’ 레이어, 그리고 사용자로부터 데이터를 입력 받고 또 출력함으로써 응용 서비스를 수행하는 7계층 ‘Application’ 레이어다.

차세대든 구세대든, 방화벽과 IPS는 네트워크 레이어 중 4계층 ‘Transport’ 레이어에 해당하는 장비다. 따라서 원론적으로 해당 레이어의 역할 한계에 갇혀 있다. 요즘 한창 뜨거운 화제인 차세대 NG 장비들은 기존 장비에 추가로 콘텐츠 인지 기능을 일부 추가함으로써 트래픽 내용에 대해 일정 수준의 가시성을 확보한 물건이다. 기존 장비들에 비해서는 한층 나아졌다고 볼 수 있고 기능적 한계를 일정 부분 극복했다고 후하게 평가할 수 있다. 하지만 애초에 4계층이라는 구조적 한계에 머물러 있다는 것 또한 사실이다.

결국 그 콘텐츠 인지라 함은 일부 트래픽에 대하여 제한적으로 시그니처 목록에 따른 단순 검사를 한다는 뜻에 불과하다. 시그니처 검사란 일종의 약속대련이다. 미리 합을 맞추고 그대로 동작한다. 합에서 벗어난 공격은 방어할 수 없다. 물론 검사 대상의 수와 시그니처 수를 무작정 늘이면 탐지 및 차단 효과가 높아지는 건 사실이다. 하지만 그렇게 되면 그만큼 시스템 성능에 매우 나쁜 영향을 미치게 되므로 비효율적이다.

■최근 보안 위협 = L7 웹 애플리케이션 위협

최근 보안 위협은 웹 애플리케이션 영역에 집중해 발생하고 있다. 위에 언급한 네트워크 구조도 상 7계층 인 애플리케이션 레이어에 해당하고, 따라서 웹 프로토콜 및 웹 언어 전용 탐지 엔진을 통해서만 차단할 수 있는 위협들이다. 정책 자동 학습, 탐지된 위협에 즉시 대응하는 가상 패치, 자동화 봇과 실제 사용자를 구분하는 안티-오토메이션, 사용자 세션 모니터링을 통한 비즈니스 보호 등 웹 애플리케이션 보안의 고유 기능의 중요도가 점차 높아지고 있다는 뜻이다.

웹 애플리케이션 보안 기능은 7계층 보안에 특화된 ‘웹 애플리케이션 방화벽, 웹방화벽(WAF)’의 역할이다. NG 장비들이 위 기능의 일부를 제한된 범위 내에서 어느 정도 소화해 낸다고는 하나 기존 IPS와 FW에 비교해 그렇다는 말일 뿐, 애초에 웹 애플리케이션 레벨에 특화되어 개발된 WAF에 비할 바는 아니다. 예컨대 최근 보안 사고의 대다수는 보안성을 고려하지 않고 부실하게 설계된 웹 애플리케이션의 허점 때문에 발생하는데, 이를 막을 수 있는 것 또한 웹 언어 탐지가 가능한 WAF뿐이다.

시장 분석 업체 가트너가 최근 발표한 ‘WAF와 NGFW & IPS 비교’ 보고서를 살펴보자. NG 장비들과 WAF는 서로 담당하는 바 역할이 다르고, 그 전문성은 4계층과 7계층 등 네트워크 레이어의 기술적 차이를 그대로 따른다는 사실을 항목별 비교를 통해 확인할 수 있다. NG 장비와 WAF는 각각 L4와 L7을 감당한다. 애초에 존재 영역이 다른 것이다.


▲ 가트너, ‘WAF와 NGFW

■완벽한 보안 = L4, L7 각 영역에서의 최선의 방어

새삼스런 말이지만 WAF 또한 정보 보안의 만병통치약은 아니다. WAF의 L4 수준 보안 능력은 위 표를 보면 알 수 있듯 그다지 높지 않다. 완벽한 보안을 위해서는 모든 레이어에 각각 최선의 보안 조치를 취해야 한다.

물론 전체 보안성에 있어 각 영역의 중요도 위상차는 존재한다. 최근 보안 위협 추세에 따라 L7 웹 애플리케이션 보안의 중요도가 압도적으로 높기 때문에 WAF의 중요도가 여타 장비들에 비해 더 높은 것일 뿐, 오직 WAF만이 완벽한 보안을 이룰 수 있는 만병통치라는 뜻은 아니다.

대부분의 정보 보안 실패 사고는 ‘완벽한 보안’에 대한 환상과 ‘만병통치 장비’에 대한 과장 그리고 그에따른 오해에 기인한다. 그러한 위험으로부터 벗어나 진짜 완벽한 보안을 이루기 위해서는 안전한 IT 시스템에 대한 총체적이고 원론적인 이해로부터 출발해야 한다. 느리고 답답해 보이겠지만, 그것이 보안의 왕도다. 정보 보안, 만병통치약은 없다. 이 복잡하고 난해한 세상, 그렇게 쉽고 간단하게 탁 해결되는 문제가 어디 있던가.

 

애플리케이션 보안

[웹 보안의 정석 2편] 웹 애플리케이션 보안을 강조하는 이유

지난 글 “사이버 공격, 웹 보안이 핵심” 을 통하여 웹 보안의 중요성과 웹 위협의 유형을 살펴보았다.

한국인터넷진흥원 자료에 의하면 전체 해킹 시도 중 전체 70% 이상이 웹을 통해 이루어지고 있는 만큼 이제 웹 보안은 선택이 아닌 필수가 되었다.

하지만 웹 보안은 전문가라 하여도 안전한 웹 보안을 보장하기 어렵다. 웹 보안의 경우, 현재 표준화된 보안 대책이 없으며 기업마다 제각각 보안을 구축하고 있기 때문이다.

안전한 웹 보안을 위해서는 기업의 보안 담당자가 웹 보안에 대하여 충분한 이해하고, 자사의 IT 시스템에 맞는 웹 보안을 구축해야 한다. 이를 위하여 대부분의 기업들은 웹 보안 솔루션을 도입하고 있지만, 웹 보안을 이해하고 적재적소에 웹 보안 솔루션을 설치 및 운영하는 곳은 많지 않다.

이번 연재에서는 웹 보안을 쉽게 이해할 수 있도록 전반적인 IT 시스템의 구조를 살펴보고, 웹 보안이 이 IT 시스템에 어떻게 적용되는가를 살펴보는 시간을 갖고자 한다. IT 시스템에 대한 이해, 그리고 이에 맞는 웹 보안의 개요를 살펴보도록 하자.

클라이언트-서버 구조에 대한 이해

123

우리는 일반적으로 데스크탑 PC나 노트북, 모바일 기기를 통해 웹을 사용한다. 이걸 IT 용어로 보자면, 웹에 접속하기 위해 사용하는 PC나 노트북, 모바일 기기는 ‘클라이언트’, 웹사이트나 모바일앱 화면과 같은 웹 컨테츠를 저장하고 있다가 클라이언트가 접속을 하면 그 컨테츠를 보여주는 시스템을 ‘서버’ 라고 한다.(IT 시스템에서 서버가 전부 웹서버는 아니지만, 여기에서는 웹 보안을 논하는 자리이니 웹서버를 예로 들겠다.) 또 클라이언트와 웹서버를 연결해주는 연결망이 바로 ‘웹’이다.

보안의 관점에서 보자면, 일반적으로 클라이언트 보안은 개개인 시스템의 안전과 관련이 있고, 서버 보안은 기업 시스템의 안전과 관련이 있다. 물론 기업 내부에 있는 클라이언트 보안도 있을 수는 있겠지만, 여기에서는 기업내 웹보안의 핵심이 되는 서버 보안에 대해 살펴보려고 한다.

기업의 서버 시스템 구조

124

기업내 서버 시스템 구조를 이해하기 위해, IT 시스템 구조를 먼저 살펴보자.

위 그림에서 볼 수 있듯이, IT 시스템은 크게 네트워크, 시스템, 애플리케이션 이렇게 3개의 계층으로 구성되어 있다. OSI 7 계층, TCP/IP 계층과 같은 여러 가지IT 시스템 모델이 있지만, 이러한 계층적 분류에서 가장 공통적인 구조는 네트워크, 시스템, 애플리케이션 3가지 계층이다. 이 3계층은 서로 상호작용을 통하여 IT 시스템을 구축하고 있다.

네트워트 계층은 데이터의 송수신과 관련된 통신을 담당하는 역할을 하고, 시스템 계층은 우리가 흔히 알고있는 윈도우즈, 리눅스와 같은 운영 체제(O/S)가 하는 역할처럼 여러 애플리케이션이 동작할 수 있는 플랫폼 역할을 한다. 애플리케이션은 이 시스템 계층 위에서 여러가지 기능을 가지고 동작하는 프로토콜(HTTP, FTP등) 및 응용 서비스를 제공하는 역할은 한다.

서버의 시스템 구조도 이 IT 시스템 구조를 기본적으로 따르고 있기 때문에, 결국 안전한 서버 보안이란 이 IT 시스템의 세가지 계층의 보안, 즉 네트워크 보안, 시스템 보안, 애플리케이션 보안이 모두 안전하게 구축된 것을 의미한다.

웹 보안의 핵심 = 애플리케이션 보안

125

그럼 이해를 좀더 돕기 위해 이론적인 얘기에서 현실로 돌아가 웹보안과 관련된 IT 시스템의 각 계층별 보안이 실제로 어떻게 구축 되는지 살펴보자.

네트워크 보안을 위해서는 안전하지 않은 IP나 Port에 대한 접근 제어가 필요하고, 허용한 IP나 PORT로 들어온 트래픽에 대해서도 유해성 여부를 체크할 필요가 있다. 이를 위해 대부분의 기업은 방화벽(Firewall)과 침입탐지/방지시스템(IDS/IPS)를 구축한다. 하지만 방화벽의 경우 허용된 IP 나 Port 로부터의 공격은 막을 수 없고, 또 IDS/IPS에서 이루어지는 네트워크 계층에서의 유해성 검사는 애플리케이션 계층에 대한 이해가 없이 이루어지기에 애플리케이션 취약성을 노린 공격에 대해서는 방어가 불가능하다는 한계가 있다.

시스템 보안은 대부분 O/S 와 연관된 항목이 많다. Windows, Linux, Unix 등의 O/S에 대한 개발 및 제공을 담당하는 제조업체들은 자사의 시스템에 대한 주기적인 보안 업데이트 및 패치를 통하여 알려진 웹 위협에 대하여 대비하고 있다. 기업의 보안 담당자는 보안 업데이트 및 패치뿐만 아니라, 주기적으로 시스템 악성코드 점검을 통하여 시스템을 항상 안전한 상태로 유지해야 한다. 이를 위해 기업들은 주로 안티 바이러스 솔루션을 구축한다.

여기까지의 네트워크 및 시스템 보안에 대한 설명을 보고 느꼈겠지만, 대부분의 기업이 네트워크나 시스템 보안에 대해서는 이해를 하고 있고 이에 따른 보안을 구축하려고 노력한다. 하지만 애플리케이션 보안으로 들어가보면 상황은 그렇지 않다. 애플리케이션 계층은 네트워크 계층이나 시스템 계층에 비해 다양화 되어 있고, 애플리케이션의 종류도 많기 때문에, 대부분의 보안 관리자들이 보안을 적용함에 있어 많은 어려움을 겪는다. 이는 웹보안을 구축함에 있어서도 마찬가지이다. 하지만 아이러니하게도, 웹보안에 있어 그 중요도가 가장 높은 것은 애플리케이션 보안이다.

우리가 일반적으로 이용하는 웹은 모두 애플리케이션으로 구성이 되어 있다. 웹사이트, 모바일앱 등은 모두 애플리케이션으로 구성이 되어 있고, 이를 타겟으로 공격하는 웹 공격 또한 애플리케이션의 취약성을 이용한 애플리케이션 공격이 대부분이다. SQL Injection, XSS과 같은 유명한 웹 공격도 결국 모두 웹 애플리케이션인 웹사이트의 취약성을 노린 공격이고, 웹쉘이라고도 불리는 웹 기반 악성코드 또한 php등으로 구성된 웹 애플리케이션이다. 웹보안 업계에서 유명한 OWASP(The Open Web Application Security Project)에서 선정한 Top 10 웹취약점 또한 모두 웹 애플리케이션 공격이다. 즉, 현재 이루어지고 있는 웹공격의 90% 이상은 모두 웹 애플리케이션을 노린 공격이라고 해도 과언이 아니다. 결국 안전한 웹보안을 구축하고자 한다면 안전한 웹 애플리케이션 보안 구축이 필연적이다.

웹보안에 있어 가장 중요도가 높은 애플리케이션 보안임에도 정작 그 애플리케이션 보안은 어떻게 보안을 구축해야 하는지에 대한 어려움 때문에 적절한 보안이 이루어지지 않고 있다.

다음 글에서는 이러한 어려움을 해결해주기 위해 애플리케이션 보안을 집중 분석하여, 안전한 웹 애플리케이션 보안을 구축하려면 어떻게 해야 하는지, 살펴보고자 한다.

profile

웹 애플리케이션 보안을 강조하는 이유 ( ZDNet Korea 2013. 11. 12 )

웹 애플리케이션 보안을 강조하는 이유

 

 

지난 10 8일 지디넷코리아에 기고한 글, ‘사이버 공격, 웹 보안이 핵심을 통해 웹 보안의 중요성과 웹 위협의 유형을 살펴보았다.

 

한국인터넷진흥원 자료에 의하면전체 해킹 시도 중 전체 70% 이상이 웹을 통해 이루어지고 있는 만큼 이제 웹 보안은 선택이 아닌필수가 됐다.

 

하지만 웹 보안은 전문가라고해도 안전을 보장하기 어렵다. 웹 보안의 경우,현재 표준화된보안대책이 없으며 기업마다 제각각 보안을 구축하고 있기 때문이다.

 

안전한 웹 보안을 위해서는기업 보안 담당자가 웹 보안에 대해 충분한 이해하고, 자사 IT 시스템에맞는 웹 보안을 구축해야 한다. 이를 위해 기업들은 대부분 웹 보안 솔루션을 도입하고 있지만, 웹 보안을 이해하고 적재적소에 웹 보안 솔루션을 설치 및 운영하는 곳은 많지 않다.

 

이번 글에서는 웹 보안을 쉽게이해할 수 있도록 전반적인 IT 시스템 구조를 살펴보고, 웹보안이 IT 시스템에 어떻게 적용되는가를 설명해 보고자 한다. 우선 IT 시스템에 대한 이해, 그리고 이에 맞는 웹보안의 개요을 살펴보자.

 

클라이언트서버 구조에 대한 이해

 

우리는 일반적으로 데스크톱 PC나 노트북, 모바일 기기를 통해 웹을 사용한다. 이걸 IT 용어로 보자면, 웹에접속하기 위해 사용하는 PC나 노트북, 모바일 기기는클라이언트‘, 웹사이트나 모바일앱 화면과 같은 웹 콘테츠를 저장하고있다가 클라이언트가 접속하면 콘텐츠를 보여주는 시스템을서버라고한다.(IT 시스템에서 서버가 전부 웹서버는 아니지만, 여기에서는웹보안을 논하는 자리이니 웹서버를 예로 들겠다.)

 

또 클라이언트와 웹서버를 연결해주는연결망이 바로이다.

 

보안 관점에서 보면, 일반적으로 클라이언트 보안은 개별 시스템의 안전과 관련있고, 서버보안은 기업 시스템 안전과 관련이 있다. 물론 기업 내부에 있는 클라이언트 보안도 있을 수는 있겠지만, 이번 글에서는 기업내 웹보안의 핵심이 되는 서버 보안에 대해 살펴본다.

 

기업 서버시스템 구조

 

기업 내 서버 시스템 구조를이해하기 위해, IT 시스템 구조를 먼저 살펴보자.

 

위 그림에서 보듯, IT 시스템은 크게 네트워크, 시스템, 애플리케이션 이렇게 3개 계층으로 구성되어 있다. OSI 7 계층, TCP/IP 계층과 같은 여러 IT 시스템 모델이 있지만, 이러한 계층적 분류에서 가장 공통적인구조는 네트워크, 시스템, 애플리케이션 3가지 계층이다. 3계층은서로 상호작용을 통해 IT 시스템을 구성한다.

 

네트워크 계층은 데이터 송수신과관련된 통신을 담당하는 역할을 하고, 시스템 계층은 우리가 흔히 알고있는 윈도,리눅스와 같은 운영체제(OS)가 하는 역할처럼 여러 애플리케이션이동작할 수 있는 플랫폼 역할을 한다. 애플리케이션은 이 시스템 계층 위에서 여러 기능을 갖고 동작하는프로토콜(HTTP, FTP) 및 응용 서비스를 제공한다.

 

서버 시스템 구조도 이 IT 시스템 구조를 기본적으로 따른다. 결국 안전한 서버 보안이란 IT 시스템에서 세가지 계층의 보안, 즉 네트워크 보안, 시스템 보안, 애플리케이션 보안이 모두 안전하게 구축된 것을 의미한다.

 

웹보안의 핵심 = 애플리케이션 보안


 

이해를 좀더 돕기 위해 이론적인얘기에서 현실로 돌아가 웹보안과 관련된 IT 시스템의 각 계층별 보안이 실제로 어떻게 구축되는지 살펴보자.

 

네트워크 보안을 위해서는 안전하지않은 IP나 포트(Port)에 대한 접근 제어가 필요하고, 허용한 IP나 포트로 들어온 트래픽에 대해서도 유해성 여부를 체크할필요가 있다. 이를 위해 대부분의 기업은 방화벽(Firewall)과침입탐지/방지시스템(IDS/IPS)를 구축한다.

 

하지만 방화벽의 경우 허용된 IP나 포트로부터의 공격은 막을 수 없고, IDS/IPS에서 진행되는 네트워크 계층에서의 유해성 검사는 애플리케이션 계층에 대한 이해가 없이 이뤄져, 애플리케이션 취약성을 노린 공격에 대해서는 방어가 불가능하다는 한계가 있다.

 

시스템 보안은 대부분 OS 와 연관된 항목이 많다. 윈도,리눅스, 유닉스 등 OS에 대한 개발 및 제공을담당하는 제조업체들은 자사 시스템에 대한 주기적인 보안 업데이트 및 패치를 통해 알려진 웹 위협에 대비하고 있다.

 

기업 보안 담당자는 보안 업데이트및 패치 뿐만 아니라, 주기적으로 시스템 악성코드 점검을 통해 시스템을 항상 안전한 상태로 유지해야한다. 이를 위해 기업들은 주로 안티 바이러스 솔루션을 구축한다.

 

이번 글에서 네트워크 및 시스템보안에 대한 설명을 보고 느꼈겠지만, 대부분의 기업이 네트워크나 시스템 보안은 이해하고 있고 이에 따른보안을 구축하려고 노력한다. 하지만 애플리케이션 보안에 대해서는 그렇지 않다.

 

애플리케이션은 네트워크나 시스템계층에 비해 다양화되어 있고, 애플리케이션 종류도 많기 때문에, 대부분의보안 관리자들이 보안을 적용함에 있어 많은 어려움을 겪는다. 웹보안을 구축할 때도 마찬가지다.

 

웹보안에 있어 그 중요도가가장 높은 것은 애플리케이션 보안이다. 우리가 일반적으로 이용하는 웹은 모두 애플리케이션으로 구성되어있다. 웹사이트, 모바일 앱 등은 모두 애플리케이션으로 이뤄져있고, 이를 타겟으로 공격하는 웹 공격 또한 애플리케이션 취약성을 이용한 공격이 대부분이다.

 

SQL 인젝션(Injection), XSS과 같은 유명 웹 공격도결국 모두 웹 애플리케이션인 웹사이트의 취약성을 노린 공격이다. 웹쉘이라고도 불리는 웹 기반 악성코드또한 php등으로 구성된 웹 애플리케이션이다.

 

<<기사 원문 보기>>

profile

Market Insight | 웹 방화벽 ( CIOCSISO 6월호 )

지속적인 패치,관리 요구로 업그레이드

 

BYOD 이슈로 기업 비즈니스에 필요한 애플리케이션 설치가 늘어나면서 웹 보안 취약성 역시 대두되고 있다. 최근 들어 웹 보안이 더욱 부각되는 이유는 외부에서 웹을 통한 홈페이지 위·변조및 개인정보 유출에대한 보안대책으로의 필요성이 증가하고 있기 때문이다. 특히 기업 DB서버에 저장된 민감한 정보에 접근하는 웹 기반 애플리케이션을 노리는 공격들이 진화하면서, 웹 서버 해킹 등 다양한 기술을 통해 기업 데이터 유출과 네트워크 마비와 같은 보안 위협을 가하고 있다. 이에 따라 각 주요 산업군에서는 웹 방화벽 설치에 대한 필요성을 느끼며 도입 추세 또한 꾸준히 증가하고 있다. 웹 방화벽 시장 흐름과 관련 업체에 대해 살펴봤다.

 

웹 방화벽, APT솔루션과 협업 가능

 

웹 방화벽 시장은 초기에 공공시장에서도입된 이후 금융, 게임, 포탈 등 전 산업분야로 확대되고있다. 또한 최근 클라우드 환경 내 보안 취약점 보완을 위한 방안으로 웹 방화벽을 도입하는 추세로, 소호기업이나 호스팅 관련 업체 등에서도 웹 방화벽 솔루션을 관심 있게 지켜보고 있다.

지난해 웹 방화벽 시장은 약 529억 원 규모였으며 이는 전년대비 6.7% 증가한 수치다. 올해 역시 8~9%대의 성장률을 보이고 있으며 시장 매출액은 약 575억 원에달할 것으로 업계 전문가들은 내다보고 있다. 웹 방화벽중요성에대한 사용자 인식은 재작년 개인정보보호법이 발효된 이후 내부정보 유출 방지에 초점을 두며 확대되기 시작했으며 지난 3.20사태 역시 웹 방화벽 수요 상승을 돕고 있다. 3.20사태에서대표적으로 확인되는 것은 SQL(Structured Query Language)인젝션을 통한 공격으로, 과거 웹 보안에 상대적으로 관심이 적었던 금융권 및 언론사의 웹 방화벽 구축 필요성 역시 증가할 것으로 예상된다….

 

<기사 전문내용 PDF 보기>

Download

 

profile

웹 애플리케이션 보안 “발등의 불”

웹 애플리케이션 보안 ‘발등의 불’

 

공공기관의 주민등록번호 유출, 중국발 해킹 등을 통해 웹 애플리케이션 보안 문제가 더욱 관심을 받고 있다. 이를 해결하기 위해 출시된 제품들도 다양하며 업체들의 시장 선점을 위한 몸부림 또한 치열하다. 현 IT환경에서 웹을 통하지 않고는 업무가 진행되지 않는 기업들은 웹 애플리케이션 보안을 고민하고 있으나, 웹 애플리케이션 보안에 관련한 표준이 정확히 세워지지 않은 만큼 고객들의 환경에 맞는 적절하고도 까다로운 선택이 필요하다. 펜타시큐리티의 제품기획팀 이충우 팀장은 “대부분의 웹 애플리케이션 보안 솔루션을 도입하는 기업 고객들은 불특정다수로부터의 공격을 막는 용도로 많이 사용하고 있다.”고 전했다.

 

2007년2월 5일 eWEEK,

P30~P34 – <핫이슈> 웹 애플리케이션 보안 “발등의 불”에 게재

profile

펜타시큐리티,웹 공격 방어를 위한 최고의 솔루션 “WAPPLES(와플)”

펜타시큐리티, 웹 공격 방어를 위한 최고의 솔루션 “WAPPLES(와플)”

WAPPLES(이하 와플)은 능동형 웹 보안 게이트웨이로, 웹 서버와 웹 애플리케이션에 대한 공격은 물론 개인정보 유출까지도 차단하는 하드웨어 일체형 보안장비이다. 펜타시큐리티는 지난 2005년 5월에 표준 모델인 와플 100과 고속 네트워크를 지원하는 와플 1000을 자체 개발 및 출시하고, 지난해 8월에는 EAL4 등급의 CC 평가 계약을 체결했다.

애플리케이션 로직 분석을 통한 웹에 특화된 공격 탐지 기술로 뛰어난 보안성을 갖추고 있는 ´와플´ 은 IPS 뿐만 아니라, 다른 웹 방화벽 제품에 비해 월등한 탐지 능력을 보여준다. 또한, 전용 하드웨어 및 OS 사용으로 기가비트의 네트워크 환경에서도 웹 서버의 대수에 상관없이 지원 가능하며, 모듈식 구성을 통해 다양한 네트워크 환경에 적용이 용이하다. 전용 SSL 가속기를 탑재할 경우 HTTPS 트래픽에 대해서도 성능 저하 없이 보안성을 제공할 수 있다고 한다.

와플은 안정성의 측면에서도 매우 높게 평가 받고 있다. 소프트웨어 또는 하드웨어의 장애 발생 시에도 바이패스 모드로 자동 전환되어 안정적이고 지속적인 서비스가 가능하다. 전원 공급이 차단되어도 정상적인 통신이 가능하며, 자체 Watch dog(감시) 기능 및 감사 기능을 통해 스스로 상태를 모니터링하여 자동으로 장애대응을 수행한다.

또한, 사용자는 설정마법사를 통해 직관적인 설정을 할 수 있다. 침입 통계와 웹 트래픽, 히트수에 대한 2D/3D 차트를 통해 다양한 정보를 시각화할 수 있고, 도킹 기능을 이용한 화면 재배치를 이용하여 자유롭고 유연한 화면 구성이 가능하다.

지난해 국내 공공분야를 중심으로 약 50여개 사이트에 와플을 공급한 실적을 거둔 펜타시큐리 이석우사장은 “작년의 실적을 기반으로 점차 다양한 사업 군으로 공급을 확대해 나갈 계획이다. 이를 위해서 협력 사와의 유대를 적극 강화해 나감과 동시에 빠른 시일 내에 인증을 획득하도록 할 것이다. 또한 전략적인 마케팅 및 영업활동을 통해서 올해 100여 개 사이트 이상을 확보해 나가는데 주력해 나가고 일본시장을 중심으로 한 해외시장 진출을 가시화 해 나갈 계획이다.”라고 밝혔다.

2007년 1월 17일 디지털타임즈 15면 -“특집-2007 e정보보호 솔루션 뜬다.”에 게재

profile

펜타시큐리티, 웹 애플리케이션 보안 솔루션 WAPPLES(와플) 대신정보통신과 총판계약 체결

<사진설명: 왼쪽부터 대신정보통신 이재원대표, 펜타시큐리티 이석우대표>

2006년 2월 27일

정보보안 솔루션 업체인 펜타시큐리티시스템㈜(www.pentasecurity.com 대표 이석우/李錫雨)는 대신정보통신(www.dsic.co.kr 대표 이재원/ 李宰源)과 웹 애플리케이션 보안 솔루션인 WAPPLESECURITY Gateway(와플-이하 WAPPLES)에 대한 총판 계약을 체결했다고 밝혔다.

이번 계약으로 펜타시큐리티는 대신정보통신을 통해 전국적인 판매망을 확보하고, 본격적인 웹 애플리케이션 시장의 공략에 나설 채비를 갖추게 된 것이다.

대신정보통신은 기존 방화벽사업에 펜타시큐리티의 웹 애플리케이션 보안 솔루션인 WAPPLES(와플)에 대한 총판권을 갖게 됨으로써 사업의 다각화뿐만 아니라 추가 이익모델을 확보할 수 있게 되었다.

대신정보통신 이재원 대표는 “별도의 보안사업팀을 구성하고, 보안전문 엔지니어와 많은 레퍼런스 사이트를 보유하고 있다. 특히, 우리 회사가 보유하고 있는 전국적인 리셀러 망은 고객의 니드(Needs)를 정확히 파악하고 벤더를 통해 빠른 대응 안을 제공할 수 있다는 최적의 조건을 갖추고 있다”고 말하고, 이번 WAPPLES(와플) 총판 계약을 통해 보안사업분야에 보다 적극적인 영업활동을 펼쳐 나가는 계기가 될 것이라고 밝혔다.

한편, 펜타시큐리티는 총판업체들에 대한 기술 역량을 강화하기 위해 교육 및 고객 초청 세미나 등을 적극적을 실시해 대고객 서비스의 퀄리티를 향상시켜 나간다는 기본 방침을 수립하고 적극적으로 실행해 나갈 계획이라고 한다.

특히, 하반기부터 실시될 고객 초청 세미나는 각 지역 및 산업분야별로 세분화해 보안시장을 전략적으로 공략해 나갈 것이다. 이를 통해서 웹 애플리케이션 통합 보안에 대한 필요성을 인지시키고, 레퍼런스 사이트의 구축사례 데모를 통해 제품의 기술력과 안정성에 대해서 적극 홍보할 계획이라고 밝혔다.

펜타시큐리티 이석우 사장은 “펜타시큐리티가 역량 있는 대신정보통신과 WAPPLES(와플)의 총판 계약을 맺음으로써 고객들에게 우수한 기술과 제품은 물론 양질의 서비스를 제공할 수 있게 되었다.”고 말했다.

현재, WAPPLES(와플)은 공공시장을 중심으로 금융권, 교육기관, 일반 대기업 등에 고객사를 확보하고 있으며, 기타 다수의 데모 사이트에서 실제로 시스템이 적용되어 테스트가 진행되고 있다.