웹이 최악의 보안홀로 지목되면서 웹방화벽이 재조명되고 있다. 차세대로 전환하는 웹방화벽은 지능형 공격 방어, HTML5/HTTP 2.0의 새로운 기능 지원, 성능 저하 없는 웹 서비스 보장, 관리 편의성 제고 등의 다양한 기술을 요구하고 있다. 또한 클라우드 보안 서비스(SECaaS)로도 제공돼 온프레미스/퍼블릭·프라이빗 클라우드/하이브리드 환경에서 웹 서비스를 보호할 수 있는 전략이 모색된다.<편집자>
인터넷에서 가장 많이 사용하는 애플리케이션이 웹이다. 최근 BYOD가 확산되면서 다양한 모바일 기기에서 업무를 수행하기 위해 모바일 앱이 다양하게 발전하고 있지만, 모바일 앱도 결국은 웹(모바일 웹)을 통해 연결된다.
한국정보화진흥원은 PC 브라우저의 웹 기술이 스마트기기, 응용프로그램, OS까지 사용되고 있다고 설명하며 ‘에브리웨어 웹(Everywhere Web)’을 주목해야 할 기술로 선정한 바 있다. 웹은 다양한 플랫폼과 디바이스에서 사용자 경험(UX)을 유지할 수 있게 해 줄 수 있어 스마트TV 등 스마트 가전 및 스마트홈, 스마트 팩토리 등 다양한 IoT로 적용 범위를 확대해나가고 있다.
F5네트웍스의 조사에 따르면 인터넷 사용자의 69%가 웹 애플리케이션을 사용하는 것으로 나타났으며, 2020년에는 업무의 71%가 웹 또는 모바일 앱/웹으로 수행될 것으로 예상된다.
웹이 일상적으로 사용되면서 웹을 통한 공격도 늘어나고 있다. 웹페이지나 광고의 취약점을 이용해 방문자를 감염시키거나 웹서버로 침투해 중요정보를 탈취하고, 웹서버와 연결된 DB서버 등 중요한 시스템으로 이동해 정보를 탈취하는 공격도 일어난다.
버라이즌의 ‘2016년 데이터 유출 조사 보고서(DBIR)’에 따르면 데이터 유출 사고 중 웹 애플리케이션 공격으로 인해 발생한 것이 가장 많았으며, 웹 애플리케이션 공격은 매년 4배 이상 증가하는 것으로 나타났다.
화이트햇시큐리티가 2015년 발표한 보고서에서는 86%의 웹사이트에 1가지 이상의 매우 심각한 취약점이 존재하며, 웹사이트에서 발견된 평균 취약점 개수가 56개에 이르는 것으로 나타난다. F5네트웍스의 보고서에서는 매 23분마다 웹사이트에서 중대한 취약점이 노출되는 것으로 분석됐다.
비즈니스 위협하는 웹 공격
웹을 이용한 공격은 비즈니스에 심각한 위협이 되고 있다. 웹서버가 직접 공격을 받는 경우는 직접적인 피해를 입게 되고, 웹을 통해 방문자를 공격한다면 기업/기관의 신뢰도에 타격을 입는다.
신기욱 F5코리아 기술총괄 상무는 “네트워크 경계에 설치되는 보안 솔루션은 진화하는 웹 공격을 막을 수 없다. 네트워크 방화벽, IPS/IDS는 애플리케이션 공격 방어에 한계를 보이며, SSL은 네트워크로 전송되는 데이터를 보호하기 위한 것으로 애플리케이션을 보호하지 못한다”며 “시큐어코딩으로 웹 애플리케이션의 취약점을 제거하는 것이 필수적이지만, 서비스 중인 웹에서 새롭게 발견되는 취약점은 해결할 수 없다”고 말했다.
웹을 노리는 공격을 방어하기 위해서는 웹을 운영하는 웹서버 앞에서 공격을 차단하는 웹방화벽이 필요하다. 우리나라에 공급되는 웹방화벽은 OWASP의 10대 취약점과 국가정보원이 정한 8대 취약점을 제거하고, SQL인젝션 등 웹서버를 노리는 공격을 막으며, 개인정보, 금유정보 및 중요정보의 유출을 차단하는 기능을 제공한다.
그러나 웹방화벽은 웹서비스 응답속도를 저해하고, 운영이 어렵다는 이유로 구축이 활발하게 이뤄지지 않았다. 우리나라는 웹 응답속도에 매우 민감하다. 보안을 위해 웹방화벽을 도입 했다가 웹서비스에 장애를 받게 되면 비즈니스 경쟁력에 영향을 줄 수 있다는 우려가 강하다. 일부 공공기관은 컴플라이언스를 위해 웹방화벽을 도입한 후 웹서비스에 구축하지 않고 그냥 두는 경우도 종종 나타난다.
관리되지 않는 웹방화벽은 웹서비스에 장애를 일으키기도 한다. 대량의 트래픽이 발생했을 때 웹방화벽이 처리하지 못하고 다운되면 웹서비스도 중단될 수 있다. 웹방화벽 정책 변경도 쉽지 않다. 잘못 변경한 정책으로 정상 요청이 차단될 수 있으며, 업무에 지장을 줄 수 있다. 오탐·과탐으로 인한 현업의 불만을 낮추기 위해 정책을 약하게 적용하면 공격을 막을 수 없다.
웹방화벽 솔루션 기업들이 웹서비스 가용성에만 초점을 맞춰 ‘고성능’의 강점을 지나치게 강조해왔던 것도 웹방화벽 시장을 확장시키지 못한 이유 중 하나로 꼽힌다. 국내 인터넷 환경이 10G가 일반적으로 사용되면서 토종 솔루션들이 10G 이상 성능의 장비를 경쟁적을 출시했는데, 이 중 일부는 실망에 적용했을 때 성능이 크게 떨어지는 경우가 있었다.
‘성능’에만 초점을 맞춘 일부 웹방화벽 솔루션은 웹방화벽의 보안 기능을 활성화하지 않고 자사 웹방화벽이 최고 성능을 낼 수 있는 웹 환경을 구성한 상태에서 테스트를 진행하고, 그 결과를 ‘공인 성능’으로 홍보했다. 그래서 실제 웹서비스에 적용하면 ‘공인 성능’의 절반에도 미치지 못하는 성능을 나타냈으며, 웹 공격도 제대로 차단하지 못하는 일도 생겼다.
규제준수만을 위해 웹방화벽을 도입한 기관의 관행도 문제다. 웹방화벽 도입이 의무화된 기관들은 저가 웹방화벽을 도입한 후 규제준수를 만족한 것으로 평가하기 때문에 웹방화벽 시장의 저가경쟁을 유도하기도 했다.
윤동규 파이오링크 웹방화벽 PM은 “웹은 갑자기 트래픽이 폭주하기도 하고, 애플리케이션의 변경이 자주 일어나며, 취약점도 수시로 발견되기 때문에 수시로 변하는 환경에서도 보안성을 유지할 수 있는 고성능 웹방화벽이 필요하다”며 “솔루션 벤더에서 자체 측정한 성능이 아니라, 실망에서 일정기간 운영하면서 실제 성능을 측정하는 것이 필요하다. 또한 규제준수만을 위해 저가로 구입한 솔루션이 오히려 보안홀이 될 수 있으므로, 자사 웹서비스에 적합한 보안 솔루션을 선택해 실망에 적용하는 것이 필요하다”고 지적했다.
