웹이 최악의 보안홀로 지목되면서 웹방화벽이 재조명되고 있다. 차세대로 전환하는 웹방화벽은 지능형 공격 방어, HTML5/HTTP 2.0의 새로운 기능 지원, 성능 저하 없는 웹 서비스 보장, 관리 편의성 제고 등의 다양한 기술을 요구하고 있다. 또한 클라우드 보안 서비스(SECaaS)로도 제공돼 온프레미스/퍼블릭·프라이빗 클라우드/하이브리드 환경에서 웹 서비스를 보호할 수 있는 전략이 모색된다. 이번회에서는 신기욱 F5코리아 기술총괄 상무의 '차세대 웹방화벽 선택 가이드'를 소개한다.<편집자>
차세대 웹방화벽에 대한 정의가 명확하게 내려져있는 것은 아니지만, 차세대 웹 애플리케이션 환경을 유연하게 지원하면서 진화하는 사이버 공격을 막을 수 있는 고도화된 방어 정책이 적용될 수 있어야 한다. 차세대 웹방화벽을 선택할 때 다음과 같은 사항을 체크해보는 것이 필요하다.
1. HTTP/2 환경에 적합한가
HTTP/2 환경에서는 웹 애플리케이션 트래픽이 TLS(SSL)로 암호화돼 전송되기 때문에 암호화 트래픽을 분석할 수 있는 아키텍처 디자인으로 설계된 웹방화벽이 필요하다. 또한 RSA 뿐만 아니라 ECC 방식에서도 성능 저하 나 사용자의 접속 속도에 영향없이 서비스를 제공 할 수 있는지 고려해야 한다. ECC는 RSA보다 가볍고 빠른 접속을 제공하는 암호화 알고리즘으로, RSA보다 정밀한 트래픽 분석 기능이 요구된다.
2. 행위분석 기반 L7 DDoS 방어가 가능한가
일반적인 L7 DDoS 방어 기술은 봇 탐지 기술과 함께 세션 오프닝 제어와 비정상적인 세션 트랜잭션 제어기술을 갖고 있다. 이를 통해 정상/비정상 클라이언트를 구분하고, 주요 검색엔진 화이트리스트 등록을 지원한다.
여기에 행위분석 기반 L7 DDoS 방어 기술을 더하면 공격 탐지 정확성을 높일 수 있다. 행위분석 기술은 접속자에 대한 다양한 정보를 수집하는 클라이언트 사이드 코드를 수행하며, 그래픽 어댑터 행위 정보와 같은 20가지 이상의 디바이스 속성 정보를 해시값으로 저장(핑거프린팅)한다.
웹방화벽에서 IP, 쿠키, 디바이스 인식 방식으로 웹스크래핑 공격을 방어할 수 없을 때 핑거프린팅 기술을 이용해 브라우저의 행위 속성 정보를 이용해 웹스크래핑을 방어할 수 있다. 더불어 브라우저에 설치된 플러그인 속성을 감지해 웹스크랩핑 방할 수 있다.
3. 브루트포스 공격을 방어할 수 있는가
보통 브루트포스(Brute Force) 공격 방어를 위해서는 지정된 시간동안 지정한 패스워드 입력 실패 횟수를 기반으로 관리자가 설정한 시간 동안 로그인을 방지할 수 있도록 한다. 이 경우 소스 IP 어드레스 기반으로 통제해 공유기나 NAT를 사용해 다수의 접속자가 하나의 공인 IP를 공유해서 사용할 때 정상적인 접속자도 함께 차단되는 문제가 발생한다.
이 문제를 해결하는 방법으로 세션 기반 제어가 제안된다. 로그인 페이지 자동 설정해 관리자 추가설정 없이 공격을 차단하며, 사용자 로그인에 사용되는 파라미터를 지정하거나 사용자 로그인 요청 수신시 정상적인 서버 응답 설정도 필요 없다.
4. 다양한 계층의 공격 방어가 가능한가
웹브라우저는 공격이 쉬운 타깃으로 안전하게 애플리케이션을 전송할 수 있는 기술과 네트워크·엔드포인트 보안 기술이 필요하다. 특히 클라이언트 사이드의 악성코드 탐지 기능을 제공해야 하며, 스파이웨어, 중간자 공격, 다이어, 트로이안 등을 차단할 수 있어야 한다. 피싱·파밍 사이트 탐지, 웹페이지 변조 및 키로그 방어 등을 제공할 수 있어야 한다.
5. 관리가 용이한가
웹은 자주 변경되며, 웹 공격도 빠르게 변하기 때문에 웹방화벽 정책도 유연하게 구성하고 변경된 정책을 자동으로 배포할 수 있어야 한다. 오탐으로 업무 효율성에 영향을 주지 않도록 간편하게 예외처리 할 수 있어야 하며, 방어정책 적용 세부내역을 확인해 정책 운영에 참고할 수 있도록 해야 한다.
자료: 신기욱 F5코리아 기술총괄 상무
