웹이 최악의 보안홀로 지목되면서 웹방화벽이 재조명되고 있다. 차세대로 전환하는 웹방화벽은 지능형 공격 방어, HTML5/HTTP 2.0의 새로운 기능 지원, 성능 저하 없는 웹 서비스 보장, 관리 편의성 제고 등의 다양한 기술을 요구하고 있다. 또한 클라우드 보안 서비스(SECaaS)로도 제공돼 온프레미스/퍼블릭·프라이빗 클라우드/하이브리드 환경에서 웹 서비스를 보호할 수 있는 전략이 모색된다.<편집자>
“클라우드 웹방화벽, 시장 확산 쉽지 않아”
클라우드 보안 서비스(SECaaS) 방식의 웹방화벽은 클라우드 발전법에 힘입어 높은 성장을 이룰 것이라는 기대를 받고 있었지만, 아직까지는 그리 좋은 성적을 거두지는 못하고 있는 상황이다. 클라우드 발전법으로 공공기관도 민간 클라우드를 이용할 수 있는 길이 열렸지만, SaaS 분야에서는 가이드라인이 확정되지 않아 공공 분야에는 아직 도입이 이뤄지지 않고 있다.
클라우드 웹방화벽 서비스에 대한 부정적인 시각도 등장하고 있다. 웹방화벽은 웹서버 앞에서 웹을 노리는 공격을 막는 보안 시스템인데, 이를 클라우드에 올리면, 클라우드 웹방화벽을 거친 후 기업 내 웹서버에 접속하게 된다.
많은 접속 포인트를 거치면서 웹 서비스 응답속도에 지연이 발생할 수 있으며, 사용자-클라우드 웹방화벽-웹서버로 이동하는 과정에서 공격이 발생할 수 있고, 웹 트래픽의 가시성이 떨어져 보안성이 낮아진다는 문제도 있다. 또한 클라이언트가 클라우드로 DNS설정을 해야 해 또 다른 관리 어려움이 발생한다는 것도 해결해야 할 문제다.
펜타시큐리티 관계자는 “클라우드 웹방화벽 서비스를 이용할 때, 기존에 사용하는 DDoS 차단 서비스와 중복해서 사용하면 오류가 발생할 수 있으며, 웹스캐너를 사용할 때 접속 증가로 차단될 수 있다”는 점을 운영상 고려해야 할 점이라고 설명했다.
SECaaS는 서버로 향하는 트래픽을 클라우드로 이동시켜 분석하게 되는데, 최종 접속 IP가 클라우드 IP로 남아 실제 접속자에 대한 정보를 확인할 수 없다. 클라우드 IP에서 다량의 접속이 발생해 DDoS 서비스가 공격으로 오인하고 차단할수 있다.
웹스캐너의 경우, 짧은 시간에 많은 접속이 일어나므로 DDoS로 판단해 웹스캔을 차단하게 될 수 있으므로, 웹스캐너를 화이트 IP로 등록해야 한다.
진화하는 웹 공격, 클라우드 기반 전문 서비스로 방어해야
클라우드 웹방화벽의 한계가 분명하게 드러나고 있지만, 대부분의 웹방화벽 벤더들이 클라우드 웹방화벽을 적극적으로 안내하고 있다. 웹 공격이 지능화되고 있어 온프레이스 방식의 웹방화벽으로는 빠른 속도로 등장하는 새로운 웹 공격을 차단하는 것이 어렵기 때문이다.
웹방화벽 전문 벤더에서는 클라우드 기반 위협 인텔리전스를 이용해 실시간에 가깝게 신종 공격을 탐지·차단할 수 있으며, SLA를 통해 웹 보안 수준을 보장하기 때문에 기업 내에 구축하는 웹방화벽보다 보안 수준을 한층 높일 수 있을 것으로 기대한다.
프라이빗 클라우드 혹은 클라우드 사업자가 사용할 수 있도록 다양한 가상환경을 지원하는 것도 중요한 문제다. VM웨어, 시트릭스, MS 하이퍼V 등 하이퍼바이저를 지원하며, AWS, 오픈스택, 시스코, 애저 등 클라우드와 SDN을 지원해 새로운 환경에서도 이상 없이 웹방화벽 서비스를 이용할 수 있도록 한다.
신기욱 F5코리아 상무는 “클라우드와 SDN 지원 여부는 앞으로 한국 시장에서도 매우 중요하게 검토할 항목”이라며 “기존의 레거시 웹방화벽으로는 클라우드와 SDN에서 CAPEX와 OPEX를 개선할 수 없다. 단순화된 API와 OS를 이용해 다양한 환경에서 구현될 수 있는 유연한 소프트웨어 기술이 필수”라고 강조했다.
F5는 클라우드 플랫폼 ‘실버라인’을 통해 웹방화벽을 제공하며, 전용장비로도 제공해 클라우드, 온프레미스, 하이브리드 등 다양한 구축 환경을 지원한다. 임퍼바 역시 고객 환경에 맞는 구성을 제공하고 있으며, 클라우드 액세스 보안 ‘스카이펜스(Skyfence)’와 데이터베이스 보안 ‘시큐어스피어(SecureSphere)’를 통해 한층 더 높은 보안성을 유지할 수 있다.
국내 대표적인 클라우드 기반 웹방화벽인 펜타시큐리티의 클라우드브릭은 글로벌 시장에서 먼저 런칭하고, 무료 이용 기간을 대폭 늘려 많은 사용자를 확보하는데 성공했으며, 이 성공사례를 기반으로 우리나라와 아시아 시장에서 클라우드브릭 사용자를 늘려나가고 있다.
“하반기 이후 고성능 웹방화벽 수요 늘 것”
글로벌 웹방화벽 시장은 8월 브라질 올림픽 이후 차세대 전환이 본격화될 것이라는 전망도 나온다.
올림픽, 월드컵 등 대규모 국제행사가 열릴 때 해당 이벤트를 주최하는 국가에 대한 사이버 공격이 집중되며, 이 행사를 후원하는 기업, 이에 참여하는 선수가 속한 기업, 선수를 후원하는 기업 등 관련된 모든 기업/기관에 대규모 웹 공격이 발생하기 때문이다.
윤동규 파이오링크 PM은 “대규모 스포츠 이벤트가 열릴 때 마다 웹방화벽 성능이 한 단계씩 업그레이드 됐다. 기업/기관은 지능화되는 사이버 테러와 대규모 웹 공격을 방어하는데 고성능 웹방화벽이 필요하다는 것을 경험한 후 웹방화벽 업그레이드를 검토한다”며 “올해 고성능 웹방화벽 트렌드가 본격화 될 것으로 예상하고 있으며, 내년에는 업계 질서가 새롭게 재편될 것으로 전망한다”고 말했다.
아제이 어기라라 임퍼바 디렉터 역시 웹방화벽의 높은 성장을 기대하며 “시장조사기관은 2019년 웹방화벽은 연간복합성장률이 17.34%에 이를 것으로 전망했다. 또한 클라우드 웹방화벽 서비스를 도입하는 중소기업과 하이브리드 모델로 분산형 웹방화벽을 도입하는 대기업이 늘어날 것으로 예측한다”며 “많은 기업들이 AWS, 애저 등 같은 IaaS를 채택하면서 클라우드 환경에서 인스턴스(instance) 형태의 웹방화벽이 일반화 될 것”이라고 밝혔다.
“관리 편의성·성능·차세대 기능 검토해야”
웹방화벽을 도입할 때는 반드시 해당 웹방화벽이 자사 웹서비스를 보호하는데 적합한지 따져봐야 한다. 웹방화벽은 신종 우회공격을 차단해야 하며, 자동화 공격과 악성봇을 탐지하고, 악성코드를 인지하고 대응할 수 있어야 한다.
개인정보·민감정보 유출 방지 기능과 함께 유출된 개인정보를 이용해 결제를 시도하거나 계정을 생성하려는 시도를 차단해야 한다. 취약점 패치 기능을 이용해 진화하는 취약점 공격을 차단하는 것도 필수다.
복잡한 보안 정책을 유연하게, 그리고 자동화해 적용할 수 있어야 하며, 대규모 웹 트래픽 확녕을 지원할 수 있어야 하고, 개별 웹사이트마다 갖고 이는 속성과 데이터 특징을 파악하고 정교하게 대응할 수 있어야 한다.
신기욱 F5 상무는 “웹방화벽 도입 시 반드시 고려해야 할 3가지 요건은 관리 편의성, 성능, 차세대 기능”이라며 “무조건 높은 성능이나 차세대 기능을 도입하는 것은 바람직하지 않으며, 자사 웹서비스에 맞는 조건으로 선택하고, 관리 복잡성이 높아지지 않도록 해 웹서비스 가용성을 보장하는 것이 중요하다”고 말했다.
