공격의 대부분은 애플리케이션 취약점을 이용하며, 보호되지 않는 웹으로 진입해 들어간다. 애플리케이션은 개발 환경이 다양해 완벽한 보호가 어려우며, 개발 기간과 비용을 단축해야 한다는 이유 때문에 보안을 소홀히 한다. 웹은 공격자에게 상시 노출된 환경으로 지능형 공격 뿐 아니라 잘 알려진 공격에도 당하게 된다. 웹과 애플리케이션이 최악의 보안홀로 지목되지 않기 위해서는 애플리케이션 개발 단계부터 테스트, 운영 전 과정에서 취약점을 제거하고, 공격자로부터 웹 서비스를 보호해야 한다. 웹과 애플리케이션 보안을 충족시킬 수 있는 방법을 알아보고 시장을 분석한다.<편집자>
클라우드·IoT는 애플리케이션으로 작동되며, 웹을 통해 연결된다. 클라우드와 IoT의 민첩성·유연성을 담보하기 위해서는 애플리케이션의 빠른 개발과 수정이 필요하며, 마이크로서비스가 제안된다. 서비스를 작게 쪼개 레고블록처럼 조립할 수 있어야 하며, 다른 서비스에도 이식 가능하고, 재활용 할 수 있어야 한다.
클라우드·IoT에서는 서비스 수명이 짧기 때문에, 빠르고 효율적으로 애플리케이션을 개발하는 것이 관건이다. 개발팀과 운영팀의 간극을 좁혀 개발된 애플리케이션을 즉시, 원활하게 운영할 수 있도록 개발과 운영이 함께 개발과정에 참여하는 데브옵스(DevOps)도 필수로 여겨진다.
클라우드·IoT, 앱으로 동작하고 웹으로 연결
클라우드·IoT는 애플리케이션으로 동작하고, 웹으로 연결된다. 웹과 애플리케이션을 공격하면 쉽게 클라우드와 IoT를 장악할 수 있다. SAP 조사에서 85%의 공격은 애플리케이션을 타깃으로 하는 것으로 나타났고, NIST는 92%의 보안 취약점이 네트워크가 아닌 애플리케이션에서 발견된다고 밝혔다.
일례로 보안업체 어베스트의 PC 최적화 프로그램 씨클리너가 해킹을 당해 소프트웨어 모듈이 악성 프로그램으로 변경돼 전 세계 227만여명을 감염시킨 정황이 포착됐다. 이 중 삼성전자, 시스코 등 글로벌 IT 기업 도메인에 접속을 시도하는 단말에는 2차 페이로드가 다운로드돼 타깃을 갖고 진행한 공격이라는 분석도 나오고 있다.
이보다 앞서 금융기관에서 주로 사용하는 서버관리 소프트웨어 넷사랑이 해킹을 당해 위조된 모듈이 배포된 바 있다. 위조된 공인인증서 모듈이 배포되고, 백신 관리 서버에서 악성파일이 백신 업데이트 파일로 위조돼 배포되는 사고 등도 빈번하게 발생했다.
관리영역에서 벗어난 섀도우 클라우드는 공격에 쉽게 이용된다. 블루코트(현 시만텍)의 조사에 따르면 관리조직이 파악하지 못한 섀도우 클라우드는 정상 클라우드의 20배에 이른다. 관리 밖의 클라우드에 서버 접속 키가 노출되거나 클라우드 앱의 취약점이 무방비로 방치돼 공격 통로로 이용될 수 있다.
송성실 젬알토코리아 이사는 “웹과 애플리케이션을 이용하는 공격을 차단하기 위해서는 관리자·사용자의 보안 조치가 필요하지만, 소프트웨어 제조사의 보안 조치도 필요하다. 안전한 소프트웨어와 업데이트 패치가 배포됐는지 확인할 수 있는 코드사이닝이 필수적이며, 인증서 관리를 철저히 하고, 인증서와 암호화 키는 분리된 곳에 안전하게 보관해 인증서 탈취로 인한 위조 파일 배포는 차단해야 한다”고 말했다.
운영 주기 짧은 앱, 적은 비용으로 강력한 보안 만들 방법 찾아야
웹과 애플리케이션을 노리는 공격의 대표적인 예가 디도스이다. IoT 기기를 이용한 대규모 봇넷은 대규모 서비스를 중단시키거나 서비스에 장애를 일으킬 수 있다. O2O 서비스 기업 여기어때 개인정보 유출 공격에 이용한 SQL 인젝션이나 크로스 사이트 스크립팅(XSS)은 가장 일반적인 애플리케이션 공격이며, 웹 애플리케이션 업로드 취약점을 이용하는 웹쉘 공격도 끊임없이 나타난다.
손장군 엔시큐어 이사는 “여기어때는 비 핵심 업무 서버의 SQL 인젝션 공격으로 고객정보를 유출당했으며, 3억원의 과징금을 부과받았다. 공격은 중요한 업무 시스템을 직접 공격하기도 하지만, 중요하지 않은 업무의 애플리케이션 취약점을 이용해 쉽게 정보에 접근한다. 방치되거나 관리가 소홀한 애플리케이션, 개발 과정에서부터 보안 취약점을 내재하고 있는 애플리케이션이 주요 공격 타깃이 된다”고 설명했다.
웹과 애플리케이션 공격을 막기 위해서는 제조단계부터 사용자까지 중단 없는 보안이 이뤄져야 한다. 소프트웨어 개발 라이프사이클(SDCL)에 맞춰 설계, 테스트, 운영 중인 애플리케이션의 취약점을 찾아 제거하고, 웹 상에서 나타나는 공격을 지능적으로 인지하고 차단하는 웹방화벽을 구축해야 한다.
IoT 환경에서는 웹과 애플리케이션 사용이 더욱 늘어날 것이므로, 이 분야의 관리를 더욱 철저히 해야 한다. IoT 기기와 서비스는 쉽게 개발할 수 있는 애플리케이션을 사용해 비용이 적게 드는 네트워크를 이용하고 웹을 통해 접근하게 될 것이다. IoT는 개발 원가와 운영비용에 민감하기 때문에 보안에 충분한 투자를 할 수 없어 적은 비용으로도 보안 리스크를 낮출 수 있는 방법이 필요하다.
강태진 인사이너리 대표는 “2020년이 되면 전 세계에 5억개가 넘는 IoT기기가 배포될 것으로 예상된다. 기하급수적으로 늘어나는 IoT기기와 IoT 기기를 연결하는 클라우드 시스템에 대한 보안 관리의 필요성은 점점 높아질 것”이라며 “IoT기기에서 구동되는 애플리케이션은 기기의 설계부터 출시되는 완제품까지 보안에 대한 철저한 관리가 필요하다”고 지적했다.
