공격의 대부분은 애플리케이션 취약점을 이용하며, 보호되지 않는 웹으로 진입해 들어간다. 애플리케이션은 개발 환경이 다양해 완벽한 보호가 어려우며, 개발 기간과 비용을 단축해야 한다는 이유 때문에 보안을 소홀히 한다. 웹은 공격자에게 상시 노출된 환경으로 지능형 공격 뿐 아니라 잘 알려진 공격에도 당하게 된다. 웹과 애플리케이션이 최악의 보안홀로 지목되지 않기 위해서는 애플리케이션 개발 단계부터 테스트, 운영 전 과정에서 취약점을 제거하고, 공격자로부터 웹 서비스를 보호해야 한다. 웹과 애플리케이션 보안을 충족시킬 수 있는 방법을 알아본다.<편집자>
래피드7 출사표 던진 DAST, 시장 변동 일어날까
DAST는 IBM ‘앱스캔’이 이 분야의 대명사로 인정될 만큼 보편적으로 사용된다. 앱스캔은 오랫 동안 국내에 공급돼 한글화 지원과 익숙한 UI로 국내 관리자들이 선호한다. 앱스캔과 경쟁하는 ‘웹인스펙트’도 오랜 기간 사용돼 와 국내 관리자에게 거부감이 없다.
앱스캔과 웹인스펙트가 견고하게 지키고 있는 DAST 시장에 래피드7이 도전장을 내밀었다. 래피드7은 2015년 인수한 안티오브젝티브스(ATO)를 인수해 ‘앱스파이더(Appspider)’ 제품을 출시했으며, 국내에서도 영업을 본격화한다.
ATO는 글로벌 DAST 시장 리더로 꼽혀온 기업으로, 래피드7은 취약점 진단 영역을 시스템에서 애플리케이션까지 넓혀가기 위해 이 기업을 인수했다. 국내에서 앱스캔과 웹인스펙트의 장벽이 견고한 상황이지만, 점차 애플리케이션 보안에 관심이 높아지면서 다른 솔루션을 찾는 수요도 생길 것이라고 판단하고 적극적인 영업을 전개할 계획이다.
박진성 래피드7코리아 지사장은 “국내에서는 앱스파이더와 차세대 IPS, 웹방화벽을 엮어 애플리케이션-웹-네트워크에 이르는 과정을 보호하는 모델을 제시할 계획”이라며 “공격은 애플리케이션의 취약점을 이용해 웹·네트워크를 통해 들어오기 때문에 전 과정을 보호할 수 있는 보안 프레임을 제안해 나갈 것”이라고 설명했다.
애플리케이션 보안의 핫이슈 ‘RASP’
애플리케이션 보안 분야에서 최근 주목받는 분야가 RASP이다. RASP는 지난해 6월 가트너가 발표한 ‘2016년 10대 보안 전망’에 포함되면서 관심을 끌었다. 가트너는 “2020년까지 데브옵스(DevOps)를 도입한 기업 40%가 애플리케이션 보안 자체 테스트, 자체 진단, 자체 보호 기술을 도입해 애플리케이션을 보호할 것”이라며 “애플리케이션 보호를 위해 RASP를 적용할 것”을 권고했다.
RASP는 아직 국내에서 널리 알려진 개념은 아니다. 그러나 데브옵스와 함께 보안운영(DevSecOps)가 필요하다는 주장이 힘을 얻으면서 RASP 성장 기회도 자연스럽게 부상할 것이라는 기대도 나온다.
손장군 엔시큐어 이사는 “클라우드·IoT가 확산되면서 생산성과 효율성을 극대화 할 수 있는 개발과 운영환경이 강조되고 데브옵스로의 전환이 빨라지고 있다. 그러나 위협이 고도화되면서 생산성·효율성 뿐만 아니라 보안 위협에도 효과적으로 대응할 수 있는 보안운영이 필요하다는 주장이 힘을 얻고 있다”며 “RASP는 보안운영의 한 축을 담당하게 될 것”이라고 말했다.
RASP는 WAS에 설치되며, 애플리케이션 실행을 모니터링하고 내부 애플리케이션의 로직과 데이터, 이벤트 플로우를 분석한다. 이를 기반으로 외부 보안 장치가 탐지하지 못한 위협을 탐지·방어할 수 있다.
WAS 앞에서 웹 상의 위협을 차단하는 웹방화벽과 달리, RASP는 WAS 내에서 애플리케이션 이상 행위를 찾아낸다. 예를 들어 WAS를 통해 데이터베이스에 접근할 때 정확하지 않은 인증정보를 갖고 접속을 시도하는지, 암호화 된 데이터를 복호화 한 상태로 무단 유출하려고 시도하는지, 애플리케이션의 데이터가 정책을 위반해 다른 시스템으로 이동하는지 등의 위협 활동을 감지한다.
박종필 마이크로포커스코리아 부장은 “RASP는 클라우드, O2O서비스 기업, 웹 애플리케이션 보안이 필요한 기업에서 많은 관심을 보이고 있다. 특히 데브옵스를 구현할 때 애플리케이션의 잠재된 취약점을 제거하며, 도커에 이미지로 배포 가능하기 때문에 개발자의 수고를 덜 수 있다”고 말했다.
마이크로포커스 ‘포티파이’ 제품군은 SDLC에 맞춘 SAST ‘SCA’, DAST ‘웹인스펙트’, RASP ‘앱디펜더’를 포트폴리오로 완성하고 영업을 전개하고 있다. 세 제품은 긴밀하게 연동돼 취약점 정보를 공유하고, 상호 연계 분석하며, 위협 인텔리전스와 결합해 알려지지 않은 취약점을 찾아내고 은밀하게 진행되는 공격을 차단한다. 국내에서는 금융, 제조기업에서 탄탄한 고객군을 확보하고 있다.
