웹방화벽은 웹서버를 보호하기 위한 가장 기본적인 보안 솔루션으로, 최근 웹 기반 공격 방어 기술 뿐만 아니라 악성 봇 차단, 크리덴셜 스터핑(Credential Stuffing) 차단 등의 기술을 추가하면서 차세대 기술로 진화하고 있다.
크리덴셜 스터핑은 미리 입수한 계정정보를 웹서비스에 입력해 로그인에 성공하면 추가 정보를 수집하거나 개인에게 직접 피해를 입히는 것으로 우리은행 인터넷뱅킹 부정 로그인 사고가 발표되면서 주목을 받았다.
대부분의 사용자들이 웹 서비스의 ID/PW를 동일하거나 유사한 조합으로 사용하기 때문에 한 사이트에서 계정정보가 유출되면 다른 사이트에서 부정 로그인이 가능하다. 사용자 4명 중 3명이 자신의 계정 전반에서 인증정보를 재사용하고 있으며, 업무를 위한 계정정보와 개인 정보를 동일하게 사용하는 경우도 많다. 개인정보 유출 사고 시, 업무용 정보까지 유출될 위험이 높다는 뜻이다.
배준호 포티넷코리아 이사는 “금융기관이 오픈뱅킹 시스템을 구축하면서 크리덴셜 스터핑 공격이 더 활발하게 나타나고 있다. 기존의 인터넷뱅킹은 액티브X와 같은 각종 플러그인을 설치해야 해 공격자도 로그인이 쉽지 않았지만, 최근 오픈뱅킹은 논 플러그인 방식으로 설계됐기 때문에 공격이 용이해진 것”이라며 “크리덴셜 스터핑은 정상적인 계정 정보로 로그인하기 때문에 탐지가 어려우며, 한 사이트에서 성공한 정보는 다른 사이트에서도 접속이 가능하기 때문에 피해가 빠르게 확산될 수 있다”고 설명했다.
F5네트웍스가 발표한 크리덴셜 스터핑 백서에서는 ▲인증정보 관리 정책 정비와 사용자 교육 ▲멀티팩터 인증으로 계정정보 보호 ▲웹방화벽, 웹 애플리케이션 개발 보안 및 취약점 점검 등 보안 솔루션 구축 정책이 필요하다고 설명하고 있다.
최근 크리덴셜 스터핑을 막을 수 있는 방법 중 하나로 제안되는 것이 기존에 유출된 계정정보 DB를 위협 인텔리전스와 같이 사용하는 것이다. 다크웹 등에서 판매되는 개인정보 DB를 수집해 갖고 있다가 동일한 계정정보로 로그인 시도가 이뤄지면 이상접속으로 인지하고 추가인증을 요구하는 등의 조치가 가능하다.
이 서비스는 현재 F5네트웍스, 포티넷, 임퍼바 등에서 제공하고 있으며, 웹방화벽과 함께 사용해 부정 로그인을 차단하거나 제한할 수 있다.
진화하는 악성 봇, 탐지 기술도 업그레이드
웹 보호에 있어 주목해야 할 점 중 하나가 ‘봇’이다. 봇은 웹사이트를 스캔하면서 필요한 정보를 수집해가는 자동화된 기계로, 포털사이트, 가격비교 사이트 등에서 많이 사용한다. 웹 취약점 점검을 위한 스캐너도 봇을 이용한다.
그러나 악의적인 봇은 디바이스를 감염시켜 좀비를 만들고 웹 취약점을 이용해 웹에 있는 정보를 불법적으로 탈취해간다. 2016년 미국 유명 인터넷 사이트를 마비시킨 미라이봇넷은 중국의 CCTV를 감염시켜 DNS 서비스 기업 DYN을 공격, DYN의 서비스를 받는 인터넷 서비스 기업과 정부기관을 마비시켰다. 이후 미라이 봇넷과 같은 악성봇이 활개를 쳤으며, 봇 차단을 위한 기술이 크게 발달하게 됐다.
신기욱 F5코리아 상무는 “인터넷 트래픽의 30%가 봇이며, 공격의 77%는 봇을 통해 진행된다. 악성 봇 트래픽을 제거하면 공격 가능성과 함께 트래픽 사용량도 줄일 수 있어 네트워크 비용을 절감하는 효과도 있다”며 “봇은 단순한 활동을 통해 전파되기 때문에 간단한 쿼리만으로 차단할 수 있다고 생각하지만, 실제로 현재 악성봇은 기존의 단순한 봇 차단 기술을 우회할 수 있기 때문에 보다 지능화된 봇 차단 기술이 필요하다”고 말했다.
봇에 의한 계정정보 도용을 막을 수 있는 방법 중 하나로 웹 사이트 난독화를 들 수 있다. 웹 애플리케이션 소스코드를 난독화해 봇이 읽을 수 없게 만드는 방식이다. 계정정보를 탈취하는 악성봇은 웹사이트에서 사용자들이 로그인 정보를 입력하는 부분을 보고 있다가 입력값을 훔쳐간다. 사이트를 난독화하면 봇은 로그인 정보를 입력하는 위치를 찾지 못하고 공격을 포기한다.
IP와 디바이스 평판 정보를 이용해 봇을 차단하는 방법도 있다. 봇은 보안에 취약한 기기를 감염시켜 전파하기 때문에 공격에 이용됐던 기기와 IP의 요청은 다시 한 번 점검하거나 차단하는 등의 방법을 적용할 수 있다.
비정상 로그인 시도 인지해 악성봇 차단
아카마이의 ‘봇 매니저 프리미어’는 이보다 한 차원 높은 지능형 봇 대응 기술을 적용한다. 스마트폰에 탑재된 자이로스코프를 인식해 정상적인 사람의 로그인 요청인지, 기계의 요청인지 확인하고 차단/허용 할 수 있다. 이 제품은 국내 이커머스 기업, 호텔, 여행사 등 인터넷 트랜잭션이 많은 곳에서 사용하고 있다.
백용기 아카마이코리아 상무는 “최근 악성봇 탐지 기술은 행위를 인식해 차단하고 있지만, 행위기반 탐지 기술은 오탐이 많아 운영하기에 까다롭다. 아카마이 봇매니저 프리미어는 행위기반 분석, 평판분석 기술에 자이로스코프 인식 기술까지 더해 정확하게 정상 사용자 요청과 아닌 것을 구분하고 악성봇 차단, 크리덴셜 스터핑 차단을 지원한다”고 말했다.
아카마이는 CDN 서비스를 제공하면서 구축한 전 세계 클라우드 인프라를 통해 웹 보안 서비스를 다양하게 제공하고 있다. 웹방화벽, 디도스 차단, 봇 차단, DNS 보안, 클라이언트 보안, 위협 인텔리전스 서비스 등이 대표적이다.
아카마이 웹방화벽 코나사이트 디펜더(KSD)와 웹 애플리케이션 프로텍터(WAP)는 클라우드 기반 서비스로 별도의 구축 없이 사용할 수 있으며, 자동패치 기능으로 선제적인 패치관리가 가능하다. 포레스터웨이브 제로데이 취약점 부문 5점 만점을 받았으며, 공격 탐지부문에서 4.2점의 최고점을 받았다.
아카마이 웹 보안 서비스는 웹 공격 IP 평판정보를 제공하며, API 보호 기능을 통해 API 콜을 과도하게 보내거나 POST 명령어를 늦게 전달하는 등 취약점을 악용하는 공격으로부터 API를 보호한다.
또한 클라이언트 인텔리전스 서비스를 통해 대량의 자료유출 이력을 가진 웹스크래퍼를 차단하고, 웹 애플리케이션과 포트 취약점 스캔 이력, 디도스 및 웹 공격 이력을 가진 클라이언트를 제어한다.
더불어 아카마이 플랫폼에서 발생한 보안 이벤트와 기업이 자체적으로 운영하는 SIEM을 통해 탐지된 보안 이벤트 사이의 연관성을 분석하고자 할 경우 SIEM과의 통합 기능도 제공한다.
백용기 상무는 “최근 웹 보안 위협이 지능화되면서 구축형·토종 웹 보안 솔루션에 의지했던 고객들도 아카마이 클라우드 기반 웹 보안 솔루션을 검토하기 시작했다. 특히 기존에 도입한 웹방화벽 교체시기가 도래한 기업들이 아카마이 서비스를 긍정적으로 평가하고 있다”며 “이미 다수의 토종 솔루션 윈백에 성공했으며, 금융, 엔터프라이즈, 인터넷 서비스 기업 등에 대규모 공급되고 있다”고 말했다.
