웹은 누구나 쉽게 접속할 수 있고, 수시로 바뀌기 때문에 공격당하기 쉽다. 웹은 설계부터 운영에 이르는 전 단계에서 보안을 적용해야 하며, 시큐어코딩으로 소스코드에 취약점을 제거하고 정기적인 취약점 점검으로 공격 당할 가능성을 낮춰야 한다.
이러한 과정을 거쳤다고 해서 보안이 보장되는 것도 아니다. 비즈니스 유연성을 극대화하기 위해 마이크로서비스 아키텍처를 채택하면서, 신규 서비스 개발과 적용, 업데이트, 배포, 패치관리 등이 자동화되면서 접근통제가 약화되고 취약점 관리가 제대로 되지 않는 등 관리의 문제를 갖게 된다.
윤승원 모니터랩 상무는 “최근 가장 빈번하게 발생하는 사고는 취약점이 방치된 웹서버에 스크립트를 삽입해 공격하는 방식이다. 또한 악성봇을 이용하고, 여러 종류의 인젝션 공격으로 침투하는 사례가 많다”며 “자동화된 웹 공격 탐지 시스템이 필요하지만, 웹은 변화가 많기 때문에 자동화 보안 기술을 적용하는 것도 쉽지 않은 일”이라고 설명했다.
취약점 방치해 대규모 개인정보 유출 사고 발생
웹 취약점으로 인해 발생한 사고 중 대표적인 것이 미국 신용정보 회사 에퀴팩스의 개인정보 유출 사고이다. 에퀴팩스는 심각한 취약점으로 보고된 아파치 취약점을 방치해 공격자가 대규모 개인정보를 탈취해가도록 했다.
미국의 입장권 판매 기업 티켓플라이는 자사 시스템의 취약점을 알려주는 대가로 1비트코인을 요구한 공격자를 무시해 2600만명의 개인정보를 탈취당하는 사고를 일으켰다. 공격자는 티켓플라이 웹사이트 취약점이 있다는 사실을 알리면서 금전을 요구했으나 티켓플라이로부터 아무런 답을 받지 못하자 고객정보를 탈취하고 사이트에 자신들의 해킹 메시지를 게시했으며, 티켓플라이 직원의 개인정보를 다른 곳에 업로드하기도 했다.
웹 취약점을 방치하면 웹서버에 저장된 중요정보, 웹서버와 연결된 DB 시스템에 개인정보로 공격자가 접근할 수 있으며, 웹사이트를 무단으로 변경해 악성링크를 삽입하고 공격 거점으로 삼을 수 있으며, 자신들의 해킹 메시지를 띄워 해당 기업의 신뢰도를 하락시킬 수 있다.
앱은 웹보다 더 심각한 문제를 갖고 있다. 앱은 브라우저를 통한 통신이 아니기 때문에 브라우저 기반 제어를 제공하는 웹방화벽을 통한 통제에 한계가 있다.
애플리케이션 보안 전문기업 악산과 포네몬인스티튜트의 조사 보고서에 따르면 75%의 조직이 손상된 애플리케이션으로 인해 작년 한 해 동안 사이버 공격을 당한 것으로 나타났다. 애플리케이션 취약점을 노리는 공격이 집중되고 있음에도 불구하고 기업의 65%는 최종 사용자 혹은 고객이 부정적인 영향을 받은 후에야 애플리케이션 보안을 강화할 것이라고 응답했다.
단일 플랫폼에서 차세대 웹 보안 기능 제공
F5네트웍스는 증가하는 앱 보안 위협에 대응할 수 있는 모바일SDK를 차세대 웹방화벽과 연동해 웹과 앱을 함께 보호할 수 있도록 한다. 모바일SDK는 고객이 앱을 제작한 후 간단하게 적용해 배포할 수 있으며, 앱 취약점 점검과 앱 타깃 공격을 막을 수 있다.
F5네트웍스는 또한 악성 봇 공격과 크리덴셜 스터핑을 차단할 수 있는 기술로 ‘디바이스 아이디’를 소개한다. 디바이스 아이디는 공격자의 클라이언트 환경을 정확하게 구분할 수 있는데, 예를 들어 공격자가 매크로와 같은 프로그램을 이용하거나 가상환경에서 실제 사용자의 정상 행위로 가장해 접속한다 해도 실제 사용자 환경이 아니라는 것을 지능적으로 파악하는 것이다.
공격자는 실제 사용자와 동일한 환경으로 가장해 공격을 하지만, 몇 대의 PC를 이용해 공격하기 때문에 가상환경을 만들고 공격에 필요한 애플리케이션만 설치하게 된다. 실제 사용자 환경이라면 반드시 설치돼 있는 오피스 소프트웨어, 금융보안모듈 등이 없고, 웹사이트 접속 정보가 없거나 현저하게 부족하다면 공격자의 접속으로 의심할 수 있다.
신기욱 F5코리아 상무는 “디바이스 아이디는 100여가지 고유정보를 기준으로 공격자의 클라이언트 환경을 지능적으로 분석하고 탐지한다. 이를 통해 비정상적인 봇의 접속과 부르트포스, 크리덴셜 스터핑 공격에 대응할 수 있다”고 말했다.
F5네트웍스는 지능형 웹 공격에 대응할 수 있는 기술을 웹방화벽에 통합시켜 차세대 웹방화벽 시장을 만들어가고 있다. 웹·애플리케이션 위변조 차단과 난독화, 디도스 차단, 봇 차단, 크리덴셜 스터핑 차단, 애플리케이션 및 클라이언트 평판 분석, 위협 인텔리전스, 공격에 이용된 계정 정보를 비교해 비정상 로그인 시도를 차단하는 인텔리전스, 모바일 SDK 등이 포함된다. SSL 암호화 트래픽에 숨은 공격을 막을 수 있도록 복호화 기능을 향상키셨으며, 복호화 시에도 성능저하 없이 웹 보안 기능을 수행할 수 있다.
신기욱 상무는 “F5는 차세대 웹방화벽의 기능을 단일 플랫폼에서 지원하기 때문에 고객이 필요한 라이선스를 구입하면 간단하게 적용 가능하다. 구축형 장비와 클라우드형 서비스가 모두 가능해 환경에 맞게 선택해 사용할 수 있다”며 “웹과 앱을 노리는 지능형 공격을 차단하는데 있어 F5는 시장조사기관이 인정하는 선두주자이다”라고 말했다.
머신러닝 적용해 지능형 웹 공격 방어
웹 기반 지능형 공격이 급증하면서 이에 대응할 수 있는 차세대 웹방화벽의 수요도 늘어나고 있다. 차세대 웹방화벽은 전통적인 시그니처 기반 웹 보안 솔루션을 벗어나 알려지지 않은 공격까지 차단할 수 있어야 하고, 최신 공격 대응, SSL 가시성 기능, 디도스·봇넷 차단, 사용자 행위 기반 차단 등의 기능을 갖춰야 한다.
포티넷은 머신러닝(ML) 알고리즘을 적용한 웹방화벽 신제품 ‘포티웹’을 출시하면서 차세대 웹방화벽 시장 진출을 선언했다. 기존 웹방화벽은 애플리케이션 러닝(AL) 기능으로 애플리케이션의 이상행위를 탐지했는데, AL은 오탐이 많아 운영이 어려웠다. 포티웹은 머신러닝으로 오탐을 줄이고 지능적인 웹 공격을 차단할 수 있다.
배준호 포티넷코리아 이사는 “기업이 웹방화벽 도입을 꺼리는 이유 중 하나가 운영이 어렵다는 것이다. 공격 대응 능력을 높이면 오탐으로 인해 웹서비스 가용성에 문제가 생기며, 그렇지 않으면 웹 기반 공격에 제대로 대응하지 못하기 때문”이라며 “포티웹은 AL과 ML을 결합해 오탐을 낮추고 정탐률을 높이며 자동화된 대응이 가능하도록 했다. 고객은 사용 환경에 따라 기존의 AL 기반 웹방화벽을 사용할 수 있지만, 서비스가 자주 바뀌고 공격에 상시적으로 노출되는 쇼핑몰, 광고·홍보 기업 등은 AL+ML 결합 모델을 고려하는 것도 좋은 방법이 될 것”이라고 설명했다.
한편 포티웹은 ‘포티넷 보안 패브릭’과 통합돼 다른 보안 기술을 회피하는 우회공격을 제거하고 전반의 보안 수준을 높일 수 있다.
