웹을 이용한 공격 중 워터링홀, 드라이브 바이 다운로드, 멀버타이징 등은 웹사이트 혹은 광고 배너가 감염돼 방문한 사용자에게 악성코드를 다운로드해 공격 통로를 만들어주는 것이다. 이 공격은 대규모 불특정 다수를 감염시키거나 타깃 사용자 그룹을 감염시키기 위해 진행된다. 우리나라에서 군, 국방, 대북·안보관련 기관, 탈북자 및 탈북자 단체 등을 노리는 공격에서 특히 많이 나타나며, 이들이 주로 방문하는 웹사이트를 감염시킨다.
이러한 공격을 차단하기 위해서는 웹 애플리케이션을 개발할 때 시큐어코딩을 적용해 취약점을 제거하고 정기적인 취약점 점검을 실시해야 한다. 그러나 대고객 업무가 아닌 웹사이트의 경우, 웹사이트에 악성코드가 있다 해서 자사 비즈니스에 큰 타격을 입는 것은 아니기 때문에 관리에 소홀하다. 또한 공격자는 일정 시간 동안만 악성링크를 삽입했다가 지우기 때문에 사이트 변조를 상시 모니터링하지 않으면 공격에 이용당하기 쉽다.
웹 기반 공격 피해 차단하는 SWG
공격으로 인해 피해를 입지 않기 위해 방문하려는 사이트에 위험한 콘텐츠가 있는지, 피싱사이트가 아닌지 먼저 점검하고 안전한 사이트로만 접속할 수 있도록 도와주는 솔루션이 필요하다. 보안웹게이트웨이(SWG)가 이러한 기능을 하는 솔루션으로, 유해사이트 차단, 멀웨어 감염 방어, 정보유출 방지의 기능을 수행한다.
실제 업무 환경에서 SWG를 이용할 때 많은 현실적인 어려움이 있다. 업무에 직접적으로 영향을 미치기 때문에 오탐 없는 인터넷 접속 통제가 가능해야 하고, 원데이원더와 같이 일시적으로 악성코드를 유포하고 사라지는 사이트도 지능적으로 탐지해야 한다.
높은 평판을 가진 사이트도 일시적으로 노출된 취약점으로 인해 악성링크가 삽입돼 단 몇 시간 동안 수많은 방문자를 감염시킬 수 있다. 사이트 평판정보, 블랙리스트/화이트리스트와 같은 방식만으로는 웹사이트의 보안 수준을 평가할 수 없으며, 다양한 예외처리와 까다로운 정책 설정 등의 요구가 있다.
김영표 시만텍코리아 부장은 “SWG 필요성에는 누구나 동감하지만 운영하기가 어렵기 때문에 실제 도입 사례는 많지 않다”며 “높은 보안 수준을 필요로 하는 연구소, 엔터프라이즈, 금융 등의 분야에서 도입하고 있지만, 더 다양한 고객군을 확보하는것은 쉽지 않다”고 말했다.
클라우드 SWG로 고객 확대
우리나라에서는 SWG 확산에 더욱 제약이 있다. 우리나라 공공기관 등은 규제에 따라 유해사이트 차단 솔루션을 도입하도록 되어 있어 규제준수 요건을 만족하는 저가의 솔루션이 다양하게 제공돼왔기 때문이다.
이러한 제약을 극복하기 위해 클라우드에서 SWG를 운영하는 서비스 모델이 제안되고 있으며, DLP와 결합한 SWG로 보안 효과를 높이는 방안이 제안된다. SWG 시장의 절대강자인 시만텍 ‘프록시SG’는 AWS에서 SaaS로 서비스되며, 조만간 MS 애저에서도 제공할 수 있게 된다.
프록시SG는 시만텍 DLP와 결합해 보안 기능을 더욱 강하했으며, 의심스러운 웹 요청이나 이메일을 격리해 내부 시스템을 보호하는 ‘아이솔레이션(Isolation)’ 기능을 더해 지능적인 공격 탐지 효과를 높였다.
프록시SG는 온디맨드 클라우드 인텔리전스를 통해 최신 보안위협으로부터 사용자를 보호한다. 시만텍의 글로벌 인텔리전스 네트워크(GIN)가 분석한 최신 리스크를 결합하며, 매일 1만5000여 엔터프라이즈 고객과 수백만의 엔드유저로부터 10억여건의 새로운 웹 요청을 수집·분석해 최신 동햐에 대처할 수 있다.
암호화 트래픽을 복호화해 분석하며, 복호화된 트래픽을 다른 보안 장비로도 연계시켜 IT 시스템 전반의 SSL 트래픽 처리 성능을 개선한다. 시만텍과 써드파티 안티바이러스, 샌드박스, 콘텐츠·컨텍스트 인식 기능을 결합해 보안 탐지 효과를 크게 개선한다.
모든 트래픽 지능적으로 검사해 안전한 웹 서핑 지원
차세대 SWG로 제안하는 ‘ASG(Advanced Secure Gateway)’는 프록시SG와 콘텐츠 분석(CA) 솔루션의 인텔리전스를 연계한 통합 웹 보안 솔루션으로, 모든 웹 트래픽을 싱글패스 방식으로 분석해 보안 분석 효과를 높이고 웹 전반의 성능을 개선하며, 지능적이고 은밀한 공격을 차단한다.
아이솔레이션은 위험한 미분류 웹사이트와 잠재적인 리스크가 포함된 웹과 이메일을 격리시켜 비즈니스 생산성에 영향을 주지 않고도 안전한 웹 서핑이 가능하도록 한다. 이 기술은 프록시SG, ASG, 가상SWG와 함께 사용해 잠재적인 위협으로부터 내부 시스템을 보호한다.
김영표 시만텍코리아 부장은 “웹 없이 일상 업무가 불가능한 상황에서, 지능적으로 타깃 사용자를 감염시키려는 공격자에 대응하기 위해서는 SWG와 같은 웹 접속 제어 기술이 반드시 필요하다. 현재까지 SWG는 운영이 어렵고 가격이 비싸다는 인식 때문에 확산에 어려움을 겪었지만, 클라우드 서비스 모델을 통해 보다 쉽게 도입할 수 있도록 지원하는 한편, 시만텍의 다른 여러 보안 기술과 결합하면서 위협 대응 능력을 높여 시장 확산에 적극 나설 것”이라고 밝혔다.
