봇 관리·API 보안·DoS 방어·지속적인 보안 통합돼야
웹방화벽만으로 모든 웹 공격 방어 못해
[데이터넷] 애플리케이션이 심각한 보안홀로 부상하고 있지만, 보호 방안은 충분하지 않은 것으로 보인다. 라드웨어의 ‘글로벌 애플리케이션과 네트워크 보안 리포트’는 애플리케이션 취약성이 현재 조직에서 가장 빠르게 증가하는 사이버 보안 위협이라고 설명했다. 또 다른 보고서 ‘웹 보안 현황’에서는 33%의 조직만이 웹방화벽으로 웹과 애플리케이션을 보호하고 있을 뿐이라고 밝혔으며, 또한 진화하는 애플리케이션 취약점 공격에 대응하는데 웹방화벽만으로 충분하지 않다고 강조했다.
애플리케이션 보안 기술 백서 ‘현대 애플리케이션을 안전하게 보호하는 4가지 주요 도전과제’에서는 OWASP TOP10 요구사항을 만족하는 웹방화벽이라고 해서 안전하지 않다고 주장한다. OWASP는 크로스 사이트 스크립트, SQL 인젝션 등 일반적인 웹 기반 공격을 막을 수 있지만, 웹방화벽을 우회하는 공격은 수 없이 많다.
백서는 이 점을 강조하며, 지능적 위협은 애플리케이션 보안 솔루션이 훨씬 더 많은 것을 해야 한다고 역설하고, 현대 애플리케이션 보안의 4가지 도전과제로 다음을 지목했다.
▲봇 관리= 인터넷 트래픽의 52%는 봇에 의한 통신이며, 그 중 절반은 악성봇이다. 그러나 기업의 79%는 악성봇과 정상봇을 구분하지 못한다. 악성봇은 네트워크 트래픽 낭비를 야기할 뿐 아니라 각종 보안 문제를 야기한다. 도스·디도스 공격을 일으키고, 네트워크에서 중요정보·개인정보를 수집하며, 경쟁사 영업·마케팅 전략을 탈취하기도 한다. 캡챠 우회하는 지능적인 봇 공격도 발생하며, 크리덴셜 스터핑을 통한 개인정보 수집에도 이용된다.
▲API 보안= IoT, 클라우드, 웹, 모바일 등 다양한 환경에서 애플리케이션이 사용되며, API로 연결된다. API를 통해 연결된 애플리케이션들이 서로 리소스와 정보를 공유하고 있는데, 이 연결 구간에 대한 보안이 해결되지 않아 공격 표면이 기하급수적으로 확장되다.
API 취약점을 이용해 각종 인젝션 공격과 프로토콜 공격, 파라미터 조작, 공격 사이트로 리다이렉션, 봇 공격 등이 방생한다. 라드웨어 조사에 따르면 API 공격의 1/3이 여러 다른 공격과 함께 서비스 거부 상태를 발생시킨다.
API 보안 문제에 대해 많은 전문가들이 경고하고 있지만, 여전히 많은 기업들이 API의 악성활동을 검사하지 않으며, 민감 데이터에 대한 API 접근을 허가하고 있다.
▲서비스 거부(DoS)= 애플리케이션 계층 DoS 공격은 매우 오래된 공격 방식이지만, 서비스 장애를 일으키는데 여전히 효과적이다. HTTP/S 플러드, 슬로우로리스, LOIC, Torshammer, 동적 IP 공격, 버퍼 오버플로, 브루트 포스 공격 등이 있다. 주로 IoT 봇넷에 의해 구동되는 애플리케이션 계층 공격은 선호되는 디도스 공격 벡터가 되었다. 아무리 최신 애플리케이션 보호 기능을 갖췄다해도 서비스 자체가 중단된다면 가치없는 것이 된다.
▲지속적인 보안= 데브옵스 개발환경에서는 민첩성을 위해 보안을 희생하는 경우가 많다. 신속한 개발과 롤아웃 방법론은 애플리케이션을 지속적으로 수정하고 업데이트하지만, 보안을 고려하지는 않는다. 이 때문에 민감한 데이터를 보호하기 위해 보안 정책을 적용하는 것이 쉽지 않다. 그러나 개발 완료된 서비스의 취약점을 개선하고 보안을 주입하는 것은 더 어려운 일이다.
머신러닝 보안 기술을 이용해 애플리케이션 리소스를 매핑하고, 가능한 위협을 분석하며, 실시간으로 보안 정책을 생성하고 최적화 해야 한다.
애플리케이션 수명주기 따른 반복·지속적 보안 제어 필수
애플리케이션으로 인한 위협에 대응하기 위해서는 애플리케이션 수명주기 내에서 끊임없이 반복적이고 지속적인 보안 제어를 운영해야 한다. 또한 미래 인프라 환경과 공격 벡터에 적응할 수 있도록 유연성을 확보해야 한다.
이를 가능케 하기 위해서는 다음의 6가지 사항을 확인해야 한다.
▲애플리케이션 보안 솔루션은 웹·및 모바일 애플리케이션뿐만 아니라 API도 포함해야 한다.
▲정교한 봇 기반 공격을 극복하기 위한 봇 관리 솔루션을 사용해야 한다.
▲애플리케이션 보안 솔루션에 반드시 DoS 공격 완화가 통합돼야 한다.
▲컨테이너형 애플리케이션과 서버 없는 기능을 보호하고 자동화, 프로비저닝, 조정 툴과 통합해야 하는 미래형 솔루션이 필요하다.
▲데브옵스·애자일 개발 관행을 따라잡으려면 보안 솔루션이 보안 정책을 실시간으로 자동으로 업데이트할 수 있어야 한다. 복잡성을 제거하고 리소스 활용을 최소화하기 위해 완전하게 관리되는 서비스를 고려해야 한다.
