써드파티 소스코드 취약점 점검·대응 기술 필수
[데이터넷] 웹 보안 기술 중 최근 집중 주목받는 것이 폼재킹·웹 스키밍 방어 솔루션이다. 메이지카트와 같이 웹사이트 취약점을 이용해 사용자 정보를 훔치는 것을 막기 위한 솔루션이다. 메이지카트는 온라인 결제 페이지 취약점을 이용해 사용자가 입력하는 정보를 유출한다. 코로나19로 온라인 쇼핑이 늘면서 더욱 기승을 부리고 있는데, 5만여개의 쇼핑몰이 메이지카트 공격을 당했다.
웹스키밍은 온라인 결제 시 진행되는 프로세스에 악성 스크립트를 삽입해 사용자 결제 정보를 훔치는 것이며, 폼재킹은 웹사이트의 입력란 정보를 탈취하는 기법이다. 온라인 결제 사이트들이 대부분 비슷한 결제 포맷을 갖고 있기 때문에 사이트의 해당 위치에 입력하는 정보만을 유출해가는 방식이다.
써드파티 사용하는 웹사이트 83%
이러한 공격은 대부분 웹사이트 내 써드파티 서비스를 통해 진행된다. 대부분의 온라인 결제 프로세스는 이미 만들어진 써드파티 서비스를 연동해 사용하는데, 여기에 존재하는 취약점을 이용해 공격한다. 임퍼바 조사에 따르면 코드라인 1000개 당 25개 이상 취약점이 있으며, 써드파티 코드를 사용하는 웹사이트는 83%로 이 페이지는 별도의 보안 스캔을 하지 않는다. 또한 83%가 넘는 웹 애플리케이션이 오픈소스와 API를 통해 외부 시스템과 연결되는데, 이 과정에서도 보안 점검이 이뤄지지 않는다.
써드파티 서비스는 기업이 직접 보안 점검을 하기 어렵다. 보안 점검을 한다 해도 구축 전 점검 시 활동하지 않았던 취약점이 운영 과정에서 활동을 시작하면 알아차리기 어렵다. 또한 해당 모듈을 사용하는 온라인 쇼핑몰은 동일한 방법으로 공격할 수 있어 공격자들은 적은 노력으로 큰 이익을 볼 수 있다.
웹 응답속도 영향 없이 써드파티 소스코드 점검
이러한 공격을 방어하기 위해 여러 기업들이 관련 솔루션을 출시하면서 경쟁을 시작했다. 임퍼바는 ‘클라이언트 사이드 보호(Client-Side Protection)’를 소개하면서 시장 공략을 시작했다. 웹사이트에 별도의 클라이언트를 설치하거나 추가하지 않아 웹 응답 속도를 저하시키지 않으며, 써드파티 서비스에 대한 보안 가시성과 통제를 확보할 수 있게 한다. 클릭 한 번으로 위협을 탐지하고 완화할 수 있으며, 새롭게 추가된 서비스를 자동으로 스캔하고 위협을 안내할 수 있다. EU GDPR, PCI-DSS 등의 컴플라이언스도 만족할 수 있다.
F5는 사기 방어 기술 기업 세이프 시큐리티를 인수하고 관련 솔루션을 출시했다. 세이프는 폼재킹·스크래핑, 쇼핑카트 사기, 도난 신용카드 사기, 크리덴셜 스터핑, 신원 도용 사기 등을 막는다. 정교한 AI를 이용해 실시간으로 데이터를 분류하고 종합적으로 완화할 수 있으며, 정교한 봇도 탐지하고 차단할 수 있다.
아카마이는 ‘페이지 인테그레이티드 매니저(PIM)’로 이 공격을 막는다. 써드파티에서 제공받는 스크립트의 안전성을 검사해 취약점이 있는지 살펴보고 안전성 수준을 매겨 보고한다. 구축 전 뿐 아니라 운영 과정에서도 검사하기 때문에 폼재킹·웹스키밍 공격을 막을 수 있다.
김도균 아카마이코리아 웹 사업부 본부장은 “한국 기업들도 웹사이트 개발 시 써드파티 코드를 많이 사용한다. 사실 거의 대부분의 웹사이트에 써드파티 개발 코드가 삽입된다. 써드파티 코드의 안전성을 확인하고 운영하는 것인 피해를 예방하고 고객을 보호하며 기업 신뢰를 쌓는데 필수”라고 설명했다.
오픈소스 라이선스·취약점 관리 필수
써드파티 소스코드로 인한 위협은 메이지카트에만 국한되는 것은 아니다. 클라우드는 마이크로서비스 아키텍처를 채택해 미리 개발된 서비스를 레고블록처럼 조립해 빠르게 서비스를 완성한다. 마이크로서비스는 상용 소프트웨어 기업이 개발한 것을 사용하기도 하지만, 많은 경우 오픈소스 커뮤니티에서 가져온다. 오픈소스 커뮤니티에서 검증된 서비스를 이용하면 더 쉽게 안전한 클라우드 서비스를 완성할 수 있다.
오픈소스가 완벽하게 안전한 것은 아니다. 커뮤니티에서 지속적으로 오픈소스 코드를 검증해 새로운 취약점이 발견되면, 이를 공개하고 패치를 제공한다. 기업은 이를 이용해 패치를 적용하면 되는데, 문제는 어떤 소프트웨어에 어떤 오픈소스가 사용되는지 전혀 파악하지 못한다는데 있다. 또한 오픈소스를 사용해 소프트웨어를 개발하는 과정에서 저작권 위반 소지가 발생할 수도 있다.
시높시스 분석에 따르면 기업에서 사용하는 애플리케이션 99%가 오픈소스를 사용하고 75%는 취약점이 있는 코드를 사용하며, 이 중에서도 고위험 취약점 코드베이스가 49%에 이른다.
시높시스 솔루션을 국내에 공급하는 케이엠에스테크놀로지는 오픈소스 라이선스 관리와 보안 솔루션 ‘블랙덕 프로텍스’, ‘블랙덕 허브’를 통해 이러한 문제를 해결할 수 있다고 주장한다. 블랙덕은 오픈소스 관리 전문 솔루션으로 시높시스에 인수된 후 시높시스의 다양한 애플리케이션 테스트·취약점 관리 솔루션과 결합해 소프트웨어 품질을 높일 수 있도록 도와준다.
블랙덕은 기업·기관에 구축된 IT 시스템과 소프트웨어에 어떤 오픈소스 코드가 사용되고 이는지 알려주고, 라이선스 위반이나 취약점 여부를 체크한다. 전 세계 오픈소스 커뮤니티 및 위협 인텔리전스와 연동해 새롭게 발견된 취약점 정보를 제공해 제로데이 공격에도 빠르게 대응한다.
