스캠·피싱·웹 기반 멀웨어, WFA서 더 극성
클라우드 웹방화벽으로 진화하는 웹 공격 방어
[데이터넷] 코로나19로 집, 카페, 지점·지사, 기타 원격지 등 어디에서나 근무하는 ‘WFA(Work from Anywhere)’가 확산되면서 공격 방식도 변하고 있다. 대부분의 업무는 웹과 애플리케이션, 이메일을 이용하는데, WFA가 확산되면 웹·애플리케이션 사용률은 더 늘어난다. 현재 기업에서는 700~800개의 애플리케이션을 사용하는 것으로 분석되며, 앞으로 더 가파르게 증가할 것으로 보인다.
트렌드마이크로 ‘2020 상반기 위협 보고서’에 따르면 올해 상반기 발견된 코로나19 관련 사이버 위협의 91.5%가 이메일을 이용한 것이었다. 전 세계에 코로나19가 급속하게 확산된 3월부터 4월까지 정점에 이른 것으로 나타났다. 이 시기 건강 관련 정보, 기부 요청 등의 내용으로 위장한 피싱 메일이 급증했다.
포티넷의 ‘2020년 상반기 글로벌 위협 전망 보고서’에서는 국가 기반 공격자들도 WFA를 노리고 있으며, 사용자 기기와 웹 브라우저, 가정용 공유기 및 IoT 기기 등을 노리고 있다는 점을 강조했다. 또한 스캠, 피싱, 웹 기반 멀웨어 등은 WFA에서 더 극성을 부리고 있다고 경고했다.
웹, 이메일, 클라우드는 접근이 쉬기 때문에 공격도 쉽다. 거의 모든 웹과 애플리케이션에 취약점이 있다. 트렌드마이크로의 신규 취약점 탐지 프로그램인 제로데이 이니셔티브(ZDI)는 지난해 하반기보다 74% 증가한 총 786건의 권고사항을 발표했다.
아카마이 조사에서는 멀웨어가 포함된 웹사이트로 접속하는 시도가 3월초부터 5월초 까지 동기 대비 447% 증가한 것으로 나타났다. 이러한 사이트는 웹 보안 취약점을 이용해 악성 스크립트를 삽입하거나 써드파티 소스코드, 외부 배너 등을 이용해 방문자를 감염시키고 사용자가 입력하는 주요 정보를 탈취한다.
SECaaS로 확대된 보안 경계 보호
보안 경계가 집까지 확대된 환경에서 기존과 같은 중앙 구축형 보안 솔루션으로 보안위협에 대응하지 못한다. 특히 변화가 많은 웹·애플리케이션 보안을 위해서는 새로운 방식의 보안 대응이 필요하며, 클라우드 보안 서비스(SECaaS)가 대안이 될 수 있다. SECaaS는 보안전문기업이 최신 위협까지 대응할 수 있도록 하며, 사용자 위치에 상관없이 지속적으로 보호하기 때문에 WFA 환경에 최적화된 보안 정책이 가능하다.
아카마이는 인텔리전트 엣지 플랫폼을 통해 사용자와 가장 가까운 곳에서 보안 정책을 적용해 다양한 웹· 애플리케이션 공격에 대응한다. 아카마이의 웹 보안 서비스 ‘코나 사이트 디펜더(KSD)’는 웹방화벽, 디도스 차단, 멀웨어 차단 등의 기능을 제공한다. 클라우드 기반 ID 인지 프록시(IAP) ‘엔터프라이즈 애플리케 이션 액세스(EAA)’를 이용해 제로 트러스트 네트워크 접근을 제공해 권한 있는 사람만 애플리케이션에 접속 할 수 있게 한다.
웹방화벽 분야 글로벌 리더인 임퍼바도 국내 SECaaS 플랫폼 사업을 적극 전개하고 있다. 임퍼바 SECaaS의 ‘클라우드 WAF’는 글로벌 시장 점유율 1위 웹방화벽 기술을 적용하고 있으며, 최대 6TB의 트래픽을 수용할 수 있는 대규모 인프라를 기반으로 서비스된다. 서울에 리전이 마련돼 있어 국내 컴플라이언스 요건을 충족시킨다. 클라우드 WAF는 고도화된 웹 공격 차단과 봇 차단, 유연한 사용자 정의 정책을 제공하며, 포괄적인 가시성을 제공 하고 높은 관리 편의성을 보장한다.
컨테이너 지원 웹방화벽 ‘주목’
최근 웹방화벽 시장에서는 컨테이너 지원 기술이 뜨거운 이슈로 떠오르고 있다. 도커와 같은 컨테이너 기술이 클라우드 개발·운영에 사용되면서 새로운 보안 요구사항이 등장하고 있다. 라드웨어는 도커 오케스트레이터인 쿠버네티스를 기반으로 설계된 웹방화벽을 통해 도커 환경까지 보호하는 웹 보안 기술을 소개 한다.
라드웨어 쿠버네티스 웹방화벽은 네거티브·포지티브 보안 모델을 모두 수용하며, 지도학습·비지도학습 머신러닝 모델을 적용해 오탐 없이 지능적으로 위협을 탐지한다. 애플리케이션 변화를 감지해 동적으로 정책을 생성, 지속적으로 업데이트해 관리 편의성을 높인다.
F5네트웍스는 오픈소스 웹서버 솔루션 기업 NGINX 를 인수한 후 여기에 F5 웹방화벽 기술을 적용했다. 이를 통해 도커·쿠버네티스 환경에서도 지능적인 웹 보 안 기술을 적용할 수 있게 했다. F5의 애플리케이션 보 안 플랫폼은 AI를 적용해 지능적이고 고도화되는 웹 위협을 차단한다. 마이크로서비스 지원, L4/L7 기반 공격 방어, 사용자 행위 분석, 사기 거래 탐지, 모바일 봇 차단 등의 기능을 제공한다.
토종 기업도 ‘클라우드 웹방화벽’ 열풍 합류
국내 웹방화벽 기업들도 글로벌 트렌드를 따라 고도화된 서비스를 연속 출시하면서 진화시키고 있다. 모니 터랩은 SECaaS 플랫폼 ‘아이온클라우드’를 통해 다양한 웹 보안 서비스를 제공한다. 아이온클라우드는 웹 방화벽, 웹 멀웨어 차단, 차세대 방화벽, DLP, SWG, 위협 인텔리전스, SASE 등을 통합하고 있다.
리버스 프록시와 포워드 프록시 기술을 이용해 웹사이트가 감염되는 것을 방지하고 사용자가 웹을 통해 감염돼 공격에 이용되는 것도 막을 수 있다. 또한 셀프 러닝 엔진을 이용해 클라이언트 정상 요청과 웹서버 응답을 토대로 프로파일링 DB를 구축하고 위협 인텔리전스를 한층 강화한다.
