써드파티 소스코드 통한 공격, AI 이용해 대응
[데이터넷] 웹을 이용한 공격은 웹사이트에 악성 스크립트를 삽입해 방문자를 감염시키는 것을 대표적으로 들 수 있다. 웹을 이용하는 업무가 늘어나면서 이 공격은 더욱 지능화되고 있는데, 써드파티 소스코드, 배너 등 기업이 직접 운영하는 웹사이트가 아닌 다른 소스를 통한 감염 사례도 발생한다.
사용자가 악성 웹사이트, 유해 사이트 및 비업무 사이트에 접속하는 것을 막는 유해사이트 차단, URL 필터링, 보안 웹 게이트웨이(SWG) 등은 웹 보안의 필수 솔루션으로 선택받아왔다. 최근 이를 클라우드로 제공해 고도화된 지능형 공격을 막고 유연하게 웹 보안 정책을 적용하는 시도도 나타나고 있다.
지스케일러가 클라우드 보안 플랫폼 ‘ZIA’를 통해 제공하는 SWG 기능은 글로벌 SWG 시장 1위 업체를 바짝 뒤쫓고 있으며, 국내에서도 여러 대규모 고객을 확보하면서 시장 점유율을 높이고 있다. 지스케일러 ZIA는 가장 강력한 경쟁사 솔루션과 비교해도 가격이나 성능 면에서 우월한 지위를 차지한다. 1만 5000명 규모 고객이 3년간 사용한 실제 사례를 비교하면, 28억여원(244만달러)을 절약했다. 이 고객은 3개 지역에서 지스케일러를 인터넷 게이트웨이로 사용, SWG·DLP 기능을 이용해 비용 절감과 관리 업무 절감 효과를 거뒀다.
아카마이는 ‘엔터프라이즈 위협 보호(ETP)’가 SWG 역할을 한다고 소개한다. 클라우드로 제공되는 이 솔루션은 전 세계 인터넷과 DNS 트래픽에 대한 인사이트, 멀웨어 탐지 엔진을 기반으로 악성 웹사이트 접속을 차단한다.
격리 기술로 웹 통한 위협 원천 제거
사용자가 악성 사이트로 접속하는 것을 막는다는 점에서 원격 브라우저 격리(RBI) 기술도 SWG 기능을 한다고 볼 수 있다. 이 시장의 전문기업 멘로시큐리티는 가트너가 작년 11월 발간한 ‘SWG 매직쿼드런트’에 자사 솔루션을 포함시켰다는 점을 강조하며 “기업은 모든 공격을 탐지하려는 노력을 그만두고 실제 위협이 되는 공격을 격리하는 기술을 도입해야 한다. 가트너는 2022년까지 25%의 기업이 전통적인 SWG를 격리 기술로 대체할 것이라고 내다봤다”고 강조하고 있다.
격리는 사용자가 방문하려는 웹사이트를 격리된 가상 브라우저에서 실행해 악성 스크립트 등이 활동하지 못하도록 한다. 멘로시큐리티는 2세대 격리 기술을 제공해, 멀티 테넌트 글로벌 클라우드 격리 기술을 제공한다. 클라우드에서 자동 확장 가능한 대리 브라우저를 실행하며, WAN 대역폭 사용량을 줄일 수 있다.
소만사는 국내 환경에 최적화된 프록시 기술을 이용한 SWG 제품으로 웹을 통한 감염이나 정보유출을 차단한다. 소만사 프록시 기술은 암호화 트래픽을 모두 복호화해 분석, 위협을 차단하며, 엔드포인트 보안 기술과 접목해 모든 경로에서 위협을 차단한다. 특히 소만사는 엔드포인트 DLP와 EDR 솔루션을 통합해 하나의 에이전트에서 위협 방어와 데이터 유출 차단을 지원할 수 있다.
김대환 소만사 대표는 “망분리를 한다 해도 지능화되는 공격이나 보안 정책을 우회하는 직원의 문제를 해결하지 못한다. 특히 WFA 환경에서는 인터넷을 이용해 다양한 협업과 데이터 공유를 수시로 진행하기 때문에 다양한 웹 악용 공격으로부터 보호할 방법이 필요하다”며 “소만사는 지능형 웹 보안 및 네트워크와 엔드포인트를 연계한 보안 정책을 통해 보안 문제를 간단 하게 해결할 수 있도록 한다”고 말했다.
메이지카트 공격 방어 솔루션 등장
지난해부터 인터넷 쇼핑몰을 노린 메이지카트 공격이 극성을 부리고 있다. 집에 머무는 시간이 많아지면서 온라인 쇼핑이 늘어나자 공격자들은 신용카드 정보 등을 입력하는 웹 페이지를 해킹해 사용자가 입력하는 정보를 빼내고 있다.
폼재킹, 웹 스크래핑이라고도 불리는 이 공격은 전자결제에 사용되는 웹 페이지 뿐 아니라 웹사이트 분석을 위한 구글 애널리틱스, 마케터 서비스 등 다양한 써드파티 소스를 통해 공격을 진행한다.
보통 이 같은 써드파티 소스에 대한 보안 점검을 하지 않는다. 시간이 촉박하거나 점검 프로세스가 없어서, 혹은 소스코드가 아니라 바이너리 파일로 받을 경우 소스코드 점검이 어려워 별도의 보안 점검을 하지 않는다.
우리나라에서는 키보드 보안 솔루션을 이용해 사용자가 입력하는 정보가 무단으로 탈취당하지 않도록 대응하고 있지만, 해외 사이트는 이러한 보안 대책이 없기 때문에 많은 피해가 발생하고 있다. 최근 간편결제가 널리 사용되면서 사용자 단의 보안 대책이 소홀한 측면도 있어 국내 기업들도 관심을 갖고 있다.
임퍼바는 ‘클라이언트 사이드 프로텍션(CSP)’을 통해 이 공격을 막는다. CSP는 웹서버에서 클라이언트로 보내는 과정에서 작동하며, 클라이언트에서 실행되는 스크립트를 통제해 공격을 차단한다. 임퍼바 클라우드 WAF를 통해 제공되는 CSP는 기업에서 운영하는 여러 도메인 중 외부에서 가져온 리소스 리스트를 보여주고 이 중 위험도가 높은 것, 차단하거나 점검해야 할 것을 알려줘 대응하도록 한다.
아카마이는 ‘페이지 인터그리티 매니저(PIM)’를 이용해 손상된 스크립트를 제거하고 웹사이트를 안전하게 운영할 수 있도록 한다. 이 솔루션은 사용자 계정을 훔치거나 사용자 경험에 영향을 주는 데 사용되는 손상된 스크립트를 식별한다. 취약한 리소스 식별, 의심스러운 행동 탐지, 자바스크립트 위협으로부터 웹 사이트를 보호하며, 의심스러운 스크립트 활동을 실시간으로 탐지해 숨겨진 공급망 공격을 효과적으로 차단한다.
F5네트웍스는 ‘세이프시큐리티’를 인수하면서 이 시장에 뛰어들었다. 세이프시큐리티는 AI를 이용해 크리덴셜 스터핑, 스크래핑, 메이지카트, 도난당한 신용카드를 이용한 사기, 디지털 신원 관리 등의 다양한 웹 보안 기술을 제공한다.
