[데이터넷] 웹 보안 분야에서 클라이언트 사이드 웹방화벽(Client-Side WAF)이 집중 조명을 받고 있다. 우리나라에서는 크게 주목되지 않았지만, 2018년부터 메이지카트(Magecart)라는 해커그룹이 쇼핑몰 사이트 카드 결제 모듈을 해킹해 신용카드 정보를 탈취하고 장바구니를 조작하면서 이 기술에 대한 수요가 생겼다.

이는 대부분 웹사이트들이 외부 라이브러리에서 모듈을 가져와 사이트에 적용하는데, 이때 취약점 점검을 잘 하지 않기 때문에 생기는 문제다. 클라이언트 사이드 웹방화벽은 기업 웹서버가 아니라 클라이언트에서 웹 보호 기능을 제공해 미처 알지 못했던 써드파티 위협으로부터 사용자를 보호한다.

아카마이 조사에 따르면 웹사이트 스크립트의 67%를 외부에서 가져오는데, 알려진 취약점은 스캐너로 제거할 수 있지만, 알려지지 않은 취약점이 있다면 이 코드를 사용하는 모든 서비스에서 공격이 일어날 수도 있다. 이 같은 공격이 해외에서 상당한 피해를 일으켰으며, 코로나19로 웹 서핑과 인터넷 쇼핑이 늘어나면서피해가 급증했다.

이 공격은 쇼핑몰 사이트에서 신용카드 정보를 훔치는 것으로 끝나지 않는다. 배너광고에 악성코드를 삽입하고 깃허브·오픈소스 라이브러리에 악의적인 코드를 업로드 해 광범위한 공격을 진행할 수 있다.

IDC의 ‘새로운 보안 개척자: 클라이언트 사이드 웹방화벽’ 보고서에서 이 위협에 대해 상세히 설명하며 클라이언트 사이드 공격은 대규모 공격이 가능해 지금까지 발생한 공격의 위험 수준을 뛰어넘을 수 있다고 경고했다. 그러면서 클라이언트 사이드 웹방화벽은 클라이언트에서 위협을 직접 제어하기 때문에 보다 확실한 보안 효과를 제공할 수 있으며, 웹서버에 부담을 주지 않아 웹서버 성능을 보장하면서 웹 보안을 강화할 수 있다고 설명했다.

클라이언트 사이드 웹방화벽은 이미 여러 기업들이 관련 솔루션을 출시하고 시장 공략에 나섰다.

임퍼바의 ‘클라이언트 사이드 프로텍션(CSP)’은 임퍼바 클라우드 WAF를 통해 제공되며, 클라이언트에서 실행되는 스크립트를 통제해 공격을 차단한다. 기업에서 운영하는 여러 도메인 중 외부에서 가져온 리소스 리스트를 보여주고 이 중 위험도가 높은 것, 차단하거나 점검해야 할 것을 알려줘 대응하도록 한다.

F5는 지능형 보안 기업 ‘쉐이프(Shape)’를 인수한후 SaaS로 서비스해 사용자와 기업·기관을 온라인 사기로부터 보호한다. 매니지드 서비스로 제공되는 쉐이프는 전문가와 AI를 통해 관리되며, 130여개 사용자 행위 판단 기술을 이용해 웹서비스에 접근하려는 사용자가 정상 사용자인지 확인하고 정상 사용자일 경우만 접근을 허용한다.

아카마이는 2019년 전문기업 카멜레온엑스(ChameleonX)를 인수한 후 자사 플랫폼에 최적화하고 기능을 고도화 한 ‘페이지 인테그리티 매니저(PIM)’를 공개했다. 이 솔루션은 매일 64억개의 스크립트를 분석하고, 매월 37억개 이상의 페이지를 보호하며, 매주 약 4000만건의 의심스럽고 악의적인 최종 사용자 상호작용을 관찰한다.

피싱 공격 피해 막는 솔루션 등장

정상 인터넷 사이트로 위장하는 피싱 공격의 피해를 막기 위한 솔루션도 등장했다. 그룹IB의 ‘디지털 위협 보호(DRP)’는 인터넷에서 벌어지는 불법적인 사용으로부터 고객의 지적재산권과 브랜드 가치를 보호한다.

머신러닝, 사이버 보안 기술, 브랜드 보호 전문가들의 법률적 경험을 결합시킨 DRP는 인터넷과 딥웹·다크웹, 모바일 앱스토어, 상황별 광고, 온라인 광고와 마켓플레이스, 소셜미디어, 피싱 데이터베이스에서 브랜드 이름을 언급하거나 유사한 이미지를 사용하는 것을 찾아 위반 여부를 결정하고 대응할 수 있도록 도와준다. 스캠방지, 위조 방지, 불법복제 방지 등으로 활용되며, 명품 브랜드, 전자제품, 주류, 자동차, 보험, 미디어 산업 등 다양한 산업군에서 금전 손실과 평판 손실을 방지하는데 사용된다.

또 그룹IB는 사기헌팅 플랫폼(FHP)으로 사기거래 시도도 탐지한다. 디바이스 핑거프린팅, 행위분석 기술 등의 고급 기술을 이용해 사기거래 의심상황을 탐지하고 대응할 수 있다. 현재 금융권의 FDS는 주로 룰과 시나리오를 기반으로 동작하고 있으며, FHP를 더하면 룰·시나리오를 우회하는 정교한 사기행위까지 대응할 수 있다.

악성 봇·계정탈취 공격 심화

웹 보안 시장에서 최근 심각한 문제가 되는 것이 악성봇이다. 자동화된 악성 봇이 크리덴셜 스터핑과 계정탈취, 지능형 디도스, 취약점 공격, 데이터 유출 등에 사용된다. 최근 봇은 행위기반 탐지를 우회하기 위해 사람과 같은 행동을 보이는데, 사람과 같은 속도로 천천히 타이핑하고, 마우스를 움직이는 것처럼 위장하거나 사람들이 자주 하는 오타와 같은 실수를 일부러 보이기도 한다.

그래서 악성봇 탐지 솔루션들은 행위분석 기술을 더 정교화해 마우스의 움직임, 클라이언트 환경 분석, 키 입력 행위의 패턴 등을 분석해 봇 여부를 판단한다. 예를 들어 사람처럼 느리게 움직이는 마우스라 해도, 움직이는 패턴이나 클릭하는 위치가 일정하게 정해져 있다.

사람은 봇 처럼 정확하게 일치된 행동을 보일 수 있다. 키 입력하는 속도와 압력도 사람은 기계처럼 일정하지 않으며, 정상 사용자의 클라이언트라면 당연히 설치되어야 할 필수 프로그램과 플러그인이 봇 환경에서는 설치되지 않는다.

악성봇이 수행하는 위협 행위는 디도스, 계정탈취, 웹 스크래핑을 통한 경쟁사 정보 탈취 등 다양하다. 이 중 크리덴셜 스터핑과 같은 계정탈취 공격은 수많은 지능형 공격에 사용되기 때문에 더욱 민감하다.

임퍼바의 지능형 봇 차단 솔루션 ‘어드밴스드 봇 프로텍션(ABP)’는 봇 차단 기술을 우회하는 지능형 봇 까지 대응할 수 있다. 임퍼바 조사에 따르면 전체 웹 트래픽의 40%는 봇이며, 이 중 60%는 악성봇이다. 즉 웹 트래픽의 24% 이상이 악성 봇에 의한 것이며, 이를 통해 중요정보 유출 사고를 당할 수 있고, 트래픽 비용을 불필요하게 낭비하기도 한다.

ABP는 임퍼바가 그동안 축적한 악성 봇 DB를 활용해 알려진 봇을 차단하고, 이를 우회해 정상 트래픽으로 위장해 접속하는 봇은 17가지 머신러닝 기반 기술을 이용해 차단한다. 암호화 트래픽도 핑거프린팅 기술 등을 이용해 대응한다.

ABP 솔루션을 도입한 기업들은 86%~96%의 봇 트래픽 위협을 감소하는 효과를 거뒀으며, 이를 통해 자동화된 보안위협을 감소한 효과를 누렸다.

아카마이는 악성봇 차단 솔루션 ‘봇 매니저’를 통해 진화한 봇 공격을 차단하고, 악성 IP DB인 ‘클라이언트 평판(CR)’을 이용해 악성 IP 선제방어가 가능하다. 계정 탈취 공격을 사전에 식별하고 차단하는 ‘어카운트 프로텍터’로 봇 방어 기능을 보완해 악성 사용자와 자동화된 위협에 대응한다. 어카운트 프로텍터는 머신러닝, 행동 분석, 평판 휴리스틱(heuristics)을 통해 모든 로그인 요청을 지능적으로 평가하여 정상 사용자인지 아닌지 확인한다.