[데이터넷] 애플리케이션 취약점을 완전히 제거하는 것은 불가능하다. 개발·테스트·배포 과정에서 취약점 테스트를 한다 해도 운영하는 과정에서 새로운 취약점이 발견되기도 하며, 오픈소스·써드파티 등 SAST·DAST로 검사할 수 없는 소프트웨어도 많기 때문이다. 그래서 애플리케이션이 스스로 보호하는 RASP가 주목받고 있다. 특히 RASP는 소프트웨어 공급망 공격을 방어하는 기술로도 꼽히고 있다. <편집자>

어떤 결과의 원인이 되는 근본적인 문제를 해결해 나쁜 결과 혹은 의도치 않은 피해를 회피할 수 있는 경우가 있고, 그렇지 못한 경우가 있다. 후자의 경우는 원인이 자신에게 있기 보다는 자신이 관계하고 있는 ‘외부’에 있는 경우가 대부분이다. 관리(Manage & Control) 할 수 없는 영역에서 피해를 주는 원인이 있는 경우, 우리가 취할 수 있는 최선의 방법은 피해를 최소화하는 것이다.

공급망 공격은 대표적으로 우리가 관리할 수 없는 영역이 원인이 돼 우리에게 피해를 주는 공격이다. 당연하게 우리와 연결돼 있는 공급망의 증가 속도에 비례해 증가하고, 공격으로 인한 피해의 규모도 커진다.

솔라윈즈 해킹 사고로 인해 아홉 곳의 미국 연방 정부 기관과 100여개의 민간 기업이 피해를 입었다. 전문가가 아니어도 ‘생태계(ECO-System)’라고 불리는 연결이 증가할수록 공급망 공격의 피해는 더욱 많아지고 커질 것을 예상할 수 있다.

전문가들은 현재의 시스템을 빙산과 비교한다. 전체 시스템에서 직접 개발해 제안에 있는 영역은 ‘빙산의 일각’일 뿐이며, 70% 이상을 차지하는 수면 아래에 있는 부분이 통제권을 벗어난 영역이다. 시스템 운영에 사용되는 타사 제품, 운영체계(OS), 데이터베이스(DB), 오픈소스, 컨테이너, 애플리케이션 런타임, API 연결 등이 여기에 해당한다. 그래서 전문가들은 신뢰하는 사람·시스템으로 인한 피해를 최소화하기 위한 보안 접근법인 제로 트러스트 기반 시스템과 네트워크·애플리케이션에 대한 면역체계(Immune System) 구축의 중요성을 강조한다.

애플리케이션 보호 특화 솔루션

2012년 가트너가 정의한 RASP(Runtime Application Self-Protection)는 용어 자체에서 이해할 수 있는 것과 같이 애플리케이션 보호를 목적으로 한다. 방화벽으로 대표되는 전체 네트워크, 전체 시스템을 보호하는 범용적인 보안제품과 달리 애플리케이션 보호에 특화된 솔루션이다.

‘특화됐다’는 의미는 환경과 상황에 속되지 않는 것을 의미한다. 온프레미스 데이터센터와 클라우드 상에서 운영할 수 있으며, 대외 서비스용 플리케이션, 내부용 애플리케이션 등 모든 애플리케이션에 적용할 수 있다. 그리고 애플리케이션에 자가방어(Self-Protection) 기능을 부여한다.

바이트코드 삽입(BCI) 기술은 대부분의 애플리케이션 성능 니터링(APM) 제품이 사용하는 기술로, RASP도 이 기술을 사용한다. APM이 애플리케이션 각 요소들의 성능을 측정하기 위해 하는 것과 같이 RASP는 애플리케이션 내부에 자가방어 기능을 부여하기 위해 소스코드 수정 없이 바이트 코드(Byte Code)에 자동으로 보안 기능을 편성한다. 즉, 보안 기능이 없는 애플리케이션에 보안 기능을 추가(Patch)한다.

<그림 1>과 같이 자가방어 기능을 갖게 된 애플리케이션은 내부로 유입되는 모든 트래픽의 흐름과 동작을 모니터링한다. 입력된 값이 인젝션(Injection) 공격인지, 허용되지 않은 데이터베이스로 접근을 시도하는지 시스템 내부 정보 등을 수집해 외부의 특정 시스템과 통신을 하는지 등을 감시한다.

웹방화벽과 차이를 설명하면 좀 더 이해가 쉽다. 미국 정보보호 전문 연구기관 SANS 인스티튜트 보고서 ‘내부에서 보호하는 방법: 애플리케이션 보안 방법 비교(Protection from the Inside: Application Security Methodologies Compared)’에 따르면 웹방화벽이 주로 패턴 매칭 기법을 사용하는데 비해 RASP는 유입되고 유출되는 데이터의 흐름을 보기 때문에 좀더 정확하게 위협을 판단할 수 있다.

웹방화벽은 적용하기 위해 많은 테스트와 최적화 세팅을 필요로 하지만, RASP는 손쉽게 설치(Time to Value)할 수 있다. 웹방화벽은 과다한 트래픽이 유입되는 경우 바이패스(ByPass) 모드로 전환되지만, RASP는 애플리케이션이 동작하는 한 지속적으로 그 기능을 제공해 페일오픈(Fail Open)이 발생하지 않는다. 그리고 RASP의 경우 스택 트레이스(Stack Trace) 기능을 이용해 공격을 받은 위치(코드 상의 위치)를 정확하게 포인팅해 개발자 및 운영자에게 피드백이 가능하다는 장점을 가지고 있다.

SW 취약점 공격 차단하는 RASP

‘오비이락(烏飛梨落)’일 수 있지만, 솔라윈즈 해킹 등 공급망 공격으로 인한 피해가 급증하고 있을 때 미국표준기술연구소(NIST)에서 미 정부기관과 관련된 업체에서 정보시스템 보호에 참고할 수 있도록 발행하는 가이드 문서인 SP(Special Publication) 800-53 Rev5에 RASP를 추가했다.

보고서에서는 “RASP는 애플리케이션에 대한 이해가 부족한 경계선 보안과는 다른 형태로 동작하며, 런타임 계측(Runtime Instrumentation) 기술을 이용해 소프트웨어 취약점을 이용한 공격을 탐지·차단하고, 악의적인 공격으로부터 런타임 환경을 보호한다”고 설명했다.

NIST 문서에서 주목할 부분은 RASP가 애플리케이션으로 유입되는 입력 값과 행위를 모니터링해 소프트웨어 취약점을 이용한 공격을 탐지·차단한다는 것이다. 대부분의 공급망 공격은 취약점을 이용한다. 애플리케이션을 구성하는 구성요소(운영체계, 오픈소드 등)들이 갖고 있는 취약점을 공격해 공격자들은 애플리케이션에 대한 제어권을 획득하고 자신이 원하는 정보를 갈취하게 된다.

웹방화벽과 RASP간의 결정적인 차이가 또 있다. 웹방화벽은 남-북(North-South) 트래픽만 모니터링하지만, RASP는 동-서(East-West) 트래픽까지 모니터링할 수 있다는 점이다. 따라서 RASP를 사용하는 경우 사용자는 다음과 같은 두가지 이점을 가지게 된다.

• 애플리케이션을 구성하는 구성요소의 취약점에서 비롯되는 공격으로부터 애플리케이션 보호
• 내부 네트워크가 공급망 공격 혹은 랜섬웨어 공격에 노출돼 내부로부터 애플리케이션이 공격 당하는 것을 보호

<그림 2>는 취약점으로 인해 애플리케이션에 백도어가 설치된 경우 RASP가 어떻게 동작하는지 보여준다. 애플리케이션이 사용하는 오픈소스의 취약점으로 인해 백도어가 설치됐다. 설치된 백도어는 트리거에 의해 동작한다. 트리거는 공격을 시작하는 행위를 말하며, 솔라윈즈 해킹의 경우 타이머가 트리거로 사용됐다.

트리거가 작동되면 가장 먼저 시스템을 검사하고 정보를 수집한다. 이때 RASP는 정보수집 행위를 탐지(Path Traversal)하게 된다. 정보를 수집한 백도어는 수집한 정보를 공격자와 통신하면서 전송하게 되는데 RASP는 이런 통신을 탐지(Unauthorized Network Activity and Weak Crypto)하고, 최종적으로 백도어와 시스템을 파괴하기 위해 어떤 명령을 수행하는 경우 커맨드 인젝션으로 탐지(Command Injection)한다.

클라우드 복잡성 증가하며 RASP 주목

RASP는 복잡한 클라우드 환경에서 애플리케이션을 보호할 수 있는 방법으로 주목받으면서 글로벌 시장은 물론 국내에서도 빠르게 성장하고 있다. 임퍼바의 경우 웹 애플리케이션 글로벌 리더의 기술력을 앞세워 국내에서도 활발하게 영업을 진행하고 있다. 트렌드마이크로는 전문기업 이뮤니오를 인수하면서 RASP 역량을 강화하고 있다.

애플리케이션 클라우드 이전 가속화로 데브섹옵스(DevSecOps)를 지향하는 기업이 늘어나고 있고, 오픈소스 사용과 외부 시스템과의 API 연결이 증가하면서 RASP 시장은 더욱 확대될 것으로 예상된다.

데브섹옵스 상에서 정적 애플리케이션 진단·소스코드 진단(SAST)와 동적 애플리케이션 진단·웹 취약점 진단(DAST)과 더불어 RASP를 핵심 솔루션으로 언급하는 전문가들이 증가하면서 시장에서 RASP를 접하게 될 가능성이 높아질 것으로 예상된다