애플리케이션에 플러그인 형태로 설치돼 시스템 부하 적어 … 실시간 이상 징후 감시·차단
[데이터넷] 인터넷과 웹 애플리케이션이 비즈니스 수단으로 떠오르면서 전통적인 경계선 보안 정책만으로는 갈수록 정교해지는 공격에 대응하기 어렵게 됐다. 이에 주요 공격 대상인 애플리케이션 자체를 보호할 수 있는 방안을 강구해야 한다는 주장이 힘을 얻고 있다.
임퍼바 기술파트너사 진네트웍스의 박종필 상무는 27일 <데이터넷TV>가 개최한 ‘제20회 차세대 보안 비전 2021 온라인 컨퍼런스’에서 ‘애플리케이션에 자가방어 능력 부여하기’를 주제로 RASP 기술에 대해 소개했다.
RASP(Runtime Application Self Protection)는 보안 장비들을 우회하며 애플리케이션을 노리는 공격이 늘어남에 따라 애플리케이션이 스스로를 보호한다는 콘셉트로 모색된 기술이다. 이제 애플리케이션은 더 이상 한 곳에 머물러 있지 않고 클라우드 등 다양한 곳으로 이전하고 있으며, 애플리케이션 개발·배포 주기도 굉장히 짧아졌고, 다양한 오픈소스를 활용하면서 API를 통해 다른 서비스들과 연동이 늘어나면서 기존 경계선 보안 정책으로는 보호할 수 없게 됨에 따라 RASP의 중요성이 커지고 있다.
박종필 상무는 “미국 표준 기술연구소(NIST)가 정부기관 및 관련 업체들이 정보보호 시스템을 구축할 때 참고하라고 만든 문서인 SP 800-53에 RASP를 사용하라는 내용이 추가됐을 정도”라며 RASP 사용의 필요성을 강조했다.
실시간 모니터링 통해 애플리케이션 보호
우리가 백신 접종 예약을 할 때 직접 병원에 찾아가거나 팩스를 보낼 필요 없이 인터넷으로 간단하게 예약할 수 있을 만큼 이제 인터넷은 우리 업무에 중요한 수단이 됐으며, 그 중심에 웹 애플리케이션이 있다. 그로 인해 애플리케이션에 대한 공격은 점차 거세지는 추세다.
한 통계에 따르면 공격의 80%가 웹 앱 애플리케이션 취약점을 이용한 공격이었고, 다크웹을 살펴보면 게시물 중 69%가 웹사이트 해킹과 관련된 게시물일 정도다. 또 일평균 해킹당하는 웹사이트의 수는 5만여개에 달할 것으로 추정되기도 한다.
박종필 상무는 “애플리케이션은 흔히 빙산에 비유되곤 한다. 물 위에 떠 있는 부분은 사용자의 통제 하에 있는 애플리케이션이며, 물 아래에 있는 70% 이상이 시스템 운영에 사용되는 타사 제품, OS, DB, 오픈소스, 컨테이너, API 연결 등 통제 밖에 있는 애플리케이션 구성 요소다. 가령 빙산을 지키겠다고 대공포를 준비해 비행기 공격에 대응했다 하더라도 잠수함을 이용한 공격에는 속수무책일 수밖에 없다. 이처럼 빙산과 같은 애플리케이션 전체를 보호하기 위해서는 새로운 개념이 필요하다”고 설명했다.
이에 등장한 RASP는 가트너가 2012년 정리해 발표한 개념으로, 애플리케이션 혹은 런타임 환경에 편성돼 애플리케이션이 스스로 보호하는 기술을 일컫는다. 애플리케이션 코드에 편성돼 애플리케이션 행위를 모니터링하고, 실행을 통제하면서 실시간 보호 기능을 제공한다.
RASP는 애플리케이션이 스스로 보호할 수 있도록 하고자 애플리케이션에 플러그인을 설치하는 방식으로 구현된다. 일종의 보안 패치를 한다는 개념으로 작은 크기의 jar 파일이 애플리케이션 코드에 편성돼 애플리케이션과 한 몸이 돼서 보안 기능을 구현한다.
공급망 공격 방어에도 최적
RASP를 구현하는 기술은 흔히 바이트 코드 삽입이라 불리는 BCI다. 이는 시스템에 주는 부하가 적어 애플리케이션 성능 모니터링(APM) 기업들도 주로 활용하고 있다.
애플리케이션 코드에 RASP가 편성되면 내부로 들어오는 모든 입력 값과 출력 값 그리고 애플리케이션 프로세스를 실시간으로 모니터링하며 이상 징후를 파악한다. 이를 통해 악의적인 변경으로부터 런타임 환경을 보호하고 사용제 세션 종료, 안내메시지 보내기 등의 기능을 수행한다.
RASP는 종종 웹 애플리케이션 방화벽(WAF)과도 비교가 되는데, 실제로는 WAF가 수행하지 못하는 여러 기능들을 커버할 수 있다.
우선 RASP는 애플리케이션과 한 몸으로 움직이기에 클라우드 등 다양한 환경에 종속 없이 설치 가능하며, 경계 보안 장비와 달리 페일 오픈(Fail-Open)이 발생하지 않아 애플리케이션 자체가 다운되지 않는 이상 끝까지 애플리케이션을 보호하는 역할을 수행한다. 남-북 트래픽뿐만 아니라 동-서 트래픽도 모니터링할 수 있다.
특히 중요한 차이점은 내부로부터 시작되는 공급망 공격 탐지가 가능하다는 점이다. 공급망 공격은 애플리케이션 취약점을 이용하는 경우가 대부분인 만큼 경계선 보안으로는 탐지·차단할 수 없지만, RASP는 애플리케이션과 한 몸이 되어 움직이기에 내부에서 시작되는 공격을 빠르게 탐지함으로써 막을 수 있다.
박종필 상무는 “RASP는 미국 NIST 문서뿐만 아니라 세계적인 보안 연구기관인 SANS 인스티튜트에서도 사용을 권하고 있을 만큼 점차 필수가 되고 있는 기술”이라며 “임퍼바의 RASP는 전 세계 모든 시장조사기관들이 평가 보고서에서 리더에 위치시킬 만큼 뛰어난 성능을 자랑한다”고 말했다.
