[데이터넷] 코로나19 위기가 한창 심각했을 때, 회사 공지 이메일을 받았다. 팬데믹으로 사업이 어려워져 임금을 삭감키로 했으니, 화상회를 통해 세부 내용을 확인하라는 것이었다.

재택근무중인 직원은 오피스365에 로그인 된 상태였다. 메일에 삽입된 링크를 클릭해 화상회의 프로그램을 실행시키려는데, 프로그램 업데이트 요청이 있어 링크를 클릭하고 실행했다. 그런데 이 메일 자체가 피싱이었으며, 업데이트를 파일을 내려받는 순간 직원 컴퓨터는 감염되었다. 공격자 PC에는 사용자 PC의 모든 행위가 그대로 전송되고, 매초 마다 스크린샷이 저장되었다.

이는 미국의 유명한 해커인 케빈 미트닉이 간단한 이메일로 사용자를 해킹하는 사례를 시연한 것으로, 사용자들이 얼마나 쉽게 공격자에게 속아 해킹당하고 중요 정보를 탈취당하는지 보여준는 대펴적인 사례다. 클라우드와 현대화된 애플리케이션을 사용하는 현대 비즈니스 환경에서는 이처럼 공격은 쉽고 방어는 어려워진다.

라드웨어코리아가 <데이터넷TV>를 통해 진행한 웨비나 ‘공격 표면의 복잡성 증가와 새로운 애플리케이션 보호 아키텍처의 필요성’에서는 멀티 클라우드 환경에서 애플리케이션 위협이 고도화되고 증가하고 있다는 사실을 지적하며 이에 대응할 수 있는 라드웨어의 아키텍처 ‘시큐어패스(SecurePath)’를 소개했다.

클라우드 속도 따라가지 못하는 보안

웨비나를 진행한 노지선 라드웨어코리아 과장은 “많은 기업이 레거시 애플리케이션을 빠르게 현대화하고, 클라우드로 마이그레이션하고 있는데, 보안은 그 속도를 따라가지 못한다. 멀티 클라우드에서 더 크고 복잡한 위협이 등장하는데, 보안 전문가와 기술이 충분히 준비되지 못해 어려움을 겪게 된다”고 지적했다.

현대화된 애플리케이션은 마이크로서비스아키텍처(MSA)를 채택해 신속하게 개발·테스트·배포된다. 오픈소스 등 외부에서 라이브러리를 가져오고, 서드파티 플러그인 연동이 늘어난다. 외부에서 코드를 가져오기 때문에 전통적인 네트워크 기반 보안이 어려우며, 온프레미스 웹방화벽은 이 문제를 해결하지 못한다.

노지선 과장은 “기존 웹방화벽으로 현대화된 애플리케이션을 보호할 수 있다고 주장하지만, 실제 공격에 속수무책인 경우가 많다”며 셀레늄(Selenium)을 이용한 계정탈취 공격을 예로 들었다.

셀레늄은 애플리케이션 자동화와 테스트를 위한 포터블 프레임워크로, 테스트 스크립트 언어를 학습할 필요 없이 자동화된 플레이백 도구를 이용해 웹사이트 테스트를 자동화할 수 있다. 아파치 2.0 라이선스로 배포되는 셀레늄은 많은 개발자들이 이용하는 무료 툴로, 자동 로그인 기능을 이용해 계정탈취 공격이 가능하다.

대규모화된 디도스 공격도 기존 웹방화벽의 한계를 드러낸다. 미국 서비스 공급업체가 36시간 넘게 1.1Tbps 급의 디도스 공격을 받았으며, 미국의 중요 공항 등이 친 러시아 해킹 그룹의 디도스 공격으로 주요 서비스에 장애를 입었다.

이외에도 다양한 애플리케이션 공격 이 증가하고 있는데, 라드웨어가 차단한 지난해 4분기 악성 이벤트는 전년 동기 대비 194% 증가, 악성 웹 트랜잭션 84% 증가, 지난 한 해 동안 탐지된 악성 봇 트랜잭션 105% 증가 등의 기록이 나왔다.

API 공격 위협도 날로 높아지고 있다. 클라우드 사용이 늘어나면서 API 사용도 증가하는데, 많은 기업·기관이 현재 사용중인 API를 파악하지 못하고 있다. 라드웨어 조사에서는 62%의 조직이 문서화되지 않은 API를 30% 이상 갖고 있는 것으로 나타났으며, 56%의 조직은 API가 제대로 보호되지 못하고 있는 것으로 인식하고 있다.

보안 투자 많아도 클라우드 보안 문제 해결 못해

현재 대부분의 조직은 2개 이상 클라우드를 사용하고 있는데, 클라우드마다 보안 정책이 달라 데이터 노출을 경험한 조직이 69%에 이르며, 낮은 신뢰를 가진 클라우드 제공업체 보안 문제를 우려하는 조직도 70%에 이른다.

가장 큰 문제는 클라우드의 복잡한 위협 환경을 제어할 전문가와 기술이 부족하다는 점이다.

노지선 과장은 “웹 애플리케이션 보안은 L7을 전체적으로 봐야 하기 때문에 리소스가 많이 투자된다. 특히 멀티 클라우드 환경으로 변화되면서 각기 다른 보안 도구와 관리콘솔로 이벤트를 분석·분류해야 한다는 점도 어려운 일이다”라며 “소규모 기업은 물론이고, 대기업도 멀티 클라우드와 현대화된 애플리케이션 분야에서 전문성을 가진 전문가를 찾는 것을 어려워한다”고 밝혔다.

보안에 많은 투자를 단행한 기업도 클라우드에 내재된 보안문제를 악용한 공격을 당하고 있다. 미국 모바일 제공업체 티모바일은 API 공격으로 3700만명 이상 데이터 유출 공격을 당했다. 월간 활성 사용자 1억2000만명에 달하는 비디오 게임 배포 플랫폼 스팀(Steam)은 클라이언트 사이드 공격으로 데이터 유출 공격을 당했다.

클라이언트 사이드 공격은 서드파티 코드로 인해 발생하는 것이다. 예를들어 쇼핑몰의 신용카드 결제 창은 쇼핑몰이 직접 개발하기보다 이미 여러 업체에서 사용하는 페이지를 이용한다. 이처럼 외부에서 개발된 서비스에 공격자가 악성코드를 주입해 클라이언트에게서 직접 데이터를 유출한다. 이 때 클라이언트는 웹방화벽을 거치지 않고 서드파티 코드와 직접 통신하기 때문에 해당 쇼핑몰이 위협을 알아차리지 못한다. 그러나 결과적으로 고객의 정보를 탈취당했기 때문에 쇼핑몰이 이 사고의 책임을 회피할 수 없다.

고객의 클라우드 전환 안전하게 보호

라드웨어는 이처럼 복잡한 위협에 대응할 수 있는 클라우드 보안 솔루션 ‘시큐어패스’를 제안한다. 시큐어패스는 웹방화벽, 클라이언트 사이드 방어, API 보호, 봇 관리, L7 디도스 보호 등의 기능을 통합한 WAAP 솔루션이다. 시큐어패스는 라드웨어의 전 세계 클라우드 POP을 통해 제공된다.

라드웨어는 40개 이상 앱섹(AppSec) POP을 통해 글로벌 애플리케이션 보호를 제공한다. 우리나라에도 POP이 설치돼 해외로 트래픽을 보내지 않고, 레이턴시 없이 클라우드 속도를 보장하면서 강력한 보안을 제공한다.

시큐어패스는 사용자의 트래픽이 POP을 경유해 애플리케이션으로 접속하는 방식이 아니라, 사용자와 애플리케이션 서버가 직접 통신하며, 애플리케이션 서버에 설치된 소프트웨어 디텍터가 트래픽을 미러링해 클라우드 POP으로 전달한다. 그리고 시큐어패스 안에 있는 보안 엔진이 공격 여부를 확인하고 그 결과를 애플리케이션 서버로 보내 허용-차단을 결정할 수 있게 한다. 사용자의 애플리케이션 접속 경로를 변경시키지 않아 쉽게 구축할 수 있으며, 사용자 경험을 저해하지 않고 지능형 보호를 적용할 수 있다.

노지선 과장은 “시큐어패스는 멀티 클라우드 환경에서 다양한 애플리케이션을 운영하는 고객을 도울 수 있다. 또 성능 이슈를 겪는 레거시 애플리케이션 운영 환경도 유용하게 사용할 수 있으며, 클라우드 POP에서 분석하기 때문에 복합적인 고급 위협도 성능 이슈 없이 신속하게 분석해 보안 조직이 정확하게 의사결정 할 수 있게 한다”며 “웹 애플리케이션을 운영하는 모든 고객이 시큐어패스로 복잡한 애플리케이션 문제를 쉽게 해결할 수 있을 것”이라고 설명했다.

노 과장은 “네트워크 보안 경계가 허물어지는 멀티 클라우드·현대화된 애플리케이션 환경에서는 이전의 전통적인 공격뿐 아니라 새로운 지능형 공격도 발생한다. 이러한 공격은 기존의 웹방화벽을 우회하고 무력화하기 때문에 새로운 방식의 보안이 필요하다”며 “시큐어패스는 통신 경로 변경 없이, 사용자 경험이나 응답속도 영향 없이, 클라우드 리소스와 고급 보안 분석 기술을 이용해 복잡하고 지능화되는 공격을 확실하게 분석하고 대응방안을 제안할 수 있다. 시큐어패스로 고객의 클라우드 전환을 보호할 수 있기를 바란다”고 덧붙였다.

김선애 기자 다른기사 보기