1. 웹 애플리케이션 보안의 현 주소

Tech Guide-웹 보안에 대한 위협과 대처방안

까다로운 웹 보안, 해답은 ‘웹 보안 게이트웨이’

해킹 75% 이상 애플리케이션 타깃… 웹 보안시장 성장 확실

연·재·순·서

1. 웹 애플리케이션 보안의 현 주소(이번호)
2. 웹 보안 게이트웨이의 기능
3. 향후 웹 애플리케이션 보안 시장 전망

송교석
안철수연구소 컨설팅서비스사업부 컨설턴트
andsong@ahnlab.com

최근 대부분의 애플리케이션은 웹 기반으로 구축되고 있다. 전통적인 네트워크 방화벽에서는 웹 애플리케이션에 대해 다른 포트는 모두 닫고 80번 포트만 열어주는 것이 보안의 방법이었다. 80번 포트로 들어오는 트래픽에 대해서는 합법적이라고 판단해 허용하기 때문에 이러한 애플리케이션들은 외부로부터의 공격에 그대로 노출돼 있는 것이다. 대부분의 네트워크에 방화벽이 도입되면서 크래커들은 공격대상을 공격하는 데 있어 굳이 막혀 있는 포트를 열고자 하는 노력보다는 필연적으로 열려 있는 포트를 통해 공격을 하는 방법을 연구하게 되었다. 즉, HTTP 서비스를 하기 위해 열려 있는 80번 포트를 이용한 공격이 급증하게 된 것이다. 실제로 가트너의 자료에 의하면 75% 이상의 해킹 공격이 애플리케이션을 대상으로 한 것이라고 한다.
이번 기고에서는 그동안의 실제 사례 등을 통해 웹 애플리케이션 보안의 현 주소를 살펴 보고, 이에 대한 대안을 모색해 보고자 한다. 대안의 하나로써 웹 보안 장비가 제공하는 기능을 알아보고, 마지막으로 향후 시장에 대한 전망해본다. <편집자>

해킹기록사이트(www.zone-h.org)에 가 보면 홈페이지가 변조되는 사례가 매일 업데이트되고 있다. 하루에 수천건의 변조 사례가 리포트되고 있으며, 그 중에 국내 사이트의 사례도 매일 수백건씩 보고되고 있는 실정이다.

웹 애플리케이션 보안의 현 주소
‘Customer’s Secrets Not Safe With Victoria’s Secret‘이라는 제목의 기사가 나온 적이 있다. 미국의 유명한 속옷 회사 중 하나인 빅토리아 시크릿이라는 회사가 웹 애플리케이션에 입력값 검증을 제대로 하지 못하는 취약점이 있어 고객의 주문정보가 노출된 사고였다. 이로 인해 뉴욕주로부터 5만달러의 벌금형을 받은 바 있다.
또한 의류회사인 게스의 인터넷 쇼핑몰인 게스닷컴(Guess.com)의 경우 SQL 인젝션(Injection) 공격에 취약해 회원들의 신용카드번호가 노출되는 취약점이 있음이 밝혀졌으며, FTC(Federal Trade Commission)로부터 벌금과 매년 보안감사를 받을 것을 명받기도 했다.
또 미국의 유명한 음반판매업체인 타워레코드의 인터넷 쇼핑몰(towerrecords.com)은 ASP 애플리케이션 중 ‘orderStatus.asp’가 입력값 검증을 적절히 하지 못해 고객 DB가 노출된 사고가 발생했다. 이 취약점으로 인해 다른 고객의 고객명, 주소, 전화번호, 구매목록 등을 모두 볼 수 있었으며, 이는 보안을 우려한 고객들이 다시는 인터넷 쇼핑몰을 이용하지 않는 사태로 번져나가게 됐다.
굳이 외국의 사례를 보지 않더라도, 인터넷을 통한 상거래가 매우 활발한 우리나라에서도 많은 사례를 찾아볼 수 있다. 매스컴을 통해 알려진 사례만 해도 결혼정보업체 회원정보 유출 사례, 쇼핑몰 가격변조 사례, 게임 사이트의 사이버 머니 해킹 사례, 전자입찰시스템 해킹으로 인한 부정 수주 사례, 연예인 홈페이지 해킹 사례 등 많은 사례가 존재하며, 실제 외부에 알려지지 않은 사례가 무수히 많은 것으로 파악되고 있다.
‘Application Security Best Practices in the Fortune 1000(An Independent Market Research Survey)’의 조사에 의하면 응답자의 98%가 웹 애플리케이션 공격이 매우 위협적이라고 답했으며, 응답자의 60% 이상이 1시간 이상 애플리케이션이 다운되는 것보다 웹 해킹을 당하는 것이 더 큰 문제라고 답변했다.
기존의 보안장비로 웹 애플리케이션의 보안이 가능한 지 여부와 관련해서는, 네트워크 방화벽의 경우 98%, IDS의 경우 90%, IPS의 경우 81%의 응답자들이 이들 장비가 웹 애플리케이션 보안에 있어 효율적이지 않음을 인식하고 있었다.
국내의 경우에도 지난해부터 웹해킹 사고 사례가 연이어 매스컴에 노출되면서, 웹 애플리케이션이 취약지대에 놓여 있으며, 이에 대한 보안을 강구해야 한다는 점에 대해 보안 담당자들의 인식이 매우 높아진 상황이다. 이러한 보안 담당자들의 인식에도 불구하고, 웹 애플리케이션 보안 체계를 갖추는 데 있어 여러 가지 현실적 어려움이 존재한다.
전통적인 방법은 애플리케이션의 보안 홀을 없애기 위해 코드를 수정하는 것이다. 애플리케이션 보안 체계가 제대로 갖춰져 있는 조직이라면 디자인→코딩→구축→감사에 이르는 웹 애플리케이션 보안 사이클 과정을 준수해 나가기 위해 노력을 기울이기도 할 것이다. 실제로 이런 과정이 100% 준수된다면 보안의 문제를 상당 부분 해결할 수 있으리라 생각된다.
하지만, 현실은 보안 사이클의 준수를 힘들게 한다. 애플리케이션의 구축 자체가 외주로 진행되는 경우가 많으며, 구축 기간이 충분하지 못한 경우가 대부분이다. 개발자들은 애플리케이션 본연의 기능 구현에 집중해야 하기 때문에 시큐어 코딩(Secure Coding)을 함께 해나가기가 어려운 상황이다. 안타깝게도 개발과 보안에는 이처럼 현실적인 차이가 존재하고 있다.
또한 관리자와 해커의 관점 차이도 보안의 홀을 넓히는 데 일조한다. 관리자의 입장에서는 자신의 관리대상인 수십 개의 애플리케이션 중 업무적으로 중요한 애플리케이션에 관심이 집중되게 마련이다. 따라서 중요 애플리케이션에 대한 보안은 나름대로 강화되지만, 종종 업무적으로 중요도가 떨어지는 애플리케이션들 역시 동일한 DB와 연동되고 있다는 사실을 간과하게 된다. 중요 DB의 유출을 노리는 해커의 입장에서는 굳이 보안이 잘 되어 있는 중요 애플리케이션을 통하지 않고 오히려 버려진 애플리케이션을 통해 동일한 DB에 접근하는 것이 훨씬 손쉬운 방법이다.
이처럼 개발과 보안의 차이를 좁히고 미션 크리티컬한 애플리케이션에 대한 포괄적인 보안을 제공하기 위해 대안이 요구되는 상황이다.
이렇게 현실적인 어려움을 극복하기 위해 등장한 대안이 웹 보안 장비로, 최근 몇 년 전부터 벤더들로부터 다양한 솔루션이 출시되고 있다. 애플리케이션 보안 사이클을 준수하기 위해서는 막대한 인적, 시간적 투자가 필요하다. 또 그 결과가 만족할 만한 수준에 이르기 힘든 실정이라는 사실, 애플리케이션에 대해 포괄적인 보안 제공이 현실적으로 불가능하다는 사실 등이 인지된 결과, 대안으로서의 웹보안 장비 시장도 매우 커질 것으로 예측되고 있다.
‘Application Security Best Practices in the Fortune 1000’의 조사 결과를 다시 한번 인용하면 응답자의 16%만이 웹 애플리케이션 보안이 코드 리뷰 및 보다 엄격한 코딩 습관으로 인해 가능하다고 답했으며, 나머지 84%의 경우 웹보안 장비가 필요하다는 사실에 동의했다<그림 5>. 이러한 보안 담당자들의 인식과 마찬가지로, 가트너도 2006년까지 웹 애플리케이션 보안 솔루션 시장 규모가 30억달러에 달할 것으로 보고 있다.
이는 기업의 네트워크 인프라를 보호하기 위해 네트워크 방화벽이 필요하듯이, 웹 애플리케이션 인프라를 보호하기 위해 웹보안 전용 장비가 필요하다는 데에 인식이 뿌리내리고 있음을 보여준다고 할 수 있다.

웹 보안 장비의 기능
웹보안 솔루션이 다양한 벤더에서 출시되고 있기 때문에 구매자로서는 각각의 기능에 대해 혼란을 느낄 수밖에 없는 상황이다. 객관적인 평가를 하는 것으로 정평이 나 있는 ICSA 인증의 기준을 제시함으로써 혼동을 조금이나마 줄여 보고자 한다. ICSA는 웹보안 제품에 대해 프리미어 서비스라는 인증 제도를 가지고 있다<그림 6>. 본 기준은 기능 테스트 또는 BMT 진행에 있어 가장 기본이 되는 체크리스트의 역할을 할 수 있을 것이다.

· 문서화
관리자가 해당 제품을 적절히 설치 및 운영할 수 있도록 적당한 문서가 제공돼야 함.
· 플랫폼 보안
관리를 위한 적절한 기능을 제공함과 동시에 공격에 대해 적절한 보안을 제공해야 함
· 기능 보안
기능이 안정적이고 합리적으로 동작해야 함.
· 로깅
관리자가 보안관련 이벤트를 감사할 수 있는 적절한 방안을 제공해야 함.

향후 웹 애플리케이션 보안 시장 전망
세계적으로 웹 애플리케이션 보안 시장은 2004년이 도입기로 파악된다. 2004년에 웹애플리케이션 보안에 대한 인식이 저변에 깔리기 시작하였으며, 보안에 선도적인 기업 및 공공기관에 의해 구매가 이뤄지기 시작했기 때문이다.
앞으로도 미션 크리티컬한 비즈니스 프로세서들이 웹 기반으로 구축되는 추세가 확실시 되며 이에 따라 웹 해킹 사고가 증가할 것으로 예측된다. 따라서, 2005년을 시작으로 시장은 성장기에 접어들 것으로 예상된다.
가트너에 따르면 2006년까지 대기업의 70% 정도가 기존의 네트워크 방화벽을 딥 인스펙션(Deep Inspection)을 수행하는 웹 보안 장비로 교체할 것이라고 한다. 또한 소프트웨어 기반의 웹보안 제품들은 성능 및 플랫폼 자체의 보안 문제로 인해 더 이상 사용되지 않고 어플라이언스 기반의 웹보안 제품들이 시장을 장악할 것으로 예측하고 있다.
또한, 다양한 장비들이 통합(convergence)되는 경향을 보일 것이다. DMZ에서 요구되는 네트워크 보안, 웹 보안, 캐싱, 로드밸런싱, SSL 가속 기능 등 다양한 기능을 통합해 제공함으로써 장애 포인트를 줄이고 ROI를 높이는 혜택을 받을 수 있게 될 것이다.
지금까지 웹 애플리케이션 보안의 현실과 웹 애플리케이션 보안 장비의 기능, 향후 전망에 대해 살펴봤다. 다음 호에서는 좀더 기술적으로 접근해 웹의 취약점과 웹 해킹 기법 등을 살펴보도록 하겠다. 연재의 최종호에서는 안전한 웹 애플리케이션을 운영하기 위한 방안에 대해 알아보도록 하자.