불타는 데이터베이스, “DBEP로 지킨다”
불타는 데이터베이스, “DBEP로 지킨다”
오늘날의 공격자들이 노리는 것은 명성이 아니라 부이며, 이들은 SQL 질의의 마지막에 큰 건수가 있다는 것을 잘 알고 있다. 이들에게 맞설 준비가 돼 있는가?
그리고 올해 5월에는 미주리 대학 직원들이 다른 끔찍한 경험을 했다. 이 대학 IT 팀에서는 5월 3일 비정상적인 애플리케이션 작동을 목격하고 다음 날 에러의 발원지를 찾아냈다. 한 가지 취약성은 헬프데스크 문제의 상태를 확인하는 데 사용된 웹 페이지에 있었으며, SQL 삽입 플로를 악용함으로써 공격자는 수천 개의 웹 요청을 이용해 한 번의 하나의 레코드를 검색하는, 옛날에 유행하던 방식으로 이름과 주민등록 번호를 검색할 수 있었다.
IT에서 무슨 일이 벌어지고 있는지를 깨달았을 때는 이미 2만2천396명의 사람들에 대한 민감한 데이터가 멀리 날라가 버린 후였다.
돈과 데이터
지난 한 해 동안 랩톱 도난으로 인한 보안 사건보다도 데이터베이스 손상의 결과로 생기는 보안사건 수가 늘어났다는 사실은 슬프게도 우연의 일치가 아니다. 이제 차에서 PC를 훔쳐내 봤자 하드웨어와 MP3 곡들 외에는 얻을 게 없다. 하지만 고객 정보가 담긴 데이터베이스에 침투할 경우 그 가능성은 무한하다. 그리고 데이터베이스 백엔드를 필요로 하는 데이터 리치 온라인 서비스를 배치하는 회사들이 늘어남에 따라 이러한 동향은 앞으로도 계속될 것이다.
세컨드 라이프의 경우, 공격자들은 고도로 타깃이 맞춰진 피싱(phishing) 사기의 대상이 될 수천 명의 사용자에 대한 개인 정보를 캐냈다. 미주리 대학의 경우 피해를 입은 직원들은 하나의 비보안 웹 애플리케이션과 낡은 데이터베이스가 아직 서비스에 남아 있기 때문에 신원정보 도난에 대해 신경을 썼어야 했다. 물론 웹 애플리케이션을 개발할 때 보안 프로그래밍 기술이 언제나 따라온다면 그보다 더 좋을 수는 없을 것이다. 하지만 현실적으로 볼 때 방탄 애플리케이션을 만드는 개발자를 기반으로 해서 데이터 보안 전략을 짠다는 것은 마치 탄창 하나를 들고 총격전에 나가는 것과 마찬가지다.
보다 더 이상적인 것은, 린던랩스와 미주리 대학에서 손상이 발생했을 당시에 DBEP(DataBase Extrusion Prevention) 시스템을 배치해두고 있었다면, 이러한 사건은 미연에 막을 수 있었을 것이다. 최근 본지에서 분석한 DBEP 제품들은 린던랩스 사건에서와 같이 비정상적으로 많은 수의 레코드가 돌아가지 못하게 막을 수 있으며, 미주리 대학 해킹에서와 같은 SQL 삽입 공격을 차단할 수 있다.
여러 가지 방어책들 가운데 DBEP 시스템은 네트워크 경계에 놓이거나, 혹은 종단지점 에이전트로 돌아가는 기본적인 데이터 누출 방지(data leakage prevention) 제품들보다 데이터베이스 전면에 직접 배치가 가능하다는 점에서 약간의 우월성을 갖고 있다. 이들은 공격자가 데이터를 어지럽게 하거나, 변형, 혹은 암호화해서 탐지를 피할 수 있기 이전에 먼저 트래픽을 볼 수 있다. 데이터 누출 방지에서는 공격자가 데이터가 네트워크를 통과하기 이전에 그 데이터에 대한 제어권을 확보하고 있을 경우 검색을 피해갈 수 있다.
데이터베이스 백엔드나 데이터베이스 서버 자체로 인해, 혹은 허가받은 사용자에 의한 오작동으로 인해 발생하는 웹 서버 공격을 통한 노출에 대해 걱정하던 기업들에게는 이제 방어책이 있으며, 우리가 분석해 본 제품들은 <표: DBEP 분석 평가표>에서 볼 수 있듯이 몇 가지 예외를 제외하고는 전반적으로 마음에 드는 수준이었다. 이런 제품들이 물론 만병통치약은 아니지만 다섯 가지 중 어떤 것이든 지금 뉴스거리가 되고 있는 사건들은 꽤 많이 막아줄 수 있을 것이다.
5개 제품 평가
우리는 본지 플로리다 대학 리얼월드 랩에서 다섯 가지 DBEP 시스템을 테스트했다. 크로스로즈시스템즈(Crossroads Systems), 가디엄(Guardium), 임퍼바(Imperva) 및 리플테크(Rippletech)는 어플라이언스를 보내온 반면, 핀로직(Pyn Logic)은 소프트웨어를 보냈다. 이들 외에도 애플리케이션시큐리티(Application Security), 아이피록스(IPLocks), 티저시스템즈(Tizor Systems) 및 트랜스페어런시소프트웨어(Transparency Software)를 초청했으나 애플리케이션시큐리티와 트랜스페어런시소프트웨어는 테스팅 날짜에 최신판을 준비하지 못했다. 그리고 나머지 업체들은 아무런 응답이 없었다.
테스팅을 처음 시작했을 때 우리는 무엇을 보게 될지는 정확히 확신하지 못했지만 무엇을 원하고 있는지는 정확히 알고 있었다. 즉 우리가 원하는 것은 설치와 구성의 편의성, 데이터베이스 지원 폭, 데이터베이스 행동에 대한 좋은 가시성, 공격의 탐지와 통보, 혹은 차단, 유용한 사양들, 그리고 합리적인 가격 등이었다.
DBEP 시스템이 충분히 효과적이기 위해서는 데이터베이스와 애플리케이션 서버 사이에 있는 네트워크에서 발생하는 것이든, 아니면 데이터베이스 서버에서 로컬로 발생하는 것이든, 데이터베이스의 행동에 대한 가시성을 제공해야 한다. 그런 후에는 가능한 오용, 혹은 공격을 알려주는 행동을 모니터링하기 위한 규정이 만들어질 수 있다. 탐지되고 난 행동에 대해서는 허용, 차단, 기록, 혹은 경보가 가능하다.
여기까지는 테스트한 모든 제품이 거의 비슷하게 작동했으며, 선두 그룹과 나머지 그룹을 구분지은 것들은 그 외 부가적인 것들이었다. 흥미롭게도 이번 리뷰에서 1, 2위를 차지한 가디엄과 임퍼바는 데이터베이스 익스트루전 문제에 다르게 접근하고 있다.
임퍼바는 주로 스테이트풀 방화벽, 침입 방지 시스템 서명 및 데이터베이스 서버 취약성 스캐닝 등과 같은 기능을 이용해 주로 네트워크 보안에 초점을 맞추고 있는 반면, 가디엄은 보고 기능에 보다 많은 중점을 두고 있다. 우리는 서버를 직접적으로 테스팅함으로써가 아니라, 모니터링 과정에서 수집된 데이터를 취해서 이것을 생성된 경보를 기반으로 데이터베이스 서버의 보안에 대해 보고해 주는 보안 평가와 자동화된 감사 보고서로 바꿔주는 데 최소한 십여 가지의 다른 길이 있다는 사실을 발견했다.
데이터베이스 행동을 베이스라이닝하고 관련 정책을 만드는 기능은 크로스로즈와 가디엄, 그리고 임퍼바의 어플라이언스들에게 큰 차별화 요소가 된다. 각각은 데이터베이스 행동을 모니터링하고 사용 프로파일에 적합한 기반 정책을 판단한다. 임퍼바는 역동적 프로파일링 덕분에 이 부분에서 돋보였는데, 이것은 행동을 모니터링하고 사용 프로파일을 만든 다음, 이 프로파일들이 안전 마진과 고정 한계를 정의함으로써 스스로를 역동적으로 업데이트하도록 허용했다.
관리는 자바 기반 인터페이스를 가진 크로스로즈 DB프로텍터(DBProtector)를 제외하고는 테스트한 제품들 모두 웹 브라우저를 통해 수행됐다. 웹 인터페이스에서는 유용성 문제가 거의 없었지만, 리눅스에서 모질라 파이어폭스로 테스트할 때와 윈도에서 인터넷 익스플로러로 테스트할 때 모두 이들이 IE를 염두에 두고 만들어졌음이 분명해졌다.
크로스로즈의 자바 인터페이스는 보기에도 즐겁고 내비게이팅도 쉬웠다. 웹 기반 제품들에서는 가디엄과 임퍼바의 GUI가 만족스러웠으며, 이들 중에서도 가디엄의 것이 약간 더 잘 다듬어져 있었다.
에디터즈 초이스
처음 출발부터 임퍼바 시큐어스피어데이터베이스시큐리티게이트웨이(SecureSphere Database Security Gateway)는 풍부한 사양으로 깊은 인상을 줬다. 배치 옵션으로는 스위치의 네트워크 모니터링 포트나 네트워크 탭을 통한 대역 외 모니터링과 인라인이 모두 포함돼 있으며, 두 가지 다 인라인일 때 트래픽을 전체적으로 유실시키거나, 대역외일 때 TCP 재설정 패킷을 보냄으로써 차단하는 기능을 허용한다. 가디엄의 SQL 카드에도 또한 같은 차단 기능이 있다.
임퍼바 시큐어스피어만이 갖고 있는 독특한 기능은 취약성에 대해 데이터베이스 서버를 스캐닝하고, 하나의 침입 방지 시스템처럼 작동하는 것이다. 이 게이트웨이는 데이터베이스 소프트웨어와 기반 운영 시스템을 스캐닝해 알려진 취약성과, 서버가 손상되게 할 수 있는 취약한 보안 구성을 찾아낸다.
게다가 인라인으로 배치될 때는 스테이트풀 방화벽과 2천500개 이상의 서명을 가진 IPS로 작동 가능하기 때문에 포로토콜 위반, SQL 삽입 및 알려진 웜 행동 같은 공격을 막을 수 있다. 이번 롤링 리뷰에서 에디터즈 초이스로 당첨이 된 시큐어스피어의 테스트 구성 가격은 4만5천 달러.
