인터넷 혁명을 이끌어온 웹은 일상생활에서부터 기업 비즈니스까지 모든 것을 바꿔 놓았다. 거의 대부분의 서비스가 웹을 통해 이뤄지고 있으며, 기업 내에서 사용하는 업무용 애플리케이션도 웹을 통해 제공된다.
‘인터넷=웹’이라는 공식이 전혀 어색하지 않을 정도로 웹은 인터넷 세상의 플랫폼으로 자리 잡고 있으며, 사용자에게 더욱 편리하게 서비스될 수 있는 방향으로 기술이 발전하고 있다.
애플리케이션이 웹으로 진화하는 것은 세계적인 추세로, 현재 69%의 애플리케이션이 웹으로 전환되고 있으며, 2020년까지 PC와 모바일에서 71%가 웹을 기반으로 제공될 것으로 보인다.
“해킹시도 70%, 웹으로 진행”
웹이 확장되면서 웹 플랫폼을 겨냥한 공격도 확장되고 있다. 보안을 고려하지 않고 설계된 웹 애플리케이션의 관리자 권한을 획득한 공격자들이 웹서버를 장악하고 중요정보를 유출하거나 중요 시스템 내부로 침투할 수 있는 백도어를 만들기도 한다.
웹 애플리케이션에 악성코드를 심어 사이트에 방문하는 사용자를 감염시키는 공격도 웹 보안 취약점을 악용한 것이다. 불특정 다수의 사용자를 감염시키는 드라이브 바이 다운로드와 타깃 사용자 집단을 감염시키는 워터링홀은 모두 웹사이트 관리자 권한을 획득한 공격자가 악성코드나 악성링크를 숨겨두는 방식으로 공격을 진행한다.
이 공격은 최근 전자금융사기에 이용되는 피싱·파밍 공격에 사용되는데, 감염된 웹사이트에 방문한 PC에 피싱·파밍 악성코드를 감염시킨 후 사용자를 가짜 사이트로 유인해 금융정보를 입력하도록 한다. 피싱·파밍 사이트는 매우 정교하게 제작돼 정상적인 사이트와 구분하기 어렵게 만들어진다.
한국인터넷진흥원에 따르면 전체 해킹 시도의 70% 이상이 웹을 통해 이뤄지고 있는데, 웹 공격을 통해 사이버 범죄집단이 금전적인 이익을 얻을 수 있는 기회가 많기 때문이다. 웹 보안 취약점은 개인정보·중요정보 유출과 금전적인 피해, 내부 시스템 파괴 등 2·3차 공격에 이용할 수 있으며, 정치적인 메시지를 전달하는 수단으로 사용할 수도 있다.
웹을 보호하기 위해서는 가장 먼저 웹 애플리케이션의 보안 취약점을 제거해 공격 가능성이 높은 지점을 없애야 한다. 웹 애플리케이션 설계 단계부터 시큐어코딩을 적용하고, 개발완료된 웹 애플리케이션은 취약점 진단 도구를 정기적으로 활용해 신규 취약점을 제거해야 한다.
웹방화벽으로 웹서버를 보호해 웹서버를 통한 공격이 이뤄지지 않도록 해야 하며, PC와 웹 구간의 위협요소를 제거하는 URL 필터링·보안웹게이트웨이(SWG)를 통해 웹을 통해 엔드포인트가 감염되지 않도록 해야 한다.
인텔리전스 강화한 3세대 웹방화벽 출시
웹방화벽은 웹서버 앞에 구축되며 SQL 인젝션, 크로스사이트스크립트(XSS) 등의 공격을 차단하고, 악성코드가 웹서버로 업로드되는 것을 막는다. 초기 웹방화벽은 공격위협요소를 탐지하기 위해 블랙리스트와 화이트리스트를 병행했다. 이 방식은 다양한 공격에 대한 분석 없이 리스트 기반으로 자동 차단·허용 정책을 펼치기 때문에 다량의 오탐이 발생해 관리 복잡성을 증가시켰으며, 웹사이트 응답속도에 영향을 미친다는 문제가 있었다.
그러나 웹을 이용한 공격이 증가하면서 서비스 중인 웹 사이트를 보호할 수 있는 보안 기술이 요구되면서 공격 유형을 정확하게 파악하고 차단할 수 있는 기술로 업그레이드되고 있다. 자동화된 툴에 의한 공격을 방어할 수 있도록 평소 웹 트래픽 흐름을 파악하고 이상징후 탐지 알고리즘을 적용해 오탐을 최소화하고 있다. 더불어 웹 공격 탐지·차단 뿐 아니라 정보유출 방지, 부정 로그인 방지, 웹사이트 위변조 방지 기능을 제공해 통합 웹 보안 솔루션으로 발전하고 있다.
국내 웹방화벽 시장 1위를 지키고 있는 펜타시큐리티의 ‘와플(WAPPLES)’은 지능형 탐지 엔진(COCEP)을 특징으로 내세운다. COCEP은 웹 공격을 유형 별로 분석·탐지하기 위한 26개의 룰과 IP 블록 기능을 탑재하고 있으며, 웹 트래픽 콘텐츠 검사를 통해 공격 진위 여부를 판단한다. 패턴 매칭 방식이 아니라 공격 진위를 파악하는 지능적인 차단 정책을 적용해 관리자 개입을 최소화하면서 최신 공격을 효과적으로 방어한다.
최근 웹은 SSL 암호화를 이용해 전송구간의 데이터를 보호하고 있지만, 최신 공격은 이를 악용해 암호화 트래픽에 악성코드를 숨겨 유입시켜 SSL 복호화 기능을 사용하지 않는 네트워크 보안 시스템을 무력화한다. 이 때문에 SSL 가시성을 확보하는 기능이 웹 보안에서 중요한 요소가 되고 있는데, 파이오링크의 ‘웹프론트 K’는 국내 최고성능의 SSL을 통해 암호화 악성코드 문제를 해결한다.
웹프론트 K는 하드웨어 SSL카드를 사용하며 높은 SSL 키 값을 암·복호화 하더라도 안정적으로 사용할 수 있다. 직접 설계한 하드웨어와 고속 애플리케이션 처리 기술을 최적화시켜 실망에서도 고성능 웹 성능을 보장할 수 있다. 웹프론트 K는 통신3사와 금융·전자상거래 등 고성능·고신뢰성 요구가 높은 기업에 공급되면서 기술력을 입증해오고 있다.
웹 보안, 정보보안 시장 주력 솔루션으로 부상
아직까지 웹방화벽 시장은 엔터프라이즈와 금융권 일부에서 한정적으로 사용되고 있으며, 다른 기업들은 웹 사이트 응답속도와 비용, 관리 복잡성 등의 문제로 도입을 주저하고 있다. 이 때문에 펜타시큐리티, 파이오링크 등 주력업체가 시장을 주도하고 있으며 다른 기업들은 상대적으로 저조한 성과에 머무르고 있는 상황이다.
그러나 웹 보안이 향후 정보보안 시장의 주요 솔루션으로 대두되고 있는 만큼 성능과 기능을 향상시킨 제품으로 경쟁력을 높이겠다는 강력한 의지를 보이고 있다. 모니터랩은 사용자 친화적인 관리환경을 제공하는 ‘WIWAF’를 소개한다. WIWAF는 기존 네트워크 구성 변경 없이 설치할 수 있으며, 지능형 학습기술을 적용한 프로파일링 기술로 오탐을 최소화할 수 있다. 웹방화벽과 DB접근제어 솔루션을 연동시켜 웹서버를 통해 DBMS에 접근하는 사용자를 통제할 수 있다.
트리니티소프트는 웹방화벽 ‘웹스레이’와 시큐어코딩 솔루션 ‘코드레이’를 연동시켜 웹 보안 정책을 제공할 수 있다고 강조한다. 웹스레이는 웹서버 별로 웹방화벽 운영 담당자를 지정할 수 있으며, 웹 해킹 공격 차단을 통해 웹서버를 보호하고, 불필요한 트래픽을 감소시켜 빠른 웹 서비스 제공이 가능하다. 개인정보 유출 은폐 기능을 통해 개인정보 유출을 차단하며, 첨부파일에 포함돼 유출되는 개인정보도 자동 차단한다. 홈페이지 위·변조 탐지와 HTTP 겟 플루드, 캐쉬 컨트롤 등 DDoS 공격에 대한 실시간 감지와 차단이 가능하다.
윈스테크넷의 ‘스나이퍼 WAF’는 OWASP 10대 및 국정원 8대 취약성을 포함한 웹 취약성을 탐지/분석/차단하는 전용 방화벽이다. 시그니처 매칭 기법이 아닌 하이브리드 방식의 탐지/차단으로 웹 콘텐츠 위·변조 방지 및 개인정보 유출차단을 제공한다.
한편 웹방화벽은 관리가 까다롭기 때문에 증권사, 대형 서비스 기업 등 웹 서비스 신뢰도가 중요한 엔터프라이즈 규모에서 주로 적용했다. 그러나 웹 공격이 관리가 잘 되지 않는 중소규모 기업의 웹사이트를 이용하면서 SMB 시장에서도 웹 방화벽 수요가 늘고 있다. 이에 따라 클라우드를 통해 제공되는 웹방화벽 서비스도 성공사례가 차츰 늘어가고 있다.
펜타시큐리티의 ‘클라우드브릭(Cloudbric)’은 SaaS로 이용하는 웹방화벽으로, 웹 보안 전문가가 아니더라도 서비스 페이지를 통해 손쉽게 결제하고 웹방화벽을 적용해 사용한 만큼 비용을 지불할 수 있도록 한다. 클라우드 서비스 사업자를 위해서는 ‘와플 V 시리즈’를 클라우드 서비스에 적용시켜 고객들이 웹방화벽을 클라우드 서비스로 이용할 수 있도록 한다.
