한승훈 패닉시큐리티 이사(수석 컨설턴트)
통제 및 프로세스상의 안전성 가장 중요
통제수단 우회공격 기법은 계속 나올 것, 근본 해결책은 ‘시큐어 코딩’
최근 발생한 리니지 사태는 웹 보안의 취약성 때문에 발생된 문제로 인해 사회적 손실과 보안 파급이 어느 정도까지 증폭될 수 있는지를 알 수 있는 신호탄에 불과하다는 지적이 많다. 실제로 최근 침해사고대응 업무를 담당하다 보면, 이제는 공격자가 웹 페이지 변조와 같은 실력 과시용 공격이 줄어든 반면, 웹 취약점을 이용해 사용자의 개인정보를 DB에서 수집해 가는 일이 빈번히 일어나고 있음을 알 수 있다.
대개 홈페이지 위변조 사례를 통해 웹 공격 여부를 판단하고 있는데, 최근 통계를 살펴보면 침해사고가 꾸준히 증가하고 있음에도 오히려 홈페이지 위변조 숫자는 줄어드는 경향을 보이고 있다. 이러한 경우 보안 담당자 또는 시스템 운영자는 홈페이지 위변조와 침해사고 흔적이 없기 때문에 침해사고 사실 자체를 인지하지 못하는 일이 비일비재 하다.
정보보호를 기술적 자산 분류측면에서 보면 네트워크, 시스템, 데이터베이스, 애플리케이션, PC의 5가지로 분류할 수가 있다. 네트워크, 시스템, 데이터베이스, PC는 기존 필터 기반의 접근제어를 통한 보안체계로 방어할 수 있었지만 애플리케이션에 대한 보안 강화는 현재로는 개발자의 보안 프로그래밍(Secure Programming)의 구현 말고는 별다른 방어 방식이 존재하지 않았다.
OWASP 10대 취약점은 현실과 괴리
최근 들어 웹 보안 솔루션으로 각광받고 있는 웹 방화벽은 웹 취약점에 대한 완전한 대안이 될 수는 없다. 각종 우회 공격을 통한 공격사례와 웹 방화벽이 방어할 수 없는 공격 유형이 많이 있기 때문이다. 과거에는 수작업을 이용한 공격이 많았다. 텍스트 기반의 공격도구가 많았고 간단한 조작만으로도 SQL 인젝션 공격을 수행할 수 있었다. 최근 들어 GUI 갖춘 자동화된 공격도구가 나오고 있으며, 양방향 의사체계 따른 공격도구도 많이 나와 웹 브라우저 이용해 특정 취약점에 대한 이해가 없이도 공격이 가능한 실정이다. 이러한 도구를 사용해 DB 테이블과 컬럼 정보, ID와 패스워드 등을 끄집어내 얼마든지 악의적으로 사용할 수 있다.
OWASP의 10대 보안 취약점 중에서 웹 애플리케이션과 직접적으로 연관된 것은 7개 정도이다. 이제 이 10대 취약점은 현재 공격 현실에서는 오래된 자료가 되었다. 최근에는 30가지 정도로 요약된다. 패닉시큐리티가 자체 개발한 웹 애플리케이션 취약점 스캐너인 ‘패치링크’를 통해 분석한 결과 30가지의 취약점 중 가장 위협적인 것은 파일 업로드 취약점이었다. 그리고 쿠키를 조작하는 도구가 지능화되어 쿠키 인젝션도 많이 나오고 있다.
개발자의 시큐어 코딩이 웹 보안 강화 최적
솔루션으로 완벽하게 해결할 수 없는 우회기법을 몇가지 살펴보면, 웹 환경에서 암호화된 내용을 자바스크립트로 호출해 실시간으로 암호를 해제하거나 웹과 C/S(클라이언트-서버) 환경이 복잡하게 얽혀 있어 이러한 취약점을 이용한 공격을 얼마든지 수행할 수 있다. 또 대표적인 네트워크를 운영하는 기업 및 금융권에서 사용하고 있는 SSO/EAM, PKI 적용된 암호화 환경에서는 실시간 암호 해제, 판단, 재암호화를 해 취약점을 방어하는 웹 방화벽 아키텍처가 비효율적일 수 있다. 그리고 액티브X 취약점을 이용하거나 리버스 엔지니어링에 의해 정교하게 위조된 클라이언트 보안체계 우회를 이용해 서버측 취약점을 공격할 수 있는데, 이 때 웹 방화벽은 세션과 무관한 공격이기 때문에 탐지할 수 없어 방어에 취약하다. 세션 하이재킹(Session Hijacking) 기법을 이용할 때에도 통과된다.
하나의 통제수단으로 완벽한 보안 방어를 수행할 수 없다. 통제수단의 우회기법은 지속적으로 개발되고 있기 때문에 웹 보안 솔루션이 모든 문제를 해결할 수 있다는 환상을 가져서는 안된다. 웹 보안 강화를 위한 방안은 개발자의 시큐어 코딩(Secure Coding)이 가장 최적이며, 솔루션과 통제 및 프로세스적 관점에서 통합적 보안성 강화를 위한 지속적인 노력만이 웹 보안 취약점에 대한 대응책이 될 것이다.