웹 보안 강화의 최선책은 '개발자의 시큐어 코딩’
웹 애플리케이션 및 콘텐츠 보안의 최신 이슈 및 대응방안 제시, 6개사 솔루션 전시
지난 2월 23일 본지는 서울 프라자 호텔 그랜드볼룸에서 ‘효과적인 웹 애플리케이션 및 콘텐츠 보안 방안’이라는 주제로 웹 애플리케이션 & 콘텐츠 보안 세미나·전시회를 개최했다.
최근 웹 보안에 대한 높은 관심을 반영하듯 공공기관, 금융기관, 기업, 병원 등 네트워크 및 보안 관리자 등 350여명이 참가한 이번 행사에서는 최신 웹 애플리케이션 및 콘텐츠 보안 이슈와 대응방안 등이 소개됐으며, F5 네트웍스, 블루코트 등 5개 업체의 웹 보안 솔루션이 전시됐다.
이유지 기자 yjlee@com-world.co.Kr
지난달 23일 본지 주최로 열린 웹 애플리케이션 & 콘텐츠 보안 세미나·전시회는 기술 트렌드, 효과적인 대응 방안, 기술 적용 사례 및 시연, 취약점 우회기법 연구 등 웹 보안에 대한 이슈를 총망라한 행사였다.
웹 보안의 이슈 총망라
웹 애플리케이션 공격에 의한 웹 사이트 위·변조, 서비스 중단, 고객 및 내부정보 유출 등 사고가 크게 증가하면서 웹 보안에 대한 높은 관심을 반영하듯, 행사 이전부터 참가신청 열기가 뜨거웠다. 행사 이전 신청이 조기 마감되었음에도 세미나에 참가하려는 신청자들의 문의가 쇄도했다. 그리고 당일 오전 10시에 시작해 4시까지 이어진 세미나에는 자리를 뜨지 않고 경청하는 한편, 전시부스 관람 시간에 솔루션을 살펴보는 참가자들로 웹 보안이 현재 정보보안 분야의 최대 이슈라는 점을 실감하게 했다.
이번 세미나에는 ▲‘웹 해킹 현황 및 대책-악성코드 현황 및 대책’을 주제로 발표한 한국정보보호진흥원(KISA)의 김우한 인터넷침해사고대응지원센터장이 첫 키노트 세션 발표로 테이프를 끊었으며 ▲‘최신 웹 보안 트렌드 및 전략-Securing Web Application Infrastructure’를 주제로 F5 네트웍스의 제프 팬코틴 수석 부사장이 두 번째 키노트 연설자로 나섰다.
첫 키노트 연설자였던 김우한 한국정보보호진흥원 인터넷침해사고대응지원센터장은 “악성 봇과 최근 게임 ID를 도용하는 사례와 피싱, 애드/스파이웨어가 급격히 늘어났으며, 홈페이지 변조가 엄청나게 발생해 지난해 최초로 경보를 발령했다”고 최근 악성코드 및 침해사고 현황을 전하며, “KISA는 최근 50여개 안티스파이웨어에 대한 테스트를 진행하고 있으며, 웹 애플리케이션 취약점을 이용한 공격 증가로 공개용 웹 방화벽을 사이트에서 무료 배포하고 있다”고 말했다.
김 센터장은 또한 “레이어7까지만을 보호해서는 정보보호를 할 수 없으며, 이제는 콘텐츠 계층인 레이어8과 사람이 개입(Human Intervention)하는 레이어9까지 신경써야 한다”고 강조했다.
이어진 발표에서 제프 팬코틴 F5 네트웍스 수석 부사장은 “이제는 안티바이러스, 방화벽과 IPS 등 데스크톱과 네트워크단에 적용된 보안 인프라와 아키텍처로는 웹 애플리케이션 공격과 같은 새로운 위협에 대처할 수 없다”며, “웹 애플리케이션 취약점을 없애기 위해서는 프로그램을 재설계하는 것이 최적의 방법이지만 비용이 많이 들고 쉽지 않기 때문에 웹 애플리케이션 액세스 및 트래픽 보안 방안을 강구하는 것이 가장 현실적인 방법”이라고 제시했다.
본격적인 세션에서는 ▲웹 보안의 새로운 기술동향-웹 애플리케이션과 DB의 통합 보안(싸이버텍홀딩스)과 ▲차세대 웹 보안 솔루션-L7 스위칭 및 웹 가속 기능과 결합한 웹 보안 솔루션의 시너지 효과(F5 네트웍스 코리아), ▲웹 보안과 프록시-The Power of The Proxy(한국블루코트) ▲다양한 웹 공격사례와 통합 웹 보안 구축 방안(펜타시큐리티) ▲웹 보안 취약점 우회기법 연구(패닉시큐리티)가 이어졌다. 세미나장 입구의 전시부스에는 F5 네트웍스 코리아, 싸이버텍홀딩스, 펜타시큐리티시스템, 한국블루코트, 한국쓰리콤 등 5개 주요 업체들의 웹 보안 솔루션이 전시됐다.
키노트 1 / 웹 해킹 현황 및 대책-악성코드 현황 및 대책
기업의 95%가 웹 애플리케이션 해킹 경험, 5%만이 공격 인지
KISA 인터넷침해사고대응지원센터 공용 웹 방화벽 배포
우리나라의 인터넷 망은 KT와 하나로텔레콤, 데이콤, 전산원 등에 의해 구성되어 있다. 전산원은 2004년 말 현재 정부와 학교, 기업 등 8만 6천개 전용회선 고객을 확보하고 있다.
가정은 1,200만 고초속 인터넷 가입자가 있고, 140만개의 URL 사이트가 존재한다. .com, .net, .Kr 등이 그것이다. 특히 70여개의 ISP가 서비스를 제공하고 있다.
악성코드는 1986년에 나온 씨브렌을 시작으로 그동안 많은 변화가 있었다. 1988년에 미국의 CERT가 설립되었고, 그 이후 바이러스는 자기복제 능력을 갖추고 엄청나게 확산되었다.
웜은 수시로 나오고 있는데 요즘에는 메일에 첨부되는 웜이 많다. 2003년 1월 25일에는 슬래머 웜에 의해 우리나라 인터넷망이 총체적으로 감염, 중단된 적이 있다. 1.25 인터넷 대란이 그것인데, 이 사태는 한국정보보호진흥원(KISA)에 인터넷침해사고대응지원센터(KrCERT)가 만들어지게 된 직접적인 계기가 되었다. 그해 8월에는 블래스터/웰치아, 소빅과 그 변종이 한꺼번에 출현했다. 2004년을 기점으로 웜은 잦아드는 추세이지만 2004년 7월에는 외국발 트로이목마 툴로 정부기관의 자료를 빼갔다는 충격적인 발표도 있었다.
2003년 말부터는 악성 봇이 극성을 이루고 있다. 악성 봇은 시한폭탄과 같은 것이다. 피싱이나 스팸 등이 해당된다. 피싱 봇이 차지하는 비중은 점차 커져 약 40%에 달한다. 나머지는 스팸이 50%, 10%가 특정 목적용 봇이다. 2004년부터는 게임ID를 도용하는 사례와 피싱, 애드/스파이웨어가 급격히 늘어났다. 스파이웨어에 효과적으로 대응하기 위해 현재 우리 센터가 약 50여개 제품에 대해 테스트를 진행 중에 있다.
지난해 홈페이지 변조 급증, KrCERT 첫 경보 발령
피싱의 경우 우리나라 기업의 사이트가 피싱에 악용되지는 않는다. 피셔가 우리나라의 정보보호가 취약한 PC서버를 악용하는 것인데, 이베이나 페이팔 등을 사칭하는 것이 가장 많다. 지난해에는 홈페이지 변조가 엄청나게 발생해 KrCERT 개소 후 최초로 경보를 발령하기도 했다.
국내의 대다수 웹 사이트 운영자들은 제로보드, 구노보로, 테크노터 등 무상 프로그램을 많이 사용하고 있다. 그런데 애로사항이 많다. 개발자들에게 연락이 안되어 애를 먹는다. 연락할 방법이 없어서 KrCERT가 직접 해커가 사용하는 해킹 툴을 사용해 역추적한 다음 연락처를 찾아서 알려줘도 담당자가 “이거 우리가 개발 안했다”, “사직했다”고 말하는 것이 우리나라의 현실이다.
악성코드에 대처하기 위해 KrCERT는 국내 모 IDC에 뉴트럴 서버를 설치하고 모든 악성코드가 다니는 거점에 우리나라에서 얼마나 악성코드가 퍼지는지 측정해봤다. 매월 약 5분 단위로 안티바이러스를 설치 안하고 측정해보니 윈도우 2000 SP 1의 위험성이 매우 높았다. PC를 붙이자마자 5초 내에 감염된 경우도 있었다. 이렇게 인터넷상에는 악성코드가 많이 돌아다닌다. 국내 전체 인터넷 트래픽의 2~3%가 감영을 시도하거나 악성코드를 수반한, 또는 해킹을 목적으로 하는 것이라고 보면 타당하다.
그런데 한국이 봇 감염율이 높은 이유는 무엇인가? 우리나라는 현재 3~4위로 떨어졌지만, 그래도 미국, 중국, 한국이 여전히 1, 2, 3위를 겨루고 있는 실정이다. 최근에는 일본이 올라오고 있다.
한국이 타깃이 되는 이유는 인프라, 즉 대역폭이 크고 좋기 때문이다. 봇을 유포하는 사람들을 허더라고 하는데, 우리나라의 봇에 감염된 PC의 컨트롤 권한이 비싸게 팔린다고 한다. 우리나라 보다 인프라가 좋지 않은 감염된 PC 10개, 20개, 100개를 운영하는 것보다 우리나라의 감염된 PC하나를 운영하는 것이 확산 속도가 빠르기 때문이다.
KISA는 이에 대응하기 위해 작년부터 체계를 갖춰나가고 있다. KrCERT는 봇을 최초에 감염시키는 사람이 있으면 즉각적으로 IP 어드레스를 분석할 수 있고 URL을 찾을 수 있다.
이 경우 KrCERT는 국내 ISP들에게 DNS RR 레졸루션(Resolution)을 그쪽으로 보내지 말고 우리에게 보내라고 한다. 이렇게 하면 감염 자체는 막지 못하지만, 재감염 및 확산은 막을 수 있다.
우리나라의 유저 PC가 봇에 감염되면 KrCERT에게 곧바로 알려온다. 오는 순간 치료를 해야 하는데, 접속하자마자 치료하려면 일반 가정의 감염 PC에 들어가게 된다. 그런데 이것이 문제가 된다. 현행 정보통신망법상 이게 해킹에 해당되기 때문이다. 따라서 이같은 모순을 해결하기 위해 다른 방안을 강구하고 있다.
애플리케이션 공격의 80%는 80포트를 대상
2002년에 미국 FBI/CSI가 발표한 것에 의하면 일반기업의 95% 정도가 애플리케이션 해킹을 당했는데, 그들 중 5% 정도만 해킹 사실에 대해 인지할 정도라고 발표했고, 가트너는 75% 정도가 애플리케이션 레벨에서 해킹을 당하고 있다고 밝힌 바 있다. 웹 애플리케이션 보안 문제는 최근 지속적으로 늘어나고 있는데, 80% 정도가 80포트를 대상으로 한다. 2005년 영국의 국가정보보호기관 NISCC가 발표한 것에 의하면, 약 1000개 정도의 기관이 침해를 받았다.
침해사고대응지원센터는 국내 140만개 웹사이트 중 상위 5%를 추출해 악성코드가 은닉되어 있는지 찾고 있다. 국내 사이트 중 5%면 약 7만개에 해당하는 것으로 여러분들이 찾아다니는 거의 모든 사이트가 포함된다.
악성코드를 퍼트리는 사람들은 국내 정보보호가 취약한 홈페이지에 악성코드를 주입한다. 그런데 이런 사이트는 대부분 보안패치를 안한 사람들이다. 때문에 홈페이지 상에서는 악성코드가 주입되어도 표시가 나지 않는다. 대표적인 게 아이프레임이다. 따라서 이들이 악성코드를 다운받게 된다. 이렇게 되면 모든 홈페이지가 침입자에 의해 원격 조정되고 개인정보가 유출된다. 이게 우리의 현실이다. KrCERT는 이 사실을 홈페이지 운영자에게 통보해준다. 그런데 대부분 단순하게 보이는 것만 지우고 만다.
중국에서는 공공연하게 해킹 툴을 인터넷 상에 올려놓고 교육하고 있다. 그런데 대다수가 웹 애플리케이션 상에서 이뤄진다.
KrCERT 공개용 웹 방화벽 소프트웨어 배포
KrCERT는 최근 웹 방화벽을 공개적으로 시험해 오고 있다. 우리나라에서 사용하고 있는 웹 애플리케이션 서버의 90%가 MS 버전 IIS서버이다. 그래서 웹 취약점을 막기 위해 프리웨어를 찾아봤더니 벨기에에서 개발된 웹나이트가 있었다. 웬만한 상용 방화벽의 80% 정도는 커버했다. 이것은 MS IIS 서버용이고, 아파치용도 최근에 발견, 현재 테스트 중에 있다. 상용 웹 방화벽을 구입할 처지가 되지 못하는 중소기업은 KrCERT의 사이트에서 이 제품을 다운받을 수 있다. 많은 분들이 사용할 수 있기를 바란다.
상용 웹 애플리케이션 방화벽을 구입할 때 주의해야 할 점들에 대해서는 웹 애플리케이션 포럼(WAF: http://www.webappsec.org)이 정한 사항을 염두에 두고 구매하면 될 것 같다.
정보보호는 레이어7만으로는 안된다. 방화벽은 L4까지는 방어한다. 이제는 콘텐츠 계층인 레이어8까지 신경 써야 한다. 그러나 정말 중요한 것은 역시 사람이다. 사람이 개입하는(Human Intervention) 레이어9가 중요하다. 보안을 책임지는 관계자라면 이제는 적어도 L8-9까지는 신경 써야 할 것이다.
키노트 2 / 최신 웹 보안 트렌드 및 전략- Securing Web Application Infrastructure
웹 애플리케이션 접속 및 트래픽 보안 방안을 강구하라
SSL VPN과 웹 방화벽은 손쉬운 해결책
웹 애플리케이션 영역의 보안 구멍이 커지고 있다. 최근 발생되는 천만 건에 달하는 보안사고 중 64%가 방화벽의 열려진 포트인 80을 통해 이루어지고 있다는 통계에서 볼 수 있듯이 네트워크나 시스템, PC 등 다른 IT영역과는 달리 웹 애플리케이션 영역은 무척 취약한 상황이다.
네트워크나 시스템에 보안 방안이 강구되면서 최근 해커들은 그러한 애플리케이션의 취약성을 이용해 공격을 수행하기 시작했다. 이 때문에 최근의 ID도용이나 시스템 파괴 등의 사고가 일어나는 것이다. 80포트와 443은 방화벽으로도 막지 못한다. 방화벽은 웹 콘텐츠와 컨텍스트에 대한 이해가 취약하기 때문이다.
특히 한국이나 일본과 같은 초고속 인터넷 인프라를 구비한 국가는 더욱 시스템 간에 전송되는 정보에 대한 통제가 어려워지고 있어 개인정보가 인터넷에 무방비로 노출되고 있다. 또 최근 들어 인터넷을 통해 다양한 비즈니스가 이루어지고 집과 회사에서 유연하고 이동성 있는 작업 환경이 형성되면서 사용자는 어디에서든 접속할 수 있기 때문에 보안 문제가 유발되기 쉬워졌다. 즉 엔드포인트가 어디에 있는지 모름에 따라 많은 기업들이 보안정책을 만들기 어려우며 보안관리가 취약해질 수 있다.
근본적인 문제는 애플리케이션을 설계할 때 보안을 강구하지 않기 때문이다. 개발자들은 애플리케이션을 개발할 때 개발 시간을 맞추는 것과 딜리버리 성능에 중점을 둔다. 시간 부족이나 능력 부족 등의 이유로 보안이 보장된 애플리케이션 개발을 수행하지 못하고 있다. 때문에 스파이웨어나 스팸메일, 바이러스 등에 노출되고 있는 것이다. 애플리케이션 개발 단계에서 보안이 우선순위를 차지하지 못하고 오류를 잡아내는 프로세스 일환으로 가져갈 뿐이다.
2003년 출현한 슬래머 웜은 전세계적으로 50억 달러의 피해를 야기했다. 이 공격은 하나의 트랜젝션 SQL로 보내졌는데 개발자가 파라미터 체크를 전혀 하지 않았기 때문에 시작된 것이라 할 수 있다. 404바이트 중 304바이트가 웜이었다. 결국 이 웜은 발생 10분 이내에 95%의 취약점을 가진 시스템을 감염시켜 메모리 부하를 일으키고 결국 다운시켰다. 슬래머 웜 제작자는 애플리케이션의 내부 코드를 잘 알고 있는 사람들의 소행이었을 것이다.
애플리케이션 개발자들은 보안 전문가들이 아니며 보안 프로그래밍을 어떻게 수행하는지 잘 알지 못한다. 때문에 기업의 소중한 내부 데이터가 무방비 상태로 노출되어 있다.
웹 애플리케이션 해킹 관련 사례는 미국을 비롯해 전세계적으로 많이 알려지고 있다. 흥미로운 것은 이러한 공격을 입은 기업들은 언론에 나오기 전까지는 그 사실을 숨긴다는 사실이다. 미국의 경우에 웹 해킹 사고로 신용카드사의 200만명의 고객정보가 그대로 노출된 사건이 발생하기도 했다.
애플리케이션 문제 해결 복잡, 비용도 많이 들어
웹 보안 이슈 관련 영역에는 여러 가지가 있다. 전화나 PDA, 노트북과 같은 엔드포인트 영역과 네트워크상의 인프라 영역, DoS나 바이러스, 프로토콜 침해 등 불법 접속을 유발하는 애플리케이션단의 공격이 있다. 애플리케이션 영역은 파라미터(Parameter), 탬퍼링(Tampering), SQL 인젝션(Injection) 등 공격 유형 복잡성과 문제의 범위가 낮은 반면, 해결방안이 복잡하고 비용도 많이 드는 것이 특징이다. 콘텐츠 자체에 의존하기 때문에 변경 시마다 해결방안도 바꿔서 대처해야 한다.
PC는 안티바이러스로, 네트워크 단에는 방화벽이나 IPS로 대처할 수 있지만 애플리케이션단은 취약점 평가 툴을 사용해 문제를 발견하면 그 애플리케이션을 재설계해야 한다.
얼마 전 뉴질랜드의 10억 달러 규모의 한 수송회사의 전자상거래 사이트의 애플리케이션을 테스트해보니 OWASP(Open Web Application Security Project) 10대 취약점 중 8개가 나왔다. 이 경우 애플리케이션을 개발한 사람을 찾아 고치는 것이 가장 쉬운 해결 방법이다. 하지만 3명의 프로그래머 중 2명은 퇴사했고 나머지는 다른 프로젝트에 투입되어 있었다. 결국 이 회사는 문제를 해결하기 위해 100만 달러를 투자해야 한다.
애플리케이션의 보안 취약성은 누군가가 아는 것만으로도 문제가 발생하며 이는 회사에 큰 타격을 줄 수 있다.
그래프를 보면 엔드포인트 영역은 복잡성과 비용 모든 면에서 문제 해결이 쉽다는 것을 알 수 있다. 많은 공개된 소프트웨어 툴이 있으며 바이러스 스캔의 경우 30달러 정도의 저렴한 비용으로 해결할 수 있다.
네트워크단의 대안도 얼마든지 있다. 상대적으로 해결에 들어가는 비용은 낮다. 그러나 애플리케이션은 소요비용이 엄청나게 많이 들어갈 수 있다. 때문에 애플리케이션단은 쉽게 손대지 못하고 공격을 수수방관하게 되는 면도 있다.
첫 번째 웹 애플리케이션 보안 방안은 ‘SSL VPN’
애플리케이션 공격에 대한 해결에 들어가는 비용을 줄이기 위해서는 두가지가 필요하다. 바로 SSL VPN과 네트워크 방화벽 뒷단에서 애플리케이션 콘텐츠에 대한 방어를 수행하는 웹 애플리케이션 방화벽이다.
이제는 보안을 다시 생각해봐야 할 단계에 이르렀다. 낙후된 아키텍처로는 제대로된 보안 구축이 어렵다. 많은 기업들이 손실을 크게 입은 후에야 대응에 나서는 모습은 참으로 안타깝다.
웹 애플리케이션 보안을 위해 첫 번째 시도해야 할 일은 웹 애플리케이션에 대한 접속 보안을 강화하는 것이다. 여기에서는 SSL VPN과 프록시 아키텍처가 필요하다.
IPSec VPN은 암호화된 터널을 연결하지만 액세스만 하는 모드이기 때문에 애플리케이션 보안 문제를 해결하지는 못한다. SSL 프록시 아키텍처는 일단 커넥션을 종료하고 다시 프록시가 엔드유저의 디바이스를 확인해 여기에 개인 방화벽이 동작하는지 확인한 후 연결을 수행하기 때문에 안전하다. 또 키오스크 등 외부 어디에서든 그 접속 여부를 확인할 수 있으며, 부분적으로 허용된 애플리케이션에 대해서만 접속을 허용할 수 있어 높은 수준의 보안성을 제공한다. 또 무선 원격 접속에 대한 인증 및 관리도 지원된다.
많은 기업들이 보유하고 있는 인터넷, 내부 랜 등 네트웍마다 사용자별 보안 정책을 차등 적용하고 있는데, 모든 사용자들이 사용하는 랜마다 같은 수준의 정책이 적용되어야 한다. 서로 다른 환경의 보안 수준에 차별을 두는 것은 관리하기 어려우며 훨씬 비용이 많이 들어가고 보안이 제대로 구현되지 못한 환경이 만들어지게 된다. 무선 원격 액세스에 대한 보안 수준이 내부 네트웍 액세스보다 훨씬 낮은 경우도 많은데 이는 어리석은 일이다. 사용자가 어디에 있던 동일한 보안수준을 적용하면 관리 비용을 낮출 수 있다.
SSL VPN은 모든 애플리케이션에 동일한 보안 정책을 공통적으로 적용할 수 있다. 통합 엔드포인트 보안도 강구할 수 있어 사용자가 들어오기 전에 보안 수준을 확인할 수 있으며 중앙집중화된 정책관리를 수행할 수 있다. 또 사용자들을 별도의 쿼런틴(Quarantine) 네트워크에 격리할 수 있어 그룹별로 VLAN 접속을 가능하게 한다. 다이내믹 보안 정책을 적용하면 디바이스에 따라 특정 애플리케이션만 액세스할 수 있으며, 데이터를 보고난 후 캐시를 모두 지워 보안성을 높일 수 있다.
합법적인 웹 애플리케이션 트래픽 허용 방안 필요
다음으로 웹 애플리케이션 트래픽 자체에 보안을 강구해야 한다. 전통적인 네트워크 방화벽은 80이나 443 포트가 항상 열려있어 이들 포트를 통해 애플리케이션에 접속하려는 시도를 차단하기 어렵다. 웹 애플리케이션 보안을 위해서는 방화벽 안쪽에 있는 웹 애플리케이션 방화벽을 통해 합법적인 트래픽만을 허용할 수 있도록 해야 한다.
여기에서는 프록시 아키텍처와 폴리시 엔진이 중요하다. 프록시 아키텍처는 세션을 일단 종료한 후 트래픽을 확인해 허용여부를 판단한다. 폴리시 엔진은 데이터의 컨텍스트를 이해해 침해를 방지한다. 슬래머를 예로 들면, 폴리시 엔진에서 애플리케이션을 보고 트랜잭션의 길이가 100바이트보다 길면 그 이상의 대용량 트래픽은 차단해야한다는 것을 알았을 것이다.
현재의 보안 인프라는 낙후되어 있다. 방화벽이 기본적으로 할 일을 하고 있지만 새로운 공격 방식에는 대응하지 못한다. 프로토콜 포트를 통해 들어오는 공격은 방화벽을 통과한다. 암호화된 데이터는 그것이 공격인지 아닌지 모른 채 그냥 통과된다.
일반적으로 시그니처 기반으로 침입방지 기능을 수행하는 IPS는 방화벽보다는 장점이 있다. 합법적인 것이 무엇인지를 알 수 있어 그렇다. 행위 기반으로 개발되어 있는 제품도 있어 알려지지 않은 공격을 일부 차단하기도 한다. 이와 같이 기본적으로 시그니처 기반으로 DB를 갖고 있고 이를 매칭하는 방식을 네거티브(Negative) 모델이라고 부른다. 합법적인 트래픽만을 허용하고 들어오는 트래픽이 시그니처와 맞으면 차단하는 방식이다. 하지만 새로운 공격은 시그니처가 없는 어나멀리(Anomaly) 공격을 그대로 통과시키는 한계를 갖고 있다. IPS 벤더들은 이러한 사실을 이야기하고 있지는 않지만 이미 이와 관련된 많은 문제점이 발생되었다.
따라서 애플리케이션 트래픽 보안을 위해서는 프록시 기반의 아키텍처와 폴리시 엔진(Policy Engine)이 있어야 한다. 그리고 합법적인 요건에 맞지 않으면 트래픽을 차단하는 포지티브(Positive) 모델을 갖고 있어야 한다.
새로운 보안 인프라 구성하기 위한 노력 추진해야
향후 기업의 보안 네트워크 구조를 그려보자. 파트너사의 인력들이 원격으로 접속해 데이터센터에 있는 정보를 가져갈 경우, 버추얼 데이터센터가 따로 있어 여기에 접속하며, 이 때 서로 다른 장소에서 들어오는 디바이스와 유저뿐만 아니라 트랜잭션 레벨까지 더 세분화된 정책이 적용된다. 모든 데이터 트래픽은 암호화되어 있어 네트워크가 아주 고속이어야 하며 분산된 구조여야 한다. 그리고 모든 데이터에는 정책이 정기적으로 적용되어야 한다.
버추얼 데이터 센터 앞에 있는 PEP(Policy Enforcement Point)는 폴리시 채킹을 수행하지 않은 어떠한 데이터도 통과시키지 않는다.
현재 모든 데이터가 암호화되지 않는 이유는 성능 때문이다. 원하는 수준의 퍼포먼스를 제공하지 못하고 있지만 앞으로는 어디에서 들어오든 모든 트래픽이 암호화되어 공격을 방지할 수 있다. 또 액세스 레벨에서는 내부 사용자들까지도 보안 정책을 적용받게 될 것이다. 모든 액세스는 아이덴티티 시스템 쪽에서 라우팅된 후 통과된다. 이러한 요소를 모두 충족하면 바로 새로운 인프라가 구축되는 것이다.
방화벽 안쪽의 내부 네트워크에도 보안이 강화된 네트워크를 구축해 세분화된 보안을 적용할 수 있다.
PEP의 몇가지 요건을 살펴보면, 먼저 정책 기반으로 개발되어 초고속의 실시간 검사를 수행할 수 있어야 한다. SAML 등 표준 기반이어야 하며, 3A(Authentication, Authrization, Audit and Accounting)도 모두 지원해야 한다. 또 세분화된 데이터 네트워크 레벨 앞단에는 애플리케이션 방화벽이 반드시 있어야 한다. 따라서 들어오는 데이터가 애플리케이션 트래픽인지 확인해 암호화된 공격 여부를 확인할 수 있다.
현재 F5는 미래의 새로운 보안 인프라를 구축할 수 있도록 보잉과 같은 기업들과 노력하고 있다. 새로운 보안 인프라를 구축하는 일은 쉽지 않을 것이다. 현재의 인프라를 뜯어고치는 작업은 네트워크에서 시작해 애플리케이션으로 점점 확장될 것이다.
현재 왜 이렇게 낙후된 보안 상황에 직면했는지 고민해보고 현재의 애플리케이션을 어떻게 사용하는지, 그리고 향후 웹 서비스 통해 어떻게 사용할지 살펴봐야 한다.