네트웍 다운을 노리는 공격이 여전히 기승을 부리는고 있다. ID 도용이나 다른 범죄에 사용될 수 있는 데이터를 노리는 해킹으로부터 웹 애플리케이션을 보호해야 하는 과제가 보안 담당자들에게 최근 새로운 고민거리로 떠오르고 있다.
이러한 공격에 취약한 애플리케이션을 갖고 있는 웹 사이트의 수는 웹 애플리케이션의 결함을 추적하는 그룹인 웹 애플리케이션 시큐리티 컨소시엄이 지난해 보고한 바에 따르면, 58개로 많지 않아 보인다. 하지만 2003년의 9개, 2004년의 16개에 비하면 크게 증가한 것임을 알 수 있다.
데이터 보호 취약한 웹사이트
올해만해도 이베이, 마이크로소프트 MSN 핫메일, 오픈 소스 리포지터리인 소스포지(SourceForge)닷넷 등에서 최소한 20개의 취약성이 보고됐다. 물론 이 모두는 드러난 취약성을 보완했다.
보고된 취약 사이트의 숫자는 단지 시작에 불과하다. 운영자 측에서도 취약성을 발견하기가 쉽지 않다. 해커들이 계속 들락날락 거리며 공격을 시도하기 때문이다. 따라서 피해자들은 사이트가 공격을 받았는지, 데이터가 도난당했는지를 알지 못할 수도 있다.
과거의 경우 악성 해커는 네트웍과 웹 기반 애플리케이션을 못쓰게 망가뜨리는데 더 많은 관심을 가졌지만 지금은 사용자 로그인이나 결제, 계좌 체크 정보 등 웹 애플리케이션에 저장돼 있는 데이터를 훔쳐내 금전적인 이득을 노리는 경우가 많다.
온라인 중개업체인 스콧트레이드의 정보 보안 및 비즈니스 연속성 담당 선임 매니저인 그랜트 부르지카스는 “만일 해커가 이러한 정보를 질의할 수 있는 애플리케이션을 구축할 수 있다면, 패치된 백엔드 서버 외부에서 그 정보들을 해킹하는 것보다 더 나을 것”이라고 말한다.
스콧트레이드는 버퍼 오버플로우, SQL 인젝션, 크로스 사이트 스크립트 등 취약한 웹 애플리케이션을 노리는 다양한 공격에 맞서 지난해 자체 보안책을 강구하기로 결정했다. 스콧트레이드는 임퍼바 시큐어스피어 웹 애플리케이션 파이어월(Imperva SecureSphere Web Application Firewall) 뒤에 자사의 웹 기반 트레이딩 시스템을 배치했다. 이 방화벽은 모든 필드에 입력되는 데이터의 양과 유형을 규정하는 애플리케이션 보안 정책을 강제하도록 설계돼 있다. “강력한 보안 구축을 위해 모든 계층의 보호를 검토하는 것이 필요하다”고 부르지카스는 말한다.
웹 애플리케이션 방화벽은 네트웍 방화벽과 연동해 사용할 수 있다. 이는 네트웍 경계선에서 동작하면서 블로킹을 위해 설계된 어떤 트래픽도 중단시킨다. 웹 애플리케이션 방화벽 업체로는 그밖에도 시트릭스 시스템즈, F5 네트웍스, 넷컨티넘 등이 있다. 넷컨티넘은 4월 중순에 최신 NC-110000 애플리케이션 방화벽과 애플리케이션 게이트웨이 어플라이언스를 출시하기도 했다.
방화벽은 보안 기능을 내장한 애플리케이션을 작성하는 것보다 보안성이 높아보이지는 않지만 주문형 코드를 작성하고 디버깅하는데 수개월을 소요하는 것보다는 즉각적으로 방어책을 얻을 수 있는 신속한 방법이다. 많은 웹 애플리케이션이 보안을 최우선으로 작성된 것은 아니라고 리스크 관리 소프트웨어 공급업체인 시지탈사의 개리 맥그로우 CTO는 말한다.
금융기관, 웹 공격의 위협성에 주목해야
웹 애플리케이션에 대한 공격은 특히 편리한 온라인 뱅킹과 투자가 급증하고 있는 금융 서비스 회사를 불안케 하고 있다.
아메리카은행은 지난해 자사의 웹 사이트에서 380만 온라인 계좌가 운영되고 있으며 이는 전년대비 69% 이상 증가한 것이라고 최근 발표한 바 있다. 그렇다고 해서 은행들이 고객이 스스로 자기 자신을 방어할 것이라고 맡겨놓을 수는 없다.
토론토의 TD 뱅크 파이낸셜 그룹의 자회사인 TD 캐나다 트러스트가 온라인 계좌를 갖고 있는 700명을 대상으로 실시한 조사에 따르면, 피싱과 웹 사이트 스푸핑이라는 용어를 알고 있는 사람이 채 30%가 안됐다. 대부분의 고객들은 은행이 온라인 뱅킹 보안에 주된 책임을 갖고 있다고 믿고 있는 것이다.
아메리카은행, 스콧트레이드 등을 비롯한 금융 기관들은 웹 공격의 위험성에 주목할 필요가 있다. 특히 최근 6개월간의 추세를 볼 때 데이터가 처리되는 웹 애플리케이션과 가맹점에서 고객의 데이터 취약성이 크게 노출돼 있다는 점은 시사하는 바가 크다.
웹 사이트가 또다른 약점이 되지 않도록 금융기관들이 만전을 기할 필요가 있는 것이다.
LARRY GREENEMEIER
더 자세한 정보는 시큐리티 테크 센터
(informationweek.com/security)를 참조.