본지, ‘2021 클라우드 네이티브 보안 웨비나’ 개최

[아이티데일리] 코로나 19로 인해 클라우드 컴퓨팅에 대한 관심이 높아지기 시작했다. 기업들은 기존 업무 방식을 바꾸기 위해, 혹은 비즈니스가 위축되는 것을 방지하기 위해, 디지털 트랜스포메이션(Digital Transformation)의 기반 기술인 클라우드로의 전환을 서두르고 있다.

이로 인해 클라우드 환경 내 조직의 자산을 보호하기 위한 방안도 활발하게 논의되고 있다. 하지만 클라우드 환경은 기존 온프레미스 환경과 다른, 새로운 개념의 보안 체계가 요구되고 있다. 또한 CSP들이 책임 공유 모델을 제시하면서, 보호해야할 대상과 보안 체계를 구축하는 방법 모두 변화가 요구되고 있다. 보안 분야에서 클라우드 환경에 최적화된 ‘클라우드 네이티브 보안’ 기술을 제시하고 있는 이유이다.

본지(컴퓨터월드/IT DAILY)는 지난 30일 ‘2021 클라우드 네이티브 보안 웨비나’를 개최, 클라우드 환경을 보호하는 웹 애플리케이션 방화벽 ‘AWS WAF’ 소개와 클라우드 환경에서의 정보보호 관리체계 수립 방안을 공유했다. 웨비나의 주요 내용을 정리했다.


AWS 네이티브 보안 솔루션 ‘AWS WAF’

이승현 안랩 CERT팀 대리
이승현 안랩 CERT팀 대리

‘2021 클라우드 네이티브 보안 웨비나’는 이승현 안랩 CERT팀 대리의 AWS 네이티브 보안 솔루션 ‘AWS WAF’라는 주제 발표로 시작했다. 이승현 대리는 웹 애플리케이션 공격 트렌드 및 클라우드 도입 현황, AWS WAF 및 안랩의 AWS WAF 보안 관제 서비스 소개 등으로 발표를 진행했다.

먼저 이승현 대리는 최근 사이버 위협 트렌드에 대해 공유했다. 2019년 안랩에서 발표한 사이버 공격 동향 통계 자료에 의하면 웹기반 공격이 39%, 애플리케이션 취약점 공격이 31%의 높은 비중을 보였다. 더불어 글로벌 CDN 기업 아카마이에서 발표한 2017년부터 2019년까지 웹 애플리케이션 공격 요인은 SQL 인젝션, 로컬 파일 인클루전(Local File Inclusion), 크로스 사이트 스크립팅 공격이 대부분을 차지했다.

이어 이 대리는 국내 클라우드 도입 현황을 소개했다. 베스핀글로벌이 조사한 2019년 국내 업종별 클라우드 도입 현황과 공급사별 클라우드 활용 현황에 따르면, 2019년에 이미 많은 기업들이 클라우드를 도입해 활용하고 있다는 것을 확인할 수 있다. 특히 기업들이 클라우드 도입 목적의 대부분이 웹 및 앱 서비스를 위한 것임을 확인할 수 있다.

이승현 대리는 “만약 클라우드에서 웹 및 앱 서비스, 특히 외부에 노출돼 있는 서비스를 운영한다면 웹 애플리케이션 취약점이나 웹 기반 공격을 대비할 수 있는 수단이 마련돼 있어야 한다. 이런 이유에서 웹 애플리케이션 방화벽(WAF)은 필수적”이라고 강조했다. 이어 “클라우드 환경을 지원하는 다양한 WAF 솔루션이 있지만, AWS를 사용한다면 AWS WAF도 하나의 선택지”라고 덧붙였다.

그는 AWS WAF 버전 2를 기준으로 주요 특징을 소개했다. 이 대리에 따르면 AWS WAF의 특징은 크게 6가지로, ▲유해 트래픽 차단 ▲관리형 규칙 제공 ▲실시간 가시성 제공 ▲손쉬운 설치 ▲가용성 보장 ▲사용한 만큼 비용 지불 등이다.

먼저 다양한 웹 방화벽 규칙을 이용해서 OWASP 톱10이나 CVE, 악성봇을 비롯한 여러 유해 트래픽을 차단할 수 있다. 더불어 사용자가 직접 규칙을 작성할 수도 있으며, 관리형 규칙도 제공된다. 관리형 규칙은 AWS나 서드파티 등의 AWS 마켓플레이스 판매자가 작성하고 유지 및 관리하는 규칙이다. 관리형 규칙 그룹을 이용하면 AWS WAF를 구현하고 사용하는 데에 드는 리소스나 시간을 절약할 수 있으며, 새로운 취약점에 대해 자동 업데이트가 되기 때문에 사용자는 애플리케이션 구축 등 다른 워크로드에 집중할 수 있다는 게 장점이다.

또한 클라우드워치(Cloudwatch) 메트릭을 지정할 수 있어, 웹 방화벽에 의해 허용되거나 차단된 웹 요청의 수를 확인할 수 있고, 임계치를 걸어서 지정한 값을 넘는 경우 사용자에게 알림을 주도록 실시간 가시성을 제공해줄 수도 있다.

AWS WAF 동작 원리
AWS WAF 동작 원리

‘AWS WAF’는 AWS 네이티브 보안 서비스로 인프라 구성 변경 없이 몇 번의 클릭으로 바로 사용이 가능하다. 웹 방화벽에 ‘아마존 클라우드프론트(Cloud front)’나 ‘애플리케이션 로드밸런서(Application Load Balancer)’와 같은 리소스를 등록해주면 해당 리소스를 통해서 들어오는 웹 요청에 대해 탐지, 차단이 가능하다.

그리고 ‘AWS WAF’는 AWS에서 관리하는 완전관리형 서비스기 때문에 기본적으로 가용성을 보장한다. 따라서 하드웨어적인 장애나 이슈는 발생할 가능성이 매우 적으며, 갑자기 많은 양의 트래픽이 들어오더라도 자동으로 스케일링이 된다는 장점도 있다. 마지막으로 사용자가 사용한 만큼만 비용을 지불하게 되며, 사전 약정이라던지 라이선스 비용과 같은 부분은 부과되지 않는다.

‘AWS WAF’를 이용하기 위해서는 웹ACL와 WCU에 대한 이해가 필요하다. 웹ACL은 ▲웹 방화벽으로 보호할 AWS 리소스 등록 ▲웹방화벽 규칙 우선순의 정의 ▲WAF 규칙에 매칭되지 않는 요청에 대한 동작 정의 ▲모니터링 및 로깅 등 4가지 역할을 한다.

WCU(Web ACL Capacity Units)는 웹ACL에 정의된 규칙을 사용하는 데 필요한 운영자원을 나타내는 용량 단위다. 연산 처리 능력을 많이 요구하는, 운영자원을 많이 필요로 하는 복잡한 규칙일수록 WCU를 많이 사용하게 되고 반대로 간단한 규칙일수록 WCU를 적게 사용한다. 웹ACL 당 WCU 1,500이라는 초기 제한이 걸려 있으며, AWS서포트센터를 통해 최대 제한 수치를 증가시킬 수 있다.

AWS WAF의 동작 과정을 살펴보면, 먼저 관리자는 AWS WAF를 사용하기 위해 웹ACL을 생성해 보호 대상 리소스를 등록한 다음, 사용할 WAF 규칙을 정의하게 된다. 그리고 클라이언트가 등록된 리소스로 웹 요청을 하게 되면 웹 방화벽 검사를 받기 위해 AWS WAF로 해당 요청을 보낸다. 웹 방화벽에서는 해당 웹 요청이 정상적인 요청인지 유해한 요청인지 규칙을 통해 판단을 하며, 검사 결과를 다시 리소스로 보낸다. 요청을 허용하는 경우에는 클라이언트에게 요청된 컨텐츠를 전송하고, 그렇지 않은 경우에는 403 에러 코드와 함께 요청을 거절한다.

이승현 대리는 AWS WAF의 규칙에 대해 자세히 설명했다. WAF 규칙은 커스텀룰과 매니지드룰 2개로 구분할 수 있다. 커스텀 룰은 사용자가 직접 규칙을 작성해야 한다. 규칙을 직접 설정할 때는 ▲조건 일치문(Match Statements) ▲논리적 규칙문(Logical Statements) ▲컴플렉스 규칙문(Complex Statements) 등을 기준으로 작성할 수 있다. 조건 일치문은 가장 일반적인 유형으로 사용자가 정의한 조건과 웹 요청의 구성 요소에 대한 값을 비교하는 방식이다. 논리적 규칙문은 AND, OR, NOT을 이용해서 여러 문을 결합하거나 부정할 수 있다.

WAF 규칙의 행위는 allow, block, count 이렇게 3가지 방식이 있다. allow나 block은 웹 요청을 허용할지 차단할지 결정하는 방식이다. 그리고 count는 웹 요청에 대한 허용이나 차단을 결정하지 않고, 개수만 기록한다.

매니지드룰은 AWS 및 서드파티가 제공하는 사전 정의된 규칙을 의미한다. AWS는 OWASP 톱10 및 핵심 규칙이 속해있는 코어 룰셋(Core Ruleset), SQL 인젝션을 차단하기 위한 SQL DB 룰셋, 리눅스/윈도우/포식스와 같은 OS 전용 룰셋 등을 제공한다. 이외에도 CSC(Cyber security cloud), F5네트웍스, 포티넷 등이 매니지드룰셋을 제공하고 있다.

커스텀룰과 매니지드룰의 가장 큰 차이는 새로운 취약점이 발견됐을 때 커스텀룰의 경우 사용자가 직접 규칙을 업데이트해야 한다. 매니지드룰은 업데이트 등은 간편하지만 개별 룰에 대한 조회나 편집이 불가능하다.

AWS WAF를 사용하는데 드는 비용은 생성한 웹ACL의 개수, 웹ACL에 추가한 규칙 혹은 규칙 그룹의 개수 그리고 수신한 웹 요청 건수에 따라 결정된다. 생성한 웹ACL 당 월별 5달러가 부과되며, 웹ACL에 추가한 룰 그룹 당 월별 1달러의 비용이 추가된다. 웹 요청의 경우 WCU 사용량에 따라 비용이 부과된다. 참고해야 할 사항은 웹 방화벽에 등록한 AWS 리소스에 대한 사용요금은 별개라는 점이다.

이승현 대리는 안랩에서 제공하고 있는 ‘AWS WAF 보안 관제 서비스’에 대해 소개했다. ‘안랩 AWS WAF 보안 관제 서비스’는 실시간으로 보안 침해 위협을 모니터링하고 대응함으로써 공격을 효과적으로 방어할 수 있고, 침해사고 발생 시 공격 침투 경로를 파악하고 피해 시스템을 분석해 확산을 방지한다. 더불어 취약점 제거 방안 및 대응 방안을 제시한다.

안랩 AWS WAF 보안관제 서비스
안랩 AWS WAF 보안관제 서비스

또한 수집된 로그를 분석해 정책을 점검하고 차단 정책을 최적화해서 IT 환경에 맞는 정책을 적용할 수 있도록 돕는다. 이외에도 수시로 침해사고 대응 보고서나 분석 보고서를 제공하고 있다.

마지막으로 이 대리는 AWS WAF의 필요한 이유 3가지를 설명했다. 첫째 AWS WAF는 네이티브 서비스로, WAF를 사용하기 위해 추가적인 프록시 구성이나 혹은 웹 서버 호환성을 비롯한 환경 제약이 없다. 그리고 서비스 스케일 확장이 빈번하게 일어나거나 불규칙적인 대용량 트래픽 발생에 대해 AWS WAF는 유연하게 대응이 가능하다. 마지막으로 AWS WAF는 AWS 콘솔에서 클릭 몇 번만으로 바로 서비스 사용이 가능하고, 관리형 규칙 적용을 통해서 간편하고 빠르게 웹 보호가 가능하다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지