웹 2.0 시대의 새로운 보안 위협
참여, 공유, 개방으로 대변되는 '웹 2.0' 시대에 본격적으로 접어들면서 지금까지와는 다른 진화된 웹 세상을 경험하게 되었다. 유비쿼터스 환경에서 모든 사람이 주도적으로 쉽게 정보를 올리고 함께 공유하는 환경으로 발전하면서 보다 많은 혜택과 이득을 접하게 된 것이다. 하지만 웹 2.0 시대를 노리는 새로운 보안 위협이 등장, 부정적인 요인도 가중되고 있어 이에 대한 준비도 필요한 시점이다.


블루코트 최종현 부장



과거의 웹은 정적 HTML 페이지를 전송하는 단편적인 형태였다. 따라서 사용자 관여가 거의 불가능한 일방적인 정보 흐름만을 제공하는 클라이언트 서버 환경에 불과했었다. 하지만 웹 2.0에 이르러 P2P 네트워킹, AJAX 애플리케이션, 소셜 네트워킹, 미디어 공유, 블로그, 위키피디아 및 RSS 피드와 같은 다양한 참여 지향적인 클라이언트 서버 환경을 선보이며 IT 전문가가 아닌 누구라도 직접 웹 세상에 참여할 수 있는 여건이 마련되었다.

오늘날 신뢰성 있는 네트워크와 인터넷의 경계는 급속히 사라지고 있으며, 새로운 보안 위협이 대두됨에 따라 기업은 웹 2.0 시대 이전과 비교할 수 없는 새로운 보안 위협에 노출되고 있다. 이메일의 경우를 예로 들어보자. 불과 몇 년 전만 하더라도 SMTP는 바이러스와 악성 콘텐츠를 유포하는 가장 일반적인 매개체였다. 하지만, 웹 2.0에 이르러 SMTP는 더 이상 주도적인 악성 매개체 역할을 담당하지 않는다. 그 대신 이메일은 불특정 사용자를 악의적인 목적을 지닌 동적 HTTP 사이트로 연결해 주는 역할을 하고 있다.
대신 오늘날 악의적인 공격은 브라우저를 주요 타겟으로 삼고 있다. 예를 들어 해커들은 DNS 프로토콜을 조작하여 불법 웹사이트를 합법적인 사이트로 가장하는 방법으로 사용자의 브라우저를 통한 기업 네트워크 접근을 시도하며, 이를 통해 사용자 정보를 빼돌리고 있다.

웹 2.0은 그 특성상 매우 사회적이면서 역동적이고 상호 의존도 또한 높다. 이와 함께 웹 2.0으로 인해 단순한 정보 공유뿐만 아니라 입체적이고 폭넓은 정보 공유도 가능해졌다. 싸이월드나 마이스페이스 같은 경우는 가입자들의 참여와 의사소통으로 사이트 운영이 가능하고, 블로그스피어는 사용자들의 블로그로 인해 존재하고 있는 것이라 할 수 있다. 하지만 이러한 개방성은 많은 취약점을 드러내게 되었고 이는 해커에게 절호의 기회가 아닐 수 없다.

웹 2.0과 같은 열린 환경에서 기업의 중요 정보 유출을 막는다거나 유해 콘텐츠를 모니터링하는 일은 매우 어려운 일이다. 웹 활용이 확대됨에 따라, 이를 위협하는 수준 또한 높아졌기 때문이다. 이메일을 통한 정보의 유출은 이미 한계에 도달했다. 하지만 블로그를 통한 민감한 정보의 유출은 장기적으로 볼 때 심각한 영향을 미칠 수 있다. 블로그는 검색 사이트나 데이터베이스 등을 통한 정보 검색이 가능하기 때문이다. 이는 곧 정보에 관심 있는 누군가에 의해 수 천 개의 사이트로 전달될 수도 있음을 의미하는 것이다.

강화되는 피싱 공격과 SSL의 한계
언제나 그러하듯이 문제는 기업 보안 정책과 사용자들의 기대 사이에서 균형을 잡는 일이다. 사용자들은 이메일, 메신저, 화상회의 및 웹 기반 애플리케이션의 자유로운 활용을 원하고 있다. 그리고 보다 많은 기업이 CRM과 같은 중요한 애플리케이션을 웹 기반의 호스팅 인프라로 전환하고 있다. 이러한 다양한 애플리케이션은 IT 관리 비용과 자체 애플리케이션 운영에서 오는 수많은 업무 부담으로부터 기업을 해방시켜 준다. 하지만, 불행하게도 해커들은 웹 애플리케이션의 취약점조차도 쉽게 찾아내고 있는 실정이다.
특히, 웹 2.0은 피싱 공격에 최적의 환경이다. 피싱 사이트들은 RIA(Rich Internet Applications)를 이용, 합법적인 사이트로 가장하는데, 피싱에 대한 지식과 경험이 있는 사용자뿐만 아니라, 기존의 보안 솔루션까지도 속일 수 있다. 이런 무작위 패턴의 피싱 공격은 해커를 추적하는 것 조차 불가능하게 하고 있다.

대중적이고 비교적 안전하다고 생각되는 사이트들도 예외는 아니다. 해커들은 실행 가능한 XML 악성코드를 유명 사이트에 심어둘 수도 있다. 실제로 미국의 대표적인 웹 2.0 서비스 사이트인 마이스페이스에 심어져 있던 악성 코드가 발견되기도 했다. 아울러, 스트리밍 비디오도 새로운 악성 코드 매개체로 급부상했다. 수백만 명이 시청하는 유명 UCC 동영상에 트로이 목마가 숨겨져 있다고 생각해보라. 동영상을 통한 피해는 기하급수적으로 늘어날 것이다.

암호화된 SSL 웹사이트도 위험에 노출되어 있기는 마찬가지이다. 대부분의 웹 보안 솔루션은 암호화된 데이터를 전송해주는 SSL 터널을 검사하지 않기 때문에 SSL 자체가 데이터 절도의 수단으로 사용될 수 있다. 또한 해커들은 SSL 지원 웹 서버를 정상적인 서버로 가장하여 피해를 입힐 수 있다. 만일 사용자가 받은 이메일을 자신의 은행 사이트로 연결하는 링크로 생각하고 클릭하면, 웹 브라우저는 이에 대한 보안 문제를 제대로 인식하지 못하게 된다.

이처럼 SSL은 유해 프로그램이나 트로이 목마가 기업의 방화벽 및 신뢰성 높은 내부 네트워크에 침입할 수 효율적인 방법이라 할 수 있다. 일단 유해 프로그램이 설치되면 이는 유사 SSL 세션을 사용하는 유해 프로그램만의 네트워크를 형성, 기업 네트워크로부터 중요 자료와 콘텐츠를 빼돌리게 된다. 하지만 대부분의 콘텐츠 필터링 제품과 다른 보안 제품들은 암호화된 자료를 확인할 수 없기 때문에 이러한 공격이 일어나고 있는 것 조차 인식하지 못하고 있다.

기업 보호를 위한 보안 전문가들의 역할
이처럼 날로 지능화 되고 있는 웹 2.0 보안 위협으로부터 기업 및 사용자들을 보호 하기 위한 IT 전문가의 역할을 짚어 보자.

먼저 웹 사이트를 바이러스나 다른 악성 코드로부터 실시간 감시할 수 있는 환경이 필요하다. 하지만 단순한 고식지계(姑息之計)식의 임시 대책으로 그쳐서는 안된다. 보안 전문가는 사용자들의 생산성이나 애플리케이션 성능을 저하시키지 않는 범위에서 인스턴트 메신저나 스카이프 등과 같은 P2P 애플리케이션에 대한 광범위하면서도 구체적인 사용자 기반의 정책을 세워야 할 것이다.

다음으로 진화되고 있는 피싱 기술을 이해하고, 사용자들이 위험한 사이트나 유효한 SSL 인증이 없는 사이트에 자료를 게시하는 것을 예방해야 한다.

마지막으로 RTSP, MMS, 인스턴트 메시지, SSL, P2P 애플리케이션 같은 프로토콜을 포괄적으로 관리함으로써, 여러 보안 위협을 구별하고 차단할 수 있어야 한다. 그리고 보다 중요한 사실은 기업과 사용자 모두 새로운 정보에 귀 기울이고, PC나 네트워크에 보안 제품을 설치해 항상 최신 버전으로 유지하는 등 스스로 정보보호의 중요성을 인식하고 정보 보호의 생활화에 앞장서는 것이라 할 수 있을 것이다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지