신기욱 F5 네트웍스 코리아 상무

[컴퓨터월드]

▲ 신기욱 F5 네트웍스 코리아 상무

주제1: SSL 보안, 만병통치약 될 수 없다 (2015년 11월호)
주제2: 기업 보안 경계를 위한 차세대 웹 애플리케이션 보안 전략(이번호)
주제3: 금융보안 (2016년 1월호)

클라우드와 IoT, 모빌리티 등이 화두가 돼 온 최근 몇 년간, 국내외 IT업계는 다양한 기술의 발전과 더불어 복잡한 보안 위협에 더 많이 노출되면서, 전 세계적으로 기업과 모든 개인에게 ‘보안’이 보장된 안전한 서비스를 제공하는 것이 새로운 화두로 떠올랐다.

이처럼 보안 위협이 갈수록 증가하는 가운데 지난호 SSL 보안에 이어 이번호에서는 애플리케이션 보안에 대해 얘기해 본다.


최근 들어 많은 사람들이 일상생활에서 클라우드와 모바일 환경의 다양한 혜택을 즐기게 됐다. 클라우드 및 모바일은 이미 기업 비즈니스에 있어 핵심 이슈로 부상한 것이다. 실제로 클라우드 도입의 증가와 모바일 환경으로의 급속한 변화로 인해 기업들은 업무에 핵심적인 애플리케이션을 클라우드로 이전하며 비즈니스 효율성과 혁신성을 추구하고 있다.

많은 시장 자료를 종합하면 1인 평균 사용 디바이스는 3.5개, 개인 평균 사용하는 애플리케이션은 26.8개, 그리고 기업 당 평균 508개의 애플리케이션을 사용하고 있으며, 2016년 이전에 애플리케이션의 65%가 클라우드로 이전될 것으로 전망되고 있다. 이제 기업의 IT 비즈니스에 있어서 애플리케이션은 성공적인 비즈니스 창출을 위한 가장 중요한 요소가 됐다.

오늘날 기업들은 점점 더 웹 기반 및 클라우드 호스팅 애플리케이션을 사용해 사업을 확장하고 있고, 이에 따라 애플리케이션은 사이버 공격자들에게는 또 다른 공격대상으로 부상하고 있다. 기업의 IT 보안 책임자들은 전통적으로 온프레미스 하드웨어 형태의 방화벽을 통해 보안에 대처해 왔지만, 애플리케이션의 클라우드 이전으로 인해 보안 경계가 확장됨에 따라 새로운 전략을 준비하고 실행해야 할 상황을 마주하게 됐다. 웹 및 애플리케이션에 대한 지능적인 공격 패턴, 복잡한 운영, 예산 문제 등과 함께 기업의 IT담당자 그리고 기업들은 안전한 클라우드로의 이전 방법을 더욱 고심해야만 하게 된 것이다.


새로운 보안 경계, 일반적인 접근은 충분하지 않아

이제 기업들은 내부 인프라 뿐만 아니라 기존 환경을 넘어 클라우드 상의 애플리케이션까지 안전하게 보호해야 하는 상황에 놓였다.

그렇다면 기존 보안 방식으로 충분할까? 기업이 전통적으로 사용하고 있는 일반 방화벽, IDS/IPS의 경우에는 OWASP(Open Web Application Security Project) 10대 취약점1) , 그리고 국가정보원이 발표한 8대 취약점2) 대부분에 대한 방어 기능을 지원하고 있지 않거나 제한적인 지원만 하고 있는 것으로 나타났다. 즉, 지금과 같은 모바일 환경에서는 무용지물인 셈이다.

웹 보안을 위해 기업들은 웹방화벽을 도입해 웹 서버 앞단에서 정상적인 트래픽과 악성 트래픽을 구분해 공격을 차단하고, 안전하고 정상적인 네트워크 인프라 환경을 구축하는 것에 집중해야 한다. 앞서 말했듯이 클라우드 등 새로운 환경에서도 유연하고 효과적인 보안 기능을 확보하기 위해서는 전통적인 온프레미스 인프라 및 클라우드 인프라 어느 지점이든 관계없이 일관된 웹 애플리케이션 보안, 가용성 그리고 사용자 경험이 반드시 보장돼야 할 것이다.

▲ 기존 보안 체계는 현재와 같은 복잡한 IT환경에 적합하지 않다.


웹방화벽 선택 시 고려해야할 기본 사항

웹방화벽은 HTTP/S 트래픽을 감시하고 대처하도록 설계됐다. 대부분의 경우 요청자와 애플리케이션 서버 간에 트래픽을 전달하는 어플라이언스로 구축되며, 이를 포워딩하기 전에 요청과 응답을 검사한다. 인라인(Inline) 구축은 정상 트래픽이 비정상적으로 차단되지 않고, 신중하게 적용돼야 하는 정책과 규칙을 토대로, 악의적인 트래픽을 능동적으로 차단하는데 가장 효과적인 구축 방법이다.

이와 같은 인라인 모델에서는 트래픽 전달을 위해 리버스-프록시(reverse-proxy) 모드, 라우터(router) 모드, 브리지(bridge) 모드 등 3가지 방법을 사용한다.

● 리버스 프록시 모드(Reverse-proxy Mode)는 가장 일반적인 웹방화벽 작동 모드로서 모든 수신 트래픽을 종료하고 요청자를 대신해 서버와 상호 작용(차단/허용)한다. 모든 웹방화벽 기능들을 활용할 수 있는 모드인 리버스-프록시는 대부분의 애플리케이션에서 가장 안정적인 보안 운영 방법으로 활용되고 있다.

● 라우터 모드(Router Mode, 일명 트랜스페어런트(transparent) 모드)는 리버스 프록시 모드와 비슷하지만, 서버로 전달되는 요청에 대한 차단은 수행하지 않고 웹 방화벽의 나머지 기능을 수행하는 모드이다. 종종 트래픽 로깅과 리포팅을 위해 트랜스페어런트 모드가 사용된다. 네트워크 인프라의 특별한 변경 없이 현재 운영 중인 웹 서비스에 어떠한 공격들이 시도되고 있는지에 대한 상세한 로깅 및 리포팅 분석으로 활용되고 있다.

● 브리지 모드(Bridge Mode)에서 웹방화벽은 레이어 2 스위치의 역할을 수행하며 극히 제한적인 방화벽 서비스를 제공한다.

이 운영 모드는 애플리케이션이 네트워크상에서 어떻게 설정됐는지에 따라 결정될 것이다. 그 외 고려 사항들은 아키텍처가 리버스 프록시를 사용할 것인지, SSL 종료가 필요한지, 그리고 얼마나 많은 방화벽이 구축돼야 할 것인지 등을 들 수 있다.

웹방화벽은 ‘OOB(Out-of-Band)’로도 구축될 수 있으며, 이를 통해 웹방화벽은 모니터링 포트에서 트래픽을 관찰할 수 있다. 이와 같은 비간섭적(non-intrusive) ‘수동형’ 구축 옵션은 트래픽에 영향을 미치지 않으면서도 웹방화벽이 악의적인 요청을 차단할 수 있도록 한다는 점에서 웹방화벽을 테스트하는데 적합하다.


하이브리드 및 인텔리전트 기능을 겸비한 차세대 웹방화벽 필요

웹방화벽은 일반 네트워크 방화벽이 수행하지 못하는 기능까지 제공하고 있어 많은 IT 관리자들의 고민을 덜어주는 역할도 수행하고 있다. 하지만 모두가 알고 있듯이 실시간으로 진화하는 보안 위협 앞에서는 어떤 제품이나 솔루션도 완전한 해결책이 될 수 없다. 웹 프토로콜 HTTP 2.0으로의 전이로 인해, 앞으로 모든 트래픽이 SSL 암호화가 되면 기존 웹방화벽들은 본래의 역할을 하지 못하게 된다.

또한, 주요 보안 위협으로 대두되고 있는 디도스(DDoS) 공격에 대한 예방도 필요하다. 기존 디도스 공격은 대규모 트래픽으로 시스템에 과부하를 발생시켜 서비스에 장애를 일으키는 패턴으로 이뤄졌다. 하지만, 애플리케이션 단에서 발생하는 슬로리스 공격은 대규모는 아니지만 시스템 상에 부하를 발생시켜 서비스를 중단시키는 방식으로 서비스 장애를 발생시킬 수 있으며, 이는 일반적인 디도스 장비에서는 제어하기 어려운 특징이 있다.

특히 최근에는 레이어 7레벨의 공격이 증가하고 있어 웹방화벽의 진화가 더욱 요구되고 있다. 다시 말해, 기존 웹방화벽 기능에 하이브리드 및 지능적인 기능이 추가된 차별화된 차세대 웹 방화벽 도입이 필요한 시점이다.

F5 차세대 웹 방화벽은 SSL 트래픽 처리 기능이 있어 HTTP 2.0에 최적화돼 있으며, 웹방화벽 기능을 충실히 수행하는 동시에 처리 속도 및 성능을 보장하고 있다. 또한, 최근 고객들이 어려움을 겪는 위조방지 기능이 추가돼 F5 차세대 웹방화벽에 탑재된 자바 스크립트가 위변조 여부 및 이상징후를 분석하고 알려줘, 중요한 사용자 정보 유출을 사전에 방지하는 서비스 또한 제공하고 있다.

공공기관, 금융, 쇼핑몰 등 현재 적절한 보안 체계 없이 사용자들에게 다양하고 복합적인 인터넷 콘텐츠를 제공해야 하는 대다수의 기업들은 빠르게 변경되는 네트워크 인프라 환경에서 새롭게 발생되는 여러 다양한 악의적인 공격에 노출되고 있다.

강력한 웹방화벽을 구축함으로써 기업들은 기업 가상의 소프트웨어정의 데이터센터(Software-Defined Data Center), 매니지드 클라우드 서비스 환경, 퍼블릭 클라우드 또는 전통적인 데이터센터 등 위치와 관계없이 기업 핵심 웹 애플리케이션을 보호할 수 있을 것이다.

[01] A1: (SQL) 인젝션, A2: 취약한 인증 및 세션 관리, A3: 크로스 사이트 스크립팅(XSS), A4: 취약한 직접 개체 참조, A5: 보안 설정 미흡, A6: 민감한 데이터 유출, A7: 부적절한 접속 권한 제어, A8: 크로스 사이트 요청 변조(CSRF), A9: 알려진 취약성이 포함된 컴포넌트, A10: 유효하지 않은 리다이렉트
[02] 1. 디렉토리 리스팅, 2. 파일 다운로드, 3. 크로스 사이트 스크립팅(XSS), 4. 파일 업로드, 5. 웹 다브(Web DAV), 6. 테크노트(TechNote), 7. 제로보드(ZeroBoard), 8. SQL 인젝션

저작권자 © 아이티데일리 무단전재 및 재배포 금지