[컴퓨터월드]

네트워크와 웹 서비스의 진화에 따른 우리 생활 변화는 자세히 설명하지 않아도 이미 알고 있지만, 아쉽게도 긍정적인 면만 존재하는 것은 아니다. 인터넷을 통한 사이버 범죄라는 새로운 사회 악이 생겨났다. 기업간 국가간 사이버 전쟁이 일어나고 있으며, 일반인을 대상으로 하는 체계적인 ‘강도’형 범죄 즉 랜섬웨어가 기승을 부리고 있다.

아래 표는 최근(2017년) 일어난 대표적인 국내 보안사고다.

해외의 많은 보안관련 자료를 종합하면 홈페이지를 통한 악성코드(Malware) 유입 즉, ‘Web drive-by download’가 사이버 범죄 유형의 80% 이상을 차지하고 있다는 사실을 알 수 있다(출처: Intel Security).

보다 더 깊이 들어가 보면 인프라(네트워크 보안), 경로(웹 서비스, 홈페이지 보안), 목표(악성코드 대응)로 정리할 수 있다. 조직의 보안을 책임지고 있는 보안 담당자는 최신 사례와 앞으로의 전망 등을 고려해 보안 시스템을 구축해야 하며 이를 위해서는 현재의 보안 수준이 어느 정도인가를 객관적으로 평가하는 것이 중요하다.

빈번하게 일어나는 보안사고와 그에 따른 과징금의 사례 등은 기업들의 보안에 대한 인식을 새롭게 하는 계기로 작용하고 있으며 보안 조직과 예산 등에 영향을 미치고 있다. 빈번한 보안사고가 기업과 기관들의 보안 조직 확대와 보안에 대한 예산 증가를 가져오고 있는 것이다.

보안 담당자들의 1순위는 ‘인프라보안’

대다수 보안 담당자들은 보안이슈(해커의 목표)에 대응하기 가장 먼저 인프라 보안을 강화하고 있다. 예로, 2016년 가장 이슈가 되었던 APT 및 악성코드에 대응하기 위해 대부분 보안담당자들은 네트워크에 보안을 적용할 것인지를 검토했으며, 올해 가장 화두가 되고 있는 램섬웨어에 대응하기 위한 우선 검토 대상 역시 네트워크 또는 사용자 인프라에 어떻게 보안을 적용할지를 고민하는 경향이 강했다.

최근 이슈와 앞으로의 전망 모두 ‘웹(홈페이지) 서비스’라는 경로의 중요성을 이야기하지만 현실은 아직 거기에 미치지 못하고 있는 것이다.

기업들이 인프라 기반의 보안 솔루션을 지속적으로 도입하고 운영하고 있어 해커들은 이를 피해 외부와 통신을 하기 위해 만들어진 시스템인 웹 시스템, 이메일 시스템 등을 이용하는 경향이 강하다. ‘웹(홈페이지) 서비스’라는 경로의 중요성을 인식해야 한다는 의미다.

해커들의 침투는 최근까지 웹서비스에 대한 공격보다는 경유지와 같은 경로로 사용됐기 때문에 침해에 대해 인지를 할 수 없었고, 이에 대한 명확한 대응책도 없었기 때문에 알면서도 애써 외면하는 경향이 있었다. 그러나 최근 보안 사고에서 알 수 있듯이 직접적인 위변조 등과 같은 인지 가능한 형태의 공격이 발생되면서 이러한 상황은 변하고 있다.

웹서비스는 특성 상 내부 임직원뿐만 아니라 외부의 어느 누구도 상시 접근할 수 있도록 서비스 돼야 한다는 점에서 사고가 발생시 해당 관리자 보다 외부자가 먼저 인지할 가능성이 있다. 과거와는 달리 보안을 외면할 수 없게 된 것이다.

웹 서비스와 관련된 최신의 공격 유형은 다음과 같다.
1. 최소 코드 삽입을 통한 악성코드 감염
2. 최소화 소스 변경 또는 보안설정 변경을 통한 2차 침투
3. 악성 URL 삽입만으로 공격 경유지 활용
4. 링크 및 배너를 통한 악성 사이트 접속 유도

결과적으로 누구나 접속 가능한 웹 서비스를 통해 악성코드를 유포하고, 감염된 사용자 PC를 통해 목적(내부정보 유출, 랜섬, 좀비 유포 등)을 달성한다는 것이다. 이처럼 웹을 통한 공격이 지능화되고 있음에도 웹서비스에 대한 관리는 아직 기대에 미치지 못하고 있다.

웹 서비스에 대한 관리 현황은 아래와 같다.
1. APM 또는 EMS를 이용해 상시 모니터링을 하고 있지만 설정된 범위 내에서는 위변조 및 설정 변경 등을 파악할 수 없다. 보안보다는 서비스에 대한 성능 및 장애를 관리하는 경향이 있다.
2. 웹 방화벽을 구축해 운영하지만 은닉된 악성코드 및 URL의 삽입 여부를 파악할 수 없다.
3. 중요 페이지는 모니터 상에서 상시적으로 점검하지만 수많은 하위 페이지에 대한 모니터링은 현실적으로 불가능하다.
4. 상시 제공되어야 하는 웹 서비스 특성상 분기 또는 반기에 취약점 점검을 실시해 취약점을 보완하는 것으로는 부족하다.
5. 장애 및 성능에 대한 이슈가 발생하더라도 원인 분석을 위한 근거 데이터를 확보 할 수 없으며, 가장 중요한 부분인 이슈에 대한 인지를 관리자가 먼저 알 수 없는 경우가 많다.

결론적으로 웹 서비스의 보안을 위해서는 시스템뿐만 아니라 모든 관리 대상의 URL 페이지 별 수시(최소 1회/일) 점검이 필요하지만 점검에 대한 체크리스트 및 수행 방법론과 심지어 웹에 대한 전담인력 마저도 부족한 것이 현실이다.

웹 서비스에 대한 관리자의 업무 요건을 정리하면 다음과 같다.

보안 업계는 최근 웹 서비스 보안에 대한 이러한 이슈에 대응하기 위해 많은 노력을 하고 있다. 그러나 관리해야 할 명확한 URL에 대한 현황이 파악되지 않은 상황에서 방치돼 있는 수많은 하위 URL 정리 작업을 위한 사업이 진행되고 있다.

나아가 ‘클린웹’이라는 이름의 안전한 웹 서비스 제공을 위한 인프라 구축 사업도 추진하고 있다. 부족한 전담 인력 문제를 해결하기 위해 웹 안전도 점검을 위한 업무를 명확히 정의하고, 해당 업무를 시스템화해 솔루션으로 구축하며, 상시 모니터링까지 가능한 관제 업무에 적용하는 사례가 나타나고 있다. 이미 사이버안전센터를 비롯해 일반 기업, 학교, 지방자치단체 등 사회 전분야로 확산되고 있다.

실제 인터넷 환경에서 서비스의 중요 유통 경로인 웹(홈페이지)에 대한 보안 업무 정립 및 강화가 우선적으로 검토돼야 한다.

해당 업무에 대한 솔루션 도입의 장점은 다음과 같다.
1. 방대한 점검 대상(모든 URL)에 대해 상시 점검 가능
2. 발생한 이슈에 대해 즉각적인 인지 가능
3. 발생된 현상에 대한 분석 데이터를 전문적인 지식 없이 이해

티앤디소프트가 자체 개발한 웹안전도 검사 시스템(TnD-WSIS)은 웹 크롤러에서 수집되는 콘텐트를 기반으로 실시간 상태 모니터링(탐지), 페이지 내 악성코드 분석과 의심 파일에 대한 행위 분석을 통해 홈페이지를 통한 해킹 사고 모니터링 및 예방이 가능한 보안관제 시스템이다.