2. 웹 애플리케이션 보안 기술
|
2. 웹 애플리케이션 보안 기술
웹 애플리케이션은 사용자와 웹 사이트가 상호작용하게 하고 사용자와 모든 벡엔드 데이터 시스템간의 트랜젝션과 인터페이스를 가능하게 하는 비즈니스 로직의 일종이다. 즉, 대부분의 공공, 기업, 금융기관 등에서 운용중인 웹 서버에는 개인정보, 금융거래, 신용카드 정보 등을 다루는 웹 애플리케이션들이 작동하고 있다. 그리고 통상 이러한 데이터는 웹 전용 루트 80, 443을 사용해 HTTP나 HTTPS 기반의 데이터 통신이 이루어진다. 하지만 방화벽, IDS, ISP, VPN등의 기존 보안제품들은 80, 443 포트에 대한 필터링, 애플리케이션 레이어에 대한 필터링이 어렵다는 것이 문제이다. 또한 웹 개발자들은 보안보다는 기능개발 및 완료에 초점을 두기 때문에 개발 시에 나타나는 웹 프로그래밍 오류들이 그대로 존재하는 것이 일반적이다. 이런 현 운용상황에 대한 구조적인 문제점을 극복하고 웹 취약성에 대한 해킹을 최소화하기 위해서 웹 애플리케이션 보안 시스템은 웹 애플리케이션 서비스를 하는데 있어서 필수적인 요소로서 인식되고 있다. 웹 애플리케이션 보안제품은 웹 해킹 및 웜으로부터 핵심적인 웹 애플리케이션을 보호하는 전용 솔루션을 의미한다. 웹 애플리케이션 보안제품은 웹 프로그래밍 오류에 의한 역기능을 최소화시키고 웹 해킹에 대해 무방비 지대였던 DMZ 또는 웹 존을 방어하는 보안솔루션이라고 할 수 있다.
전용 웹 애플리케이션 보안제품은 웹 애플리케이션의 취약성을 진단할 수 있는 웹 스캐너와 웹 애플리케이션 게이트웨이로 나눌 수 있는데, 웹 애플리케 게이트웨이는 흔히 기존 방화벽처럼 웹 애플리케이션을 전문적으로 차단해준다는 의미로 웹 애플리케이션 방화벽 (혹은 웹 방화벽)이라고 지칭한다. 즉 웹 스캐너로 진단한 취약성을 기반으로 웹 방화벽으로 막는다는 것인데 웹 스캐너로 진단한 취약성을 반드시 웹 방화벽으로 막아야만 한느 것은 아니다. 그러나 웹 취약성 진단을 통한 웹 애플리케이션 보안은 이미 구축된 웹 애플리케이션에 대한 코드상의 취약성 진단 결과를 바탕으로 웹 애플리케이션 소스코드를 고치는 것으로 웹 애플리케이션 서비스의 운영 및 개발 측면에서 상당한 부담으로 많은 자원과 비용을 추가로 부담해야 하며, 코드 수정을 완성한다고 해도 새로운 기법의 공격패턴 발생 시 다시 수행해야 하는 근본적인 문제점이 존재한다. 또한 대부분의 기관 및 기업이 웹 애플리케이션 개발을 아웃소싱으로 구축하기 때문에 자체적으로 소스코드를 보유하고 있는 경우가 드물며, 프로그램의 중단 없이 소스코드를 변경하는 작업이 거의 불가능하기 때문에 원천적으로 해결할 수 있는 웹 애플리케이션 보안 시스템을 적용하는 것이 효과적이다.
웹 애플리케이션 보안제품은 웹 서버를 보호하는 것을 주목적으로 하며 소프트웨어 제품의 경우 웹 서버에 장착되는 경우도 있어 서버보안 제품이나, DB 보안 제품 등과도 혼란을 일으키디도 한다. 웹 애플리케이션 보안제품의 기능과 형태에 대한 논란이 있지만 기존 보안제품과의 차별성은 존재한다.
기존 방화벽과 웹 애플리케이션 방화벽의 차이점을 알아보면, 네트워크 방화벽은 대개 네트워크 레벨에서 동작하며 지정된 프로토콜과 서비스에 대해서만 사이트로의 접근을 허용한다. 하지만 웹 애플리케이션 방화벽은 애플리케이션 레벨에 집중해 웹 사이트에 도달하는 요청의 정확성을 유지하는 기능을 한다. 즉, 웹 애플리케이션 방화벽은 일단 정문을 통해 들어온 사용자가 정상적인 행위를 하는지 보증해주는 역할을 하는 것이다. 또한 방화벽은 통계적으로 정의된 일련의 규칙에 의존하기 때문에 동적인 애플리케이션과 관련한 정확한 보안을 제공하지 못한다.
반면에 웹 애플리케이션 방화벽은 애플리케이션 로직에 정확히 들어맞도록 스스로 조절하는 기능을 가지고 있다. 이는 웹 애플리케이션의 경우 네트워크 프로토콜과 달리 표준화되어 있지 않은 측면이 많기 때문에 다양하고 높은 수준의 보안성을 제공해야 하기 때문이다.
3. 개인정보보호 기술
개인정보의 중요성은 특히 2007년까지 완성된 전자정부 본격 추진기의 전자정부 로드맵이후 내년부터 새로이 전개되는 차세대 전자정부 구축의 핵심 보안 테마로 검토되어 있고, 특히 공공기관에 대한 개인정보 노출에 대한 심각성이 크게 대두되고 있는 상황이다. 또한 기술적으로 볼 때 개인정보보호의 핵심기술은 웹페이지, 게시판 및 첨부파일에 대한 개인 정보보호라는 3가지 형태로 거론되고 있다. 그러므로 개인정보보호 솔루션은 웹 애플리케이션 방화벽의 웹 침해 대응 사항 중 특히 웹 페이지의 게시판을 비롯 웹 서버 내 페이지르 ㄹ스캔하여 개인 정보가 있는 게시물을 스캔하고, 게시물의 첨부파일을 검사하여 차단함으로써 기술적 안정을 꾀하고 있으며, 특히 최근에는 HTTP/HTTPS에서 확대되어 SMTP, MSN 메신저, FTP, IPX/SPX, UDP, Web Hard, 네트워크 공유 접근과 같은 네트워크 전반을 탐지하여, 각 프로토콜을 이용하는 첨부파일 검사 및 차단은 물론 전송 기록도 관리하는 기술까지도 개발중이거나 제품화 시도가 많은 보안 업체를 통해 이루어지고 있다.
4. 향후 발전 모습
시장조사 기관인 가트너 그룹은 2006년까지 전 세계 대부분의 공공기관 및 2천대 글러벌 기업의 약 60% 이상이 기존 방화벽을 웹 애플리케이션 방화벽으로 교체하거나, 웹 애플리케이션 방화벽 및 개인정보보호 솔루션을 신규 구축할 것으로 예측하고 있다. 즉, CSI와 FBI의 조사에 의하면 미국의 공공기관 및 대기업의 90%이상이 해커에 의해 피해를 입은 것으로 나타났으며 가트너의 보고서에도 웹 공격의 75%가 애플리케이션 계층에서 수행되었다고 밝힌 바 있다. CERT (Computer Emergency Response Team)에서도 전체 해킹의 약 70%가 웹 해킹으로 분석되고 있다고 발표해 웹 해킹이 심각한 수준임을 알 수 있다. 결국 지금까지의 보안은 물리적 계층의 보안에 국한되어 애플리케이션 레벨에서 효과적으로 보안을 제공할 수 없으며, 네트워크 계층의 보안제품과는 별도로 새로운 보안영역인 웹 애플리케이션 계층의 특화된 보안 시장 및 개인정보보호 로그 파급효과가 커지리라 예상된다.
참고문헌
1. 보안침입유형, Network world, 2003. 2. 일본의 개인정보 유출현황, JNSA, 2007. 3. http://blog.naver.com/kabimo?Redirect=Log&logNo=50000372070 4. http://blog.naver.com/kabimo?Redirect=Log&logNo=40008048751 5. http://blog.naver.com/kabimo?Redirect=Log&logNo=40008048838 |
|
|
