웹 보안 개념과 이해
인터넷이 실생활 깊숙이 파고 들면서 대부분의 사람들이 컴퓨터를
켜고 웹 메일을 확인하고 웹 포탈을 통해 뉴스를 실시간으로 접하고 또한 각종 가쉽 기사를 검색하는 등 웹 서비스는 가장 널리 쓰는 서비스가 되었다. 그리고 멀티미디어 형태의 블로그 관리뿐만 아니라 은행 및 증권 업무까지 처리하는 등 실로 몇 년 전까지 생각지도
못한 다양한 일까지 웹 상에서 처리한다. 더 이상 웹은 일상과 분리할 수 없는 필수 불가결한 단계에
이른 것이다. 그에 따라 기존 시스템 및 네트워크를 대상으로 하는 인터넷 침해사고도 급격히 웹 서비스를
대상으로 한 해킹 사고로 변화하고 있는 것이 현실이다.
이에 정보보호 위협이 어떻게 변화하였으며 이에 대응하는
정보보호 솔루션의 한계를 지적하고 이를 보안하는 웹 보안에 대한 필요성과 개념에 대해 알아보기로 하겠다.
1. 웹 보안의 개요와 개념
1.1 정보보호 위협 트렌드 변화
인터넷 침해행위 또는 해킹이라고 하면 정보 시스템의 취약성을
이용하거나 기존의 공격기법을 활용해 정보시스템에 해를 끼치는 새로운 기능을 만들어 내는 행위, 또는
접근을 허가 받지 않은 시스템에 불법적으로 침투하거나 허가되지 않은 권한을 불법적으로 갖는 행위로 정의할 수 있다. 이러한 행위는 과거 악성 코드를 작성하고 이를 실행시킴으로써 원격 시스템의 접속 권한을 획득하거나 로컬 시스템의
사용자나 관리자의 권한을 획득하는 것이었다. 그러나 정보보호 기술의 발전과 정보보호 인식의 확산으로
인해 성(城)을 만들어 내부 정보자산을 보호하는 솔루션인
방화벽(F/W)을 기업 및 기관에서 적극적으로 도입하여 기존의 침해행위를 방어, 차단하기에 이르렀다.
그림1. 침해행위 변화
이러한 변화와 함께 인터넷의 확산은 침해행위에도 변화를
초래하여 과거 시스템 위주의 침해방법에서 네트워크 서비스에 대한 공격으로 방향을 전환하였다. 이에 따라 F/W은 기존의 패킷 필터링 방식에서 클라이언트와 서버 사이에 이루어지는 네트워크 접속의 기본 정보를 근거로
정보보호 솔루션이 정책으로 갖고 있는 정보와 비교하여 허용된 접속을 허용하는 Stateful Inspection
등의 기술 수용으로 성문을 정밀하게 지키게 할뿐만 아니라 내부로 유입된 패킷의 행동도 감시하기 위해 패킷의 헤더뿐 아니라 내용까지
검사하는 침입탐지시스템(IDS)과 적극적 방어의 개념을 도입한 침입방지시스템(IPS)이 개발되고 보급되었다.
a. 기존 공격에 F/W,IDS의 방어
b. 허용된 웹 서비스의 취약성을 이용한 공격
그림2. 공격 패러다임의 변화
1.2 특화된 정보보호 필요성
표1. 홈페이지
변조사고 발생 현황
|
구분 |
2005년 |
2005년 총계 |
||||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
||
|
피해홈페이지수 |
6,478 |
1,005 |
1,366 |
1,446 |
1,424 |
801 |
696 |
13,216 |
|
피해시스템수 |
930 |
176 |
130 |
260 |
99 |
292 |
238 |
2,125 |
표2. 해킹사고
현황
|
구분 |
2005년 |
2005년 총계 |
||||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
||
|
피해기관수 |
6,840 |
1,516 |
2,079 |
1,496 |
2,289 |
1,667 |
1,615 |
17,502 |
그런데 앞서 설명한 것처럼 인터넷 이용환경이 웹 서비스
위주로 정착됨에 따라 인터넷침해사고대응지원센터의 통계에 따르면 국내 전체 해킹사고 대비 홈페이지 변조 사건 비율이 2005년 누적 현황이 7월 현재,
70%는 넘어서고 있다. 그림2의 a와 같이 과거 내부 정보시스템의 취약성을 이용한 공격은 F/W로
인해 외부에서 공격은 원천적으로 방어를 하면서 대부분의 공격이 그림2의 b처럼 외부에서도 접근이 허용된 웹 서비스를 이용하여 내부의 웹 서버, 웹
어플리케이션과 데이터베이스를 공격하는 형태로 바뀐 것이다. 이는 웹 서버 자체 취약성을 대상으로 한
몇 가지 침해행위를 제외하고 대부분은 다양한 웹 어플리케이션과 DB운영프로그램 내에서 다수의 패킷 내용을
조합하여 해석되는 영역을 대상으로 공격이 이루어지기에 전통적인 패킷 중심의 경계보안과 탐지를 하는 솔루션인
F/W, IDS로는 이런 새로운 공격에 대응하는데 한계를 보인다는 것이다.
그렇다면 웹 어플리케이션의 보안 취약성을 없애기 위해 가장
근본적인 방법은 보안 체계를 갖추도록 코드를 수정하는 것이다. 즉, 웹
어플리케이션 개발을 할 때 설계, 코딩, 구축, 감사의 보안 사이클을 철저히 준수해 나간다면 많은 취약성을 줄일 수 있을 것이다. 그리고 웹 서버, 웹 어플리케이션,
DB운영프로그램의 안전한 설정과 상호 관계를 고려한 운영 노하우를 충분히 축적함으로써 안정성을 증가할 것이다. 그러나 빠른 기술 변화와 웹 비즈니스 업무 범위 확대로 현실적으로 웹 어플리케이션 기능의 구현에 쫓기다 보면
보안 사이클의 준수가 힘들어 보안적으로 견고한 코드를 만들기 어렵고 또한 운영 측면에서도 전체적인 운영 노하우를 쌓기보다는 중요 어플리케이션 서버에
대한 안정적인 운영으로 한정되어 중요도가 낮지만 여전히 DB와 연결되어 있는 어플리케이션 서버에 대한
관리가 느슨해 지는 등 해커에게 허점을 종종 노출한다.
1.3 웹 보안의 개념
이러한 이유로 기존
F/W, IDS의 기능을 보완하고 웹 개발 및 운영 상에 벌어지는 취약점을 보안하기 위한 방법으로 웹 보안 솔루션이 요구되고 있는
것이다. 따라서 웹 보안이라고 하는 것은 단순히 기존 웹 서버로 향하는 트래픽 또는 웹 서버만을 보호하는
것이 아니라 웹 서비스와 관련된 웹 서버, 웹 어플리케이션 서버, 데이터베이스
시스템과 각종 웹 서비스에 필요한 CGI, ASP, JSP 등 스크립트로 구성된 어플리케이션을 대상으로
불법적인 접근 및 권한을 획득하거나 이를 통해 정보를 획득하는 행위를 감시하거나 방지하는 것으로 정의할 수 있다.
이러한 웹 보안 솔루션을 구성하기 위해서는 각종 기능이 요구되겠지만 필수적인 기능으로 대표적인 평가기관인 ICSA의 웹 보안 솔루션에 대한 평가/인증 기준은 참조할 만하다.
a. 플랫폼 보안: 관리를 위한 적절한 기능을 제공함과 동시에
공격에 대한 적절한 보안기능을 제공
- OS 강화, 관리기능, 취약점테스트, 설정정보 및 정책 등의 연속성 등 기능
b. 기능보안: 기능이 안정적이고 합리적으로 동작
- 데이터의 무결성 및 기밀성, 사용자의 인증 및 인가,
웹 어플리케이션의 공격보안/차단, 구조은폐, 구조변화 대응, SSL 지원 등 기능
c. 로깅: 관리자가 보안관련 이벤트를 감사할 수 있는 적절한
방안을 제공
- 각종 접근시도 실패/성공, 시스템 시작 등
이벤트, 공격정보 등 로그 정보
댓글 없음:
댓글 쓰기