웹 보안 솔루션의 특징과 보안 정책
지난번에 최근 해킹 동향의 공격 도구의 다양화와 해킹 난이도
쉬어지고 인터넷 사용 패턴이 웹 서비스가 주류로 차지함에 따라 웹 어플리케이션 및 웹사이트가 침해 비율이 꾸준히 증가하지만 이에 비해 Firewall, VPN, IDS 등을 이용한 네트워크 계층의 방어와 보안
OS의 권한관리를 통한 접근제어만으로는 응용 계층에 대한 공격을 막을 수 없음을 지적했다.
[그림.1] Firewall, IDS 등 네트워크 계층 보안기술의 한계
1. 웹 보안 솔루션
따라서 웹 해킹 및 웜으로부터 핵심적인 웹 어플리케이션을
보호하는 전용 솔루션에 대한 요구가 증대되어 왔다. 이런 기능을 갖춘 솔루션은 웹 프로그래밍 오류에
의한 역기능을 최소화시키고 방화벽(FW)에 의해 외부로 분리되지는 않지만 또한 내부와는 격리되는 DMZ 혹은 웹 구간을 방어하는 보안 솔루션으로 지칭할 수 있을 것이다.
1.1 종류
그렇다면 이런 웹 보안 솔루션의 종류는 웹 보안 취약점을
분석하느냐 웹 공격에 적극적으로 대응하느냐에 따라 크게 분류해서 웹 스캐너, 웹 어플리케이션 게이트웨이(웹 방화벽)로 나눌 수 있다.
- 웹 스캐너: 웹 어플리케이션의 취약점을 진단, 전체적인 웹 사용 조직 내에서 웹 보안 취약점 분석 목적
- 웹 어플리케이션 게이트웨이 : 웹 애플리케이션 보안 취약점
및 웹 해킹 공격 적극적 대응(Protection) 목적
1.2 특징
- 웹 스캐너
보안관리자 또는 감사자 측면에서 웹 보안을 하기 위해 현재까지
가장 효율성 높은 웹 보안 기술 제공한다고 할 수 있다. 웹 스캐너는 지속적으로 발전되는 웹 서비스
환경에 적합하도록 개선되어 알려져 있는 취약점에 대한 사전 제거를 위해 사용되며, 실시간 방어와 같은
기능을 제공하지 않는다. 기본적으로 스캐닝 전후 결과에 대한 비교 제공을 하지만 보안 프로세스 측면에서
취약점 대응을 위해서는 별도의 프로세스가 필요하다.
- 웹 어플리케이션 게이트웨이
기존 방화벽과 웹 서버 중간 혹은 웹 서버에 위치하면서
외부에서 유입되는 HTTP 요청을 필터링하여 웹 어플리케이션에 전달하거나 공격시도를 탐지하여 방어하기도
한다. 이때 SSL 등으로 암호화된 데이터를 분석 후에 웹
서버로 보내 주는 기능을 갖은 솔루션도 있다.
[그림.2] 웹 보안 솔루션의 네트워크 구성도
구체적으로 기능을 살펴보면 웹 어플리케이션 및 웹 서비스의
보안을 위한 단체인 Open Web Application Security Project(OWASP)라고
하는 단체에서 웹과 관련하여 즉각적인 개선 조치가 필요한 취약점들의 리스트로 발표한 ‘OWASP 10개
취약점’에 대응하는 기능, 트래픽 학습을 통한 보안 정책
수립으로 알려지지 않은 취약점 방어와 SSL 보안 검사 위해 스트림 단위 보안 검사 수행하는지 또 URL, OS, IP 등 웹 서버 관련 정보 숨김 기능, 기존 네트워크의
속도와 효율 저하 방지 위해 가속기능 지원 등을 지원하고 있다.
1.3 기존 보안 솔루션과 관계
살펴본 바와 같이 웹 서버 또는 서비스에 특화된 웹 보안 솔루션은 기존 보안 솔루션과 관계는 어떤 관계인가? 앞서 보았던 그림.1을 보면 명확해진다. 기존 보안 솔루션은 네트워크 또는 서버 계층의 방어와 접근제어를 수행하지만 웹 보안 솔루션은 응용 계층 또는
그 상위의 비즈니스 로직에 대한 프로세스를 대상으로 하고 있기에 전사적인 보안을 강화하기 위해서는 해당 기관의 고유 보안 구조의 수립(비즈니스 프로세스 기반), 네트워크/인프라
→ 모든 계층에 대한 통제 및 감시 프로세스, 인력, 기술의
안정적 조화, 지속적인 평가, 설계, 구축이행, 관리 등의 절차를 순환시켜야 된다. 따라서 웹 보안 솔루션을 도입할 기관이 웹 서비스가 대표적이라고 할지라도 계층적 보안 관점에서 기존 솔루션과
보완적 관계로 배치 운영하여야 한다.
2. 웹 보안 정책
2.1 정책
그렇다면 안전한 웹 서비스를 운영하기 위해서 보안관리자
또는 네트워크/서버 관리자가 고려해야 될 사항은 무엇인가? 앞선
언급한 것처럼 단순히 웹 관련 항목만 고려해야 되는 것이 아니라 통합적으로 구성해야 된다는 것이다.
2.1.1 안전한 네트워크 환경 구축
웹 서비스를 운영하면서 발생할 수 있는 위험을 최소화할
수 있는 환경을 구축하는 것이다. 즉, 각종 보안장치를 했음에도
웹 서버가 침해사고를 당했다고 할지라도 그 웹 서버가 중간 경유지가 되어 내부 네트워크에 침입을 할 수 없도록 분리 운영을 하는 것이다.
2.1.2 운영체제보안 유지
그리고 웹 서버, 어플리케이션과 DB서버가 운영하는데 기본이 되는 운영체제를 취약성에 노출되지 않도록 하는 것이다. 기초가 튼튼해야 되는 것은 더 이상 언급할 필요도 없는 것이다. 최신의
보안 패치 유지와 각 파일 및 디렉토리의 접근권한의 설정, 감사정책의 수립 등이 이루어져야 한다.
2.1.3 웹 컴포넌트/어플리케이션 보안체계 수립
기본의 보안정책 수립과 다른 점으로 웹 보안의 대상에 어플리케이션관
비즈니스 로직이 포함되어 있다는 것인데 웹 컴포넌트와 어플리케이션은 보안 프로그래밍 가이드가 적용되어 개발되고 배포된 것만을 사용해야 한다. 즉, 보안을 고려한 설계를 통하여 개발을 하고 취약성이 발생하지
않도록 형상관리를 실시하는 등 소프트웨어 수명관리를 실시하도록 각 기관의 개발 가이드를 수립하고 이에 따라 개발된 어플리케이션을 사용해야 된다. 그러나 비즈니스 로직과 연관되어 있기에 수많은 프로세스/서비스, 또 다양한 생명주기가 존재함에 따라 이 원칙을 일괄적으로 적용하기에 어려움이 많고 이것이 웹 보안에 있어 커다란
취약점으로 존재하는 것이다.
2.1.4 주기적인 보안성 검증
위와 같은 정책이 수립되면 이 정책이 정확히 수행되는지
또 변경된 환경이 있는지를 주기적으로 점검하고 관리하여 반영함으로써 안전한 웹 서비스 환경을 얻을 수 있을 것이다.
그러면 마지막으로 웹 서비스와 관련하여 현재 벌어지고 침해사건의
유형과 대응방법을 알아보면서 마무리를 하겠다.
근래 악의적인 공격자가 임의의 웹 사이트를 해킹한 후 홈페이지에
악성코드(iframe)를 삽입하여 해당 웹 사이트에 접속하는 사용자로 하여금 백도어(악성프로그램) 파일을 다운로드 및 실행하여 사용자 아이디와 비밀번호
정보가 유출시키는 침해사고가 빈번하다. 이런 침해사건은 보안을 고려하지 않은 홈페이지 개발로 인한 취약점(검증되지 않은 공격파일
업로드 허용)을 이용하여 시스템 관리자 권한 획득, 파일
임의 변조, 사용자 정보획득 등이 수행 되는 침해사고이데 이런 공격으로 국내외 홈페이지가 대량 변조가
이루어졌다고 한다. Iframe 취약성을 이용한 공격을 방지하기 위해서는 웹 서버에 대해서는 iframe 관련 보안 패치를 하고 웹 어플리케이션은 사용자 점검을 할 때 특수문자열 유무를 점검하며 원격지에서
파일을 업로드 시키는 기능을 허용하지 않으면 이러한 공격에 안전하다. 그리고 당장 웹 어플리케이션의
수정이 어려운 경우 웹 보안 솔루션에서 OWASP 10개 취약점 중 하나인 SQL Injection 공격탐지기능을 활성화함으로써 이러한 공격을 탐지/방어를 할 수 있을 것이다.
댓글 없음:
댓글 쓰기