[인터뷰] 웹취약점 이용한 봇 전파에 필요한 대응책은?

노아 바요셉(Noa Bar-Yosef) 임퍼바(Imperva) 수석보안전략가-②

“기업은 온라인 방문자들에게 Safety-zone 제공해야 할 책임 있어”

[보안뉴스 김정완] 미국의 보안업체 임퍼바(Imperva)의 웹방화벽 ‘시큐어시피어(SecureSphere)’ 국내총판사인 싸이버텍홀딩스에 최근 노아 바요셉(Noa Bar-Yosef) 임퍼바 수석보안전략가가 방문했다. 임퍼바 애플리케이션 디펜스 센터 수석보안연구원을 역임한 그녀는 데이터베이스와 웹애플리케이션 취약점에 대한 연구를 했으며, 임퍼바 이전에는 대학에서 프로그래밍과 네트워크 보안과정을 가르친 경력을 가진 보안전문가다. 또한 임퍼바에서 일을 하는 동안에는 다양한 상용화된 애플리케이션의 여러 취약점을 발견했으며, 소프트웨어 벤더들과 이 분석에 대해 진행하고 있기도 하다. 이에 그녀를 직접 만나 미국 내 사이버침해 정도 등을 비롯해 최근 발생하고 있는 사이버침해에 대해 한국기업들이 어떠한 대책을 수립해야 하는지 등에 대해 들어봤다. 아울러 독자들의 독해를 위해 이번 인터뷰 기사는 2회에 걸쳐 게재됨을 밝힌다.

- 각 산업에서 나타날 수 있는 공격은 각 산업의 주체에게 어떤 보안적 의무감을 부여한다고 생각하나?

각 조직은 온라인 방문자들에게 Safety-zone을 제공해야 할 책임이 있다. 한 회사 사이트에 접속하는 사용자는 악성코드를 내려 받을 위험에 처하게 해서는 안 된다는 말이다. 악성코드를 배포하는 사이트는 결국 비즈니스를 영위하는데 현재 고객 뿐 아니라 잠재고객을 잃게 할 것이기 때문이다.

더욱이 악의적인 목적의 접속요청은 회사 데이터에 접근하고 정보를 탈취해낼 수 있다. 2009년에 데이터 유출로 몸살을 앓았던 미국 회사들을 대상으로 진행한 설문조사 결과, 유출된 한 줄의 레코드 정보는 조직으로 하여금 200달러 만큼의 비용을 치르게 했다고 한다. 각각의 공격에서 공격자가 보통 수천 개의 레코드 값을 확보하게 된다는 것을 고려하면 데이터를 잃게 되면 얼마나 많은 비용을 치르게 될 건지 알 수 있다.

그러므로 적절한 통제장치를 갖추어서 취약성을 제거하고 침해사고로 이어지지 않도록 하는 게 조직의 가장 큰 관심사인 것이다.

- 조직적이고 자동적으로 생산되는 봇을 어떻게 탐지하고 막을 수 있나?

기업은 다음과 같은 기법을 구축해야 할 필요가 있다.

◇ 자동화된 비트 공격(Beat automated attacks at their own game)

하나의 공격을 지연시켜서 느리게 만드는 것이 그것을 비효율적으로 만드는 최선의 방법이며 가장 자주 적용된다. 단 1초의 지연 효과는 대부분의 사용자에게 인식되지 않는다. 하지만 이것은 자동화된 공격에 있어 상당한 차이를 만들 수 있다. 그것은 봇으로 하여금 또 다른 가치 있는 목표를 찾아 이동하도록 만드는 충분한 차이다.

봇넷 활동을 지연시키는 방법의 몇 가지 예로 CAPTCHAs, 클라이언트 쪽의 컴퓨터 연산을 이용한 시도, 그리고 허위 정보가 포함된다. 후자는 사이트가 많은 가짜 링크를 포함하는 솔루션을 만드는 것을 의미한다. 자동화된 프로세스는 무한정 그것들을 찾아 따라가겠지만 사람은 그렇게 따라가지 않을 것이다.

◇ 통합적 평판 제어(Incorporate reputation controls)

악성소스와 봇넷들로부터 유래된 것으로 알려진 웹 트래픽을 필터링하는 것으로서, 일부 조직은 이 방법을 통해 공격 소스들로 알려진 특정 해커들의 최근 활동 업데이트를 유지한다. 기타 필수정보로서 익명의 프록시, TOR Relay 또는 기존에 침해당한 서버로부터 참조한 정보를 포함한다. 지난 활동에서 수집한 공격 관련 포렌식 정보와 활성화된 봇과 공격 벡터에 대한 정보를 제공해야 한다.

◇ 상황반응적 인증(Adaptive Authentication)

매우 민감한 트랜젝션을 처리하는 일부 자동화 기능 자체가 의심될 때 사용자에게 악성 프로그램이 브라우저에 잠입했을 수 있다는 통보를 해주어야 한다. 이런 통보는 사용자에게 비밀 번호를 반복 입력하거나 이전에 기록된 질문에 대한 답변을 제공하는 등의 추가적인 인증 정보를 요청하는 형태가 될 수 있다.

- 한국은 SQL 인젝션 공격이나 Mass SQL인젝션 공격, 파일 업로드 취약점을 통해 해킹당한 홈페이지에서 다운로드한 에이전트를 통해 봇이 퍼져나가는 경우가 많다. 웹 취약점을 이용한 봇의 전파에 대해 어떤 대응책이 필요하다고 생각하나?

회사들은 그들의 방문자를 위해 회사의 웹사이트가 안전하게 유지될 수 있도록 해야 한다. 취약점들은 단지 발전된 버그라는 것을 이해하는 것은 매우 중요하다. 하지만 이 버그들은 어플리케이션의 보안 형태에 영향을 끼친다. 모든 어플리케이션은 취약점을 포함한 범주에 있다. 이러한 문제점을 지속적으로 보완하기 위해서는 다음과 같은 대체 방안이 필요하다.

우선 ‘가상 패치’를 들 수 있겠다. 취약점이 알려지고 패치가 안돼 있다면 가상 패치라는 하나의 프로세스로 그런 취약점을 악용해 공격하는 모든 시도들을 차단하도록 해야 한다.

또한 많은 경우 취약점들이 미리 알려지지 않기 때문에 ‘어플리케이션 프로파일링’ 기법으로 정상적인 접속 요청과 불법적인 요청시도를 각각 구별하는 기능을 포함하여 어플리케이션의 정상적 움직임을 학습하고 그러한 불법적인 요청들을 정확하게 차단할 수 있어야 한다.

그리고 ‘평판정보에 기반한 통제(Reputation Controls)’가 필요하다. 많은 경우 접속시도들은 유사한 공격 양상들을 포함한다. 그리고 많은 공격들이 특정 범주의 악의적인 IP들로부터 시작된다고 알려져 있다. 이런 평판정보에 기반한 통제기법은 이미 침해된 시스템으로부터 시작되는 악성 페이로드를 포함하는 접속 요청에 대하여 조직에 위험 경고를 전달해 줄 것이다.

[김정완 기자(boan3@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다