[칼럼] 누가 웹방화벽을 필요로 할까?

<웹방화벽 전문 '닷큐어' 대표 손 청>

밀리니엄시대가 되면서 IT 업계는 해커로부터 서버침투를 보호하는 방화벽 장비의 특수를 누렸다. 네트워크 보안은 이후 급속하게 발전하였고 그 결과 해커들은 웹 어플리케이션의 취약점을 이용하는 새로운 방법을 사용하기 시작했고 이러한 피해가 보고되면서 새로운 보안장비의 필요성이 대두되었다. 그것이 바로 웹 방화벽이다. 질문은 간단하다. 누가 이것을 필요로 할 것인가?

지난 8년 동안 IT산업이 걸어온 길을 보면 얼마나 빠르게 인터넷이 발달했으며 그로인한 경제적인 효과와 규모가 어느 정도인지 살펴볼 필요가 있다. 수억명의 인터넷 이용자, 회사가 생겼고 1000조 이상의 경제규모를 형성하였다. 물론 모든 돈과 정보가 네트워크를 이용해 전달되는 것은 아니지만 인터넷은 해커들에게 보물상자나 다름없다. 지난 몇 년 동안의 주요한 인터넷 침해사고를 보면 이 문제들이 얼마나 심각한지 알 수 있다.

해킹은 놀이에서 상업적으로 목적이 바뀌었다. 예전에는 해킹이 단순한 재미 또는 호기심 충족, 그리고 해커자신의 실력을 가늠하는 평판을 높이기 위해 자행되었으나 이제는 해킹을 통해 얻은 데이터가 가치를 띄게 되면서 이익을 위한 도구가 된 것이다.

90년대 초만해도 방화벽만 설치하면 인터넷을 통한 모든 위험에 방어할 수 있었다. 네트워크 전문가들은 보안을 위해 일반적인 네트워크 방화벽(Firewall), 침입방지시스템(IPS), 침입탐지시스템(IDS), 가상사설망(VPN), SSL 암호화 등으로 여러 단계의 장비를 구축하고 있다.

이러한 보안장치들은 해커들이 더 이상 쉽게 네트워크에 침투할 수가 없게 만들었다. 결국 해커들은 새로운 방법을 모색하게 되었고, 웹애플리케이션의 취약점을 이용한 해킹이 급격히 늘게 되었다.

웹방화벽(Web Application Firewall)은 웹클라이언트와 웹서버 사이에서 OSI 레이어7 단계에서 트래픽을 분석하게 된다. 일반적으로 딥패킷인스펙션(DPI, Deep-Packet Inspection)으로 부르기도 하는데 왜냐하면 웹방화벽은 HTTP/HTTPS/SOAP/XML-RPC/Web 서비스 레이어에 대해 모든 요청과 응답을 체크하기 때문이다.

웹애플리케이션 보안협회에 따르면 국제전문가집단, 업계전문가등과 오픈소스와 업계에서 표준으로 인정받은 월드와이드웹에 대한 보안에 대하여 31,373개의 사이트를 조사한 후 가장 많은 5가지의 웹 어플리케이션 취약점을 발표하였는데 취약점 구조를 분석해보면 가장 큰 문제는 패키지가 아닌 최종 개발단계에서 만들어진 웹 어플리케이션들에서 발생하는 것이다.

취약점이 없는 완전무결한 보안에 완벽한 프로그램을 개발한다는 것이 현실적으로 불가능하고, 또한 취약점 분석툴을 이용하여 보고서를 가지고 있더라도 이를 다시 수정하고 보완하는데 필요한 시간을 충분히 확보치 못한 경우 그대로 노출될 수 밖에 없다는 것이다. 이러한 이유로 전문가들은 웹어플리케이션의 취약점이 가장 위험한 요소라고 경고하고 있다.

이러한 점들을 종합해볼 때 웹방화벽은 바이러스 백신처럼 모든 서버에 적용이 되어야 할 것이다. 웹 어플리케이션의 취약점을 모두 보완하고 완벽하게 만드는 것은 개발자들의 꿈이지만 현실적으로 불가능한 일이기 때문이다.

Source : Web Application Security Consortium(WASC 2007)

웹방화벽의 기본이 되는 어플리케이션 보안의 필수요소를 살펴보면 다음과 같다.

어플리케이션 레벨의 공격은 웹서버에 요청되는 트래픽의 내용을 분석이 선행되어야 가장 잘 방어할 수 있다. 따라서 어플리케이션 보안 솔루션은 다음과 같은 기능을 가지고 있어야 한다.

■Encryption - 웹서버에 대한 모든 요청을 읽을 수 있어야 하며, SSL 암호화된 요청을 오픈하여 안에 담긴 컨텐츠의 내용을 알 수있어야 한다.

■Contents - 헤더를 포함하여 컨텐츠의 모든 요청내용을 알수 있어야 한다.

■Application - 오탐을 방지하기 위하여 어플리케이션이 실행되면서 사용되는 정확한 Form을 분석하고 판단하여야 한다.

■위험요소판단 - 새로운 공격에 대한 방어가 즉시 이루어져야 한다.

웹 어플리케이션 보안 솔루션은 외부에 공개된 웹사이트뿐 아니라 내부 어플리케이션과 외부 어플리케이션에 대해서도 보호가 되어야 함은 물론이다.

웹 어플리케이션에 대한 보안코딩을 완벽하게 할 수 없다면 웹방화벽의 도입은 홈페이지를 방문하는 고객들을 위해서 필수적인 선택이 되어야 할 것이다. 웹방화벽이 홈페이지 보안에 절대적인 대안이 될 수는 없다. 또한 보안제품에 완벽이라는 단어는 존재하지 않는다. 그러나 최소한의 울타리는 갖추고 더 이상 해커들의 보물상자 역할이 되는 것은 막아야 하지 않을까?

[글·손 청 닷큐어 대표]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)