웹 보안, 더 이상 방치해선 안된다

3. 선진국의 웹 서비스에 대한 보안 대응



■ 웹 해킹 공격, 대응이 어렵다


최근 신문에 발표된 웹에 대한 공격 사례 중에서 한 금융기관에 대한 공격방법은 웹사이트에 접속해 주소창에서 /admin을 입력하면 관리자 권한으로 웹서버의 내용을 변경할 수 있는 것으로 나타났다.

또 D사이트의 경우 Unicode attack이라는 공격방법을 이용해 영문자와 16진수를 나타내는 %3x를 입력하면, 보여서는 안 되는 디렉토리가 공격자에게 보여지게 돼 그 디렉토리의 중요 파일(예: 비밀번호)을 볼 수 있도록 한 해킹 기법이었다.

첫번째 경우 서버보안제품에서 대응할 수 있는 방법이 단순히 디렉토리나 파일의 접근을 사용자 등급으로 제어하는 방법이지만 웹 프로그래머의 실수로 인해 권한이 자동적으로 관리자로 넘어갔기 때문에 적합한 권한자의 작업이므로 대응이 불가능하다.

두번째 경우는 침입탐지시스템에서 점검을 할 수 있지만 unicode라는 것이 한 문자에 대해 표현되는 경우의 수가 워낙 다양하기 때문에 그 모든 경우의 수를 판단하기에는 효율적인 문제로 대응 하기가 불가능하다.
이외에도 웹 해킹 시 주로 이루어지는 공격의 패턴은 다양하다.

<표 참조>

이와 같이 최근의 웹에 대한 공격은 어떤 정형화 된 형태로 나타나는 것이 아닌 웹 개발자의 실수로 발생되는 웹의 구조적인 허점을 공격하는 경우가 늘기 때문에 시스템 차원으로 대응하는 기존 방법으로는 더 이상 대응할 수 없는 단계에 와있는 것이다.



■ 선진국의 해결 방안



일반적으로 웹 애플리케이션 보안(web application security)의 대응책에 대해서는 미국을 포함한 해외의 경우는 일반적으로 개발 전 단계와 개발 이후의 2가지로 분류해 대응하고 있다.

첫번째 대책은 웹 애플리케이션이라는 컨텐츠를 설계단계에서 부터 확실하게 보안성을 고려해 대비해 나가는 방법이다.

두번째는 2002년 중반부터 미국과 유럽국가에서 갑자기 각광을 받으면서 뜨고 있는 웹 보호(web protection) 보안솔루션 장착을 통한 대응이다. 국내의 경우는 웹을 통해 공개된 정보 이외의 중요한 데이터가 유출될 리 없다는 잘못된 인식 때문에 어플리케이션 모의해킹을 통해 진단부터 해보자는 의견이 다소 우세한 상황이지만 미국에서는 대형 금융기관과 대기업을 중심으로 웹 해킹 대응 솔루션 시장이 올해에 약 2900만달러 규모가 될 정도로 보안시장의 돌풍을 몰고 오고 있다.

이러한 웹 보안 제품을 만들어내는 회사로는 KAVADO사의 interdo, SANCTUM사의 Appshield, WebSecurity의 Webapp.Secure Professional 등이 있다. 이들 솔루션에 대한 기술적 평가와 시장평가는 다소간 차이가 있지만 대부분이 기존에 알려진 취약점을 점검하는 방법 외에 정상적인 방법이나 또는 관리자가 정해놓은 정상적인 행위에 대한 정책을 기반으로 움직이는 것으로 기존의 어떠한 보안제품보다 웹 개발자의 보안상 무관심이나 실수에 대해 비용대비 가장 효과적이고 빠른 해결 방안이 될 수 있다.

최근 주변에서 잇따라 일어나고 있는 웹 해킹 사건을 우발적인 단순사고로 인식해서는 안 된다. 또 사이버 해킹 침해는 기업 또는 기관의 존립자체와 신뢰에 치명적 손상을 가져온다는 점에서 더구나 웹 해킹은 추적이 쉽지않고 언제, 어떻게 당했는지 모른 채 지나칠 수 있다는 것도 유의 해야 한다.

                                     <웹 해킹의 주요 공격 패턴>



관리자 기자