금융기관 웹 보안 어느 정도 안전한가?

최근 여러 공공기관의 PC가 중국의 해커들에게 해킹을 당한 사건이 밝혀져 사회에 큰 충격을 안겨주고 있다. 아직까지는 금융기관 사례가 발견되고 있지는 않지만 금융기관도 안심하고 있을 수만은 없는 상황이다.

바이러스 유포 등의 해킹이 금융기관까지 번질 경우 금융전산 마비와 금융기관 이용자의 개인정보 유출 등 전자금융의 심각한 마비 사태를 야기 시키게 된다.

각 은행들도 하드웨어, 네트웍, PC 등 보안 시스템 도입을 갖추고 있다.
금융감독원 검사지원팀 정성웅 팀장은 “금융전산 마비는 전자금융의 불신을 가져오게 돼 심각한 금융 혼란을 불러올 수 있다”고 말했다.

그러나 우리나라 대부분의 금융기관은 아직은 웹해킹에 대해서는 무방비 상태인 것으로 알려지고 있다. 이에 대해 적절한 대응이 필요하다는 것이 관련업계 관계자 중론이다.

<금융IT팀>

국내 금융권의 웹 보안은 어느 정도 안전하다고 자신할 수 있을까?

결론부터 말하면 웹 보안 전문가들은 여전히 국내 사이트에서 △입력값 검증 부재 △취약한 접근 통제 △크로스사이트 스크립팅 취약점 △삽입 취약점 등이 두드러지게 나타나고 있다고 말한다.


◇ 취약한 웹사이트 = 실제 국내 웹 보안 컨설팅을 수행한 전문가들은 “취약한 게시판에 웹 사이트 공격 도구(PHP, ASP, JSP 등)를 업로드하면 사이트를 장악 당할 위험성이 있었고 자료실을 통해 원치 않는 서버의 주요 정보를 다운로드 받을 수 있는 경우를 많이 볼 수 있다”며 “이는 입력값 검증 부재 때문”이라고 말한다.

또 관리자 인증창을 우회해 관리자 페이지에 접속한다거나 SQL 구문 삽입 기법을 통해서도 해킹 당할 위험이 상당히 높다.

최근에는 금융권 사이트에서 고객 편의를 위해 메일이나 쇼핑몰 안내 등의 부가 서비스를 제공하는 경우도 늘고 있다.
이런 부가서비스 사이트를 경로로 메인 금융 서비스를 공격하거나 내부 주요 DB에 접근할 수 있는 위험도 있다.



◇ 주요 DB 유출 = 그럼에도 일부에서는 여전히 웹 사이트가 해킹 공격을 당하더라도 내부 주요 시스템은 안전하다고 주장하기도 한다.

그러나 웹 해킹 기법이 고도화되면서 내부 서버와 외부 서버를 분리해 생각한다는 것은 위험한 발상이라고 전문가는 지적하고 있다.

즉, 웹 사이트가 뚫리면 내부 주요 DB서버가 해커에 의해 장악된다는 것이다.

실제 지난 6월 모 금융권에서 운영하는 쇼핑몰이 SQL 구문 삽입 공격 기법을 사용한 30대 해커에 의해 공격을 받은 바 있다.

해킹 경험이 있는 한 보안 컨설턴트는 “해커들이 사용하는 자동화된 웹 해킹 도구들을 사용하면 웹 서버 공격의 거점으로 삼아 내부 DB서버의 모든 자료를 빼돌릴 수 있고, 원한다면 다른 내부 서버들도 점령할 수 있다”며 “그렇지만 유감스럽게도 방화벽이나 IDS는 해커가 웹 서버에서 다른 서버를 공격하고 있는 순간에도 이를 포착할 수 없다는 점을 경고하고 있다”고 말했다.

웹 해킹의 치명적 위험은 자동화된 공격 도구를 사용해 너무나 손쉽게 내부의 모든 서버를 장악할 수 있다는 것이다.

기존의 공격 기법들과 달리 흔적을 거의 남기지 않기 때문에 범인 추적이 쉽지 않다는 것이 문제다.

지난 6월 ‘2004뉴욕 컨퍼런스’를 개최하는 등 활발한 움직임을 보여온 웹 애플리케이션 보안 연구 국제 민간단체인 ‘OWASP’는 지난해 ‘해커들의 공격대상이 되는 웹 사이트의 10대 취약점 리스트’를 발표했다. 〈표 참조〉

웹 애플리케이션 해킹에 대한 효과적인 대응 방법은 우선 2가지 정도가 제시되고 있다.



◇ 효과적 대응은 = 첫째는 안전한 웹 애플리케이션 개발 방법론을 구축하는 것이다. 신규 개발 애플리케이션에 대해서는 개발 초기 단계에서부터 보안 요구 사항을 명확히 정의하고 개발 규칙을 표준화해 적용하는 것이 효과적인 방법이다.

실제 환경에 적용되기 이전에 모의 해킹이나 소스 분석을 통해 취약점을 발견하고 해당 문제점을 제거해나가면 해킹의 위험이 한층 낮아진다.

이 과정에서 웹 애플리케이션 전용 취약점 스캐너(SCANDO)를 사용하면 외부 보안 전문가의 지원 없이도 자체적으로 취약점을 찾아낼 수 있다.

둘째는 2~3년 전부터 미주와 유럽에서 각광을 받고 있는 웹 애플리케이션 전용 방화벽(INTERDO)의 구축이다.

이미 개발 완료된 웹 사이트의 경우 보안상 취약한 애플리케이션 소스를 일일이 수정하는 것이 가장 이상적인 방법이겠지만 수많은 소스들을 하나하나 분류하고 수정을 하기에는 엄청난 시간과 인력이 소요된다.

즉 비용부담이 만만치 않을 뿐 아니라 개발 관련 업체로부터의 무상 지원 계약이 만료된 상태라면 수정 작업은 더욱 더 어려울 수밖에 없다.

웹 애플리케이션 전용 방화벽 솔루션으로 시간과 인력 투입을 최소화하는 것이 비용 대비 효과적인 해법이다.



카바도사 인터도 3.5 ‘웹해킹 방지 가능’

취약점에 대한 보안 정책 자동설정

최근 해킹은 시스템의 취약점을 이용한 공격보다는 웹 애플리케이션에 집중되고 있으나 기존의 보안 솔루션으로는 웹 해킹 탐지 및 방지에 한계성이 존재하고 있다. 그러기 때문에 웹을 기반으로 구성된 모든 형태의 웹 애플리케이션을 해킹으로부터 보호하기 위해 도입한 것이 이스라엘 카바도사의 인터도(InterDo)3.5다.

웹 서버 또는 애플리케이션 전단에 설치, 운영되는 웹 애플리케이션 프로텍션 제품으로 기존 보안 제품들이 처리하지 못하는 방식인 HTTP request를 검사해 보안 설정치와 대조 후 보안상 문제가 없는 Traffic만 웹 애플리케이션으로 전달하는 기능을 제공한다.

반면에 보안상 문제소지의 패킷은 웹 서버에 도달하기 전에 사전 차단한다.

그중에서도 가장 돋보이는 인터도 특징은 Autopolicy기능이다. 대부분의 웹 사이트는 페이지 수 및 업무 자체가 방대해 관리자나 엔지니어가 매뉴얼 방식으로 분석해 보안사항을 매번 설정한다는 것은 거의 불가능하다. 따라서 ScanDo라는 웹 애플리케이션 전용 스캐너와의 연계를 통해 취약점을 분석하고 취약점에 대한 보안 정책을 자동으로 설정하는 기술적 우위를 갖고 있다. 이와 함께 Positive-Security 모델도 적용하고 있다는 것이 특징이다.

해당 방식의 장점으로는, False Negative(부적절한 행동을 탐지 또는 차단하지 못하는 단점)을극복 기능이 있으며, 별도의 추가 기능 설치 없이 보안성을 유지할 수 있다.

미국의 컴퓨터 저널 인포월드는 2004년도 최고의 보안제품으로 인터도를 선정하기도 했다. 인터도는 최근 SSL 가속기능을 첨가해 암호화된 패킷을 복호화하는 과정에서 처리속도를 향상시켰다.

이밖에 업무 특성상 하나의 웹서버에 여러 개의 사이트가 존재하더라도 한 대의 인터도로 구성할 수 있는 가상호스트(Virtual host) 지원기능과 운영중인 웹서버 암호화 인증서를 Import해 기존 환경을 유지하거나, 암호화인증서 자체를 발급하는 기능이 있다.

암호화통신이 지원되지 않는 사이트에서도 암호화구간을 설정할 수 있는 SSL지원 기능도 특징이다.

이밖에 웹 애플리케이션 세션 정보에 대한 악의적인 변경, 즉 Cookie Hijacking, Cookie변조 등의 공격은 쿠키 암호화를 통한 워터마킹 기법을 이용한다.

관련 해킹을 차단하는 Cookie Security Pipe 지원, ‘ID’또는 ‘Password’ 인증을 우회해 웹 애플리케이션에 접속하는 SQL Injection공격 등을 차단하는Database Security Pipe 기능도 특징이다.

지난달 1일에 출시된 3.5에서는 웹 페이지에 노출되는 개인정보(주민번호, 카드번호 등)를 특정문자로 변환해 외부사용자에게는 해당 정보를 보여주지 않는 Privacy Information보호와 Load Balancer(L4, L7)등의 기능을 이용해 로드를 분산한다. Gigabit를 지원 해 트래픽을 처리하는 로드 분산 구성도 새로운 특징이다.

기존 시스템은 웹 관련 취약점을 분석하고 문제점 도출해 해당 문제점을 수정하는데 평균 16명의 보안 전문 엔지니어가 약 2주 정도의 기간을 투입해야 한다.

그러나 인터도는 반나절 이내에 작업을 완료시켜 경비 절감효과가 있다. 최근 국내외 해킹 기법이 웹을 통해 이뤄지고 있다는 점에서 1차적인 보안제품(방화벽, 침입탐지시스템 등)의 한계성을 보완해 전체적인 보안성을 한 단계 업그레이드 할 수 있기 때문이다.



〈표〉 해킹 공격이 가능한 웹 애플리케이션 10대 취약점

1.입력값 검증 부재

웹 요청 정보가 웹 애플리케이션에 의해 처리되기 이전에 적절한 검증이 이뤄지고 있지 않다. 공격자는 이 취약점을 이용해 웹 애플리케이션의 백엔드 컴포넌트를 공격할 수 있다.



2.취약한 접근 통제

인증된 사용자가 수행할 수 있는 작업을 적절히 제한하지 않고 있다. 공격자는 이 취약점을 이용해 다른 사용자의 계정에 접근하거나, 민감한 정보가 담긴 파일을 열람 또는 허용되지 않은 작업을 수행할 수 있다.



3.취약한 인증 및 세션 관리

계정 토큰과 세션 토큰이 적절히 보호되고 있지 않다. 공격자는 암호나 키, 세션 쿠키, 기타 인증 관련 토큰을 공격해 인증을 우회하고 다른 사용자의 ID를 가장할 수 있다.



4. 크로스 사이트 스크립팅(XSS) 취약점

웹 애플리케이션이 다른 사용자의 브라우저를 공격하는 도구로 사용될 수 있다. 공격이 성공하는 경우 일반 사용자의 세션 토큰이 노출되거나, 사용자의 컴퓨터를 공격 또는 다른 사용자를 속이기 위해 위조된 컨텐츠를 보여주게 된다.



5.버퍼 오버플로우

웹 애플리케이션 컴포넌트가 사용자의 입력값을 적절히 점검하지 않는 언어로 작성돼 다운될 수 있다. 특수한 경우에는 공격자가 해당 프로세스의 권한을 획득할 수 있다. 이 컴포넌트로는 CGI, 라이브러리, 하드웨어 드라이버, 웹 애플리케이션 서버 컴포넌트 등이 포함된다.



6.삽입 취약점

웹 애플리케이션이 외부 시스템이나 자체 OS에 접근할 때 입력받은 인자를 그대로 전달한다. 공격자가 해당 인자로 악의적인 명령어를 삽입하는 경우, 해당 외부 시스템은 웹 애플리케이션으로 인해 입력받은 명령어를 실행할 수 있게 된다.



7. 부적절한 에러 처리

일상적인 운용 과정중에 발생하는 에러 상황에 대해 적절한 처리가 이뤄지지 않는다. 공격자가 웹 애플리케이션이 처리하지 못하는 에러가 발생하도록 유도해 해당 시스템에 대한 상세 정보를 획득하거나 서비스 방해, 보안 메커니즘이 작동하지 않도록 할 수 있다. 서버가 다운될 수도 있다.



8.취약한 정보 저장 방식

웹 애플리케이션은 정보나 인증 관련 토큰을 보호하기 위해 암호화를 자주 사용한다. 암호화 관련 기능이나 코드는 적절하게 구현하기가 어렵다는 것이 이미 증명됐으며 많은 경우 오히려 보안상 바람직하지 않은 결과를 초래한다.



9.서비스 방해 공격

공격자가 다른 정당한 사용자가 사이트에 접속하거나, 애플리케이션을 사용하는 것을 방해하기 위해 웹 애플리케이션의 리소스를 고갈시킬 수 있다. 공격자는 또한 다른 사용자가 본인 소유의 계정을 사용하지 못하도록 계정을 잠글 수 있으며, 심지어 웹 애플리케이션 전체가 멈추도록 할 수 있다.



10.부적절한 환경 설정

강화된 서버 환경 설정 표준을 보유하는 것은 안전한 웹 애플리케이션에 있어 결정적으로 중요한 부분이다. 해당 서버는 보안에 영향을 미치는 다양한 환경 설정 옵션이 있으며, 벤더 출하시에는 기본적으로 안전하지 않은 상태로 출시된다.



관리자 기자