웹 애플리케이션 방화벽의 핵심

Cover Story

보안 관리자들은 더 이상 경계와 호스트 보안에만 초점을 맞춰서는 안 된다. 애플리케이션이 해커의 최고의 타깃이 되었다. 인포메이션 시큐리티지는 중요한 애플리케이션을 안전하게 해방시키는데 도움이 되는 여섯 개의 주요 웹 애플리케이션 방화벽을 살펴보았다.

얼마나 많은 정보들이 애플리케이션을 통해 데이터베이스로 들어가고 쿼리나 리포트, 또는 컨텐츠가 되어 나오는지 생각해보라. 우리는 모든 것이 웹 기반 인터페이스와 콘솔로 옮겨지는 곳, HTTP와 HTTPS의 세계에서 살고 있다. 스택 하부에서 작동하는 전통적인 네트워크 방화벽에는 온라인 쇼핑 사이트, 웹 메일, 또는 온라인 뱅킹이나 계좌 서비스와 같은 비즈니스 포털로 이동하는 TCP 80과 443 포트들에 대한 악의적인 요청을 식별하는 방법이 없다.

그것이 바로 한때 틈새시장에나 적합한 기술로 여겨졌던 웹 애플리케이션 방화벽이 법인 데이터 센터에서 영향력을 얻기 시작한 이유이다. 그것은 네트워크 방화벽, IDS/IPS, 그리고 안티바이러스 필터가 행위 분석과 정책 통제의 결합을 통한 접근을 예측할 수 없었던 애플리케이션에 대한 공격을 방지한다.

직접적인 리뷰를 통해 인포메이션 시큐리티지는 집중화된 관리, 기업 리포팅, 애플리케이션에 대한 전반적인 보호를 제공하는 6개의 애플리케이션 방화벽 어플라이언스를 조사했다. 바라쿠다 네트웍스(Barracuda Networks)의 웹 애플리케이션 게이트웨이(전 넷컨티넘사 제품), 비웨어(Bee Ware)의 iSentry, 브리치 시큐리티(Breach Security)의 웹디펜드(WebDefend), 시트릭스(Citrix)의 애플리케이션 방화벽, F5 네트웍스의 Big-IP 8800 애플리케이션 보안 매니저, 그리고 임퍼바(Imperva)의 시큐어스피어 웹 애플리케이션 방화벽이 그것이다.

인스톨과 구성의 용이함, 관리, 보안 정책 통제의 깊이, 모니터링·경고·감사·리포팅, 그리고 전반적인 보안 효율성을 토대로 각 제품들의 점수를 매겼다.

인스톨과 구성

테스트한 모든 제품들은 강화된 어플라이언스에 구축된 1U 또는 2U 랙 탑재 장치들이었다. 첫 번째 단계는 각각의 제품을 인스톨하고 구성하는데 있어서의 용이함을 평가하는 것이었다. 각각의 어플라이언스가 다양한 디플로이먼트 설정(브리지, 라우터, 인라인, 아웃 라인)을 지원했지만, 우리는 비선형(non-linear) 환경에서 작동하도록 설계되어있는 브리치 시큐리티의 웹 디펜드만 제외하고 각각의 제품을 리버스 프록시(reverse proxy)로 설정했다.

임퍼바와 브리치의 제품이 설정과 구성하기가 가장 쉬웠다. 그들의 이해하기 쉬운 설계와 마법사 덕분에 작동하기까지 각각 약 한 시간 정도가 소요됐다.

우리는 브리치의 콘솔에서 사이트 매니저를 이용해 도메인과 IP 주소, 포트가 정확한지 쉽게 확인할 수 있었다. 이것은 심지어 애플리케이션이 호스팅되어있는 서버의 유형(예 : IIS)까지 식별한다. 논리 트리 구조(logical tree structure)를 통해 사이트를 추가하거나 위치를 정하기가 수월하다.

임퍼바를 우리의 서버와 웹사이트, 서비스, 애플리케이션에 구성하기 위해서는 좀더 수동 조정이 필요했다. 이것은 브리치와 유사한 논리 트리 구조를 보였지만, 유용한 즉각적인 확인 기능이 없는 대신, 각기 다른 4가지 탭으로 정보를 분배했다. 이 부문에서는 브리치와 전반적으로 비슷하다고 생각된다.

비웨어의 초기 인스톨은 우리의 다른 테스트 대상들과 비슷했고 설정 마법사로 호스트 명, 일시, 네트워크 인터페이스와 같은 기본적인 지정과 우리의 백 엔드 서버 대상에 대한 수신 IP 주소의 지정이 가능했다. 문서 분류 시스템은 조잡한 번역 문제가 있기는 했지만 설정 마법사를 통해 상당히 수월하게 설정할 수 있었다.

F5의 애플리케이션 보안 매니저(ASM : Application Security Manager)는 F5의 독점 TMOS 플랫폼에 구축된 BIG-IP 포트 기반 멀티 레이어 스위치의 일부로, 트래픽 관리와 가속, 부하 균형을 위해 디자인되었다. 상당히 쉽게 우리의 네트워크에 설치한 후 구성을 위해 ASM 모듈이 로컬 트래픽 매니저와 같은 다른 모듈과 통합되는 방법을 이해하는데 좀더 많은 시간이 필요했다. 이렇게 초반이 극도로 복잡한 것으로 드러났지만, F5의 뛰어난 문서화 및 기술 지원과 더불어 깔끔하고 유익한 인터페이스의 특징을 보인다. 애플리케이션 보안의 이행을 위해 필요한 풍부한 부하 균형과 트래픽 관리 기능이 복잡성을 상쇄했다.

시트릭스는 상당한 수동 입력을 필요로 했지만 깔끔한 윈도우 기반 구성 유틸리티를 제공했다. 보안 기능을 설정하기에 앞서 네트워크 트래픽 관리에 관한 폭넓은 이해가 요구되지만 바라쿠다의 웹 방화벽 설정만큼 시간이 소모되거나 F5처럼 복잡하지 않았다.

바라쿠다는 다소 복잡하고 설정하는데 시간이 오래 걸린다. 바라쿠다의 웹 애플리케이션 마법사를 사용했음에도 불구하고 공격으로부터 테스트 애플리케이션을 효과적으로 보호하기 위해 수동으로 상당량의 보안 구성을 할 필요가 있었다. 우리는 당초 박스를 수동모드에 배치했지만, 바라쿠다는 프로덕션 환경에 파괴를 일으키지 않는 설정 기능을 자랑하고 있기 때문에 이것은 만일 활성화 반응 모드였다면 발생할 수 있는 행위를 확인하는 로그를 생산할 수 있다.

예를 들어 강제 로긴, 강제 브라우징, 또는 봇 행위를 하는 IP로부터의 트래픽을 차단할 수 있다. 이것은 활성화 모드를 동작시키기에 앞서 어플라이언스를 효과적으로 조정할 수 있게 해주었으며 반영 테스트 환경에 처음 배치하는데 리소스나 시간이 필요치 않다는 것이 보안 매니저에 관한 실질적인 이점이다.

관리

지속적인 유지 및 조정은 수많은 복잡한 기술과 보안 이슈를 포함한 이러한 장치들의 영구적인 효율성을 위한 중요한 역할을 담당한다. 또한 웹 기반 애플리케이션의 침투성은 델리게이션 관리를 중요한 요소로 만드는 관리의 과제를 드러낸다.

임퍼바는 가장 개별적인 관리 권한 델리게이션과 권한과 승인 지정의 뛰어난 편리함을 제공한다. 확장 가능 트리를 통해 개인들이 목록에 기록되어있는 관리 그룹에 대한 인스턴트 뷰가 가능하다. 권한과 승인은 사용 가능한 리소스와 애플리케이션의 포괄적인 리스트를 통해 그룹별 또는 개인별로 전체적인 설정이 가능하다. 뷰/편집 권한도 신속하게 설정할 수 있었다. 개인들은 또한 각기 다른 접근 수준을 부여하는 다중 그룹으로 지정될 수 있다.

F5의 포괄적인 관리 툴 세트는 자사의 트래픽 관리와 부하 균형 기능, 애플리케이션 보안 모듈을 지원한다. 이것은 가상 서버, URL, 그리고 보다 쉽고 유연한 델리게이션을 위한 데이터베이스와 같은 대상을 구분함으로써 압도적인 관리 업무를 제어하는데 도움이 된다.

바라쿠다는 델리게이션을 수월하게 하기 위해 애플리케이션과 리소스를 역할 기반 관리 사일로(administration silo)로 분류한다. F5 못지않은 복잡성에도 불구하고 광범위한 기능 세트를 통한 네비게이션은 비교적 간단하다. 역할은 명령 집단(행위의 유형을 의미)의 사용자 권한을 한정하고 특정한 사이트에 접근 가능하다.

비웨어는 관리 업무를 두 개의 기본 그룹(관리자와 웹 마스터)으로 분류해 간결하게 한다. 관리자는 전체 구성에 접근하여 서비스와 정책을 생성하거나 중지, 또는 삭제할 수 있다. 웹 마스터는 지정된 서비스와 정책에 대한 구성 권한만을 갖고 있다. 이것은 각기 다른 그룹들이 컨텐츠 활성화 페이지의 손상을 방지하기 위한 전반적인 보안과 감독뿐만 아니라 그들의 HTTP 기반 컨텐츠를 변경하는데 필요한 자율성을 제공한다.

시트릭스의 관리 기능은 기본적이지만 간단하고 이해하기 쉬운 관리 GUI를 통해 훌륭하게 관리된다. 관리 목적을 위해 사용자를 신속하게 추가할 수 있었지만, 애플리케이션 관리자나 계정으로 구성 설정을 볼 수만 있고 변경할 수는 없는 애플리케이션 게스트에 대한 옵션은 제한적이었다.

브리치도 또한 관리 업무를 두 개의 그룹으로 나눈다. 하나는 시스템 관리자로 모든 것에 접근할 수 있고, 다른 하나는 사이트 관리자로 지정된 사이트에 대한 권한만을 가진다. 그 외에도 브리치에는 두 개의 뷰 전용 계정이 있는데 모든 것을 볼 수 있는 슈퍼 뷰어(Super Viewer)와 지정된 사이트에 대한 읽기 전용 접근만 지닌 뷰어(Viewer)가 그것이다. 모든 활성화 사이트들이 하나의 창에 나타나고 한 번의 마우스 클릭으로 지정할 수 있기 때문에 사이트 지정은 어렵지 않다.

보안 정책 통제

이러한 제품들 뒤에 숨어있는 실제 힘은 기업들이 동적 애플리케이션에 대한 접근을 통제할 수 있게 해주는 능력에 달려있다. 단순히 정책을 기반으로 패킷을 승인하거나 거부하던 기존의 네트워크 방화벽과는 달리 애플리케이션 방화벽은 다양한 컨텍스트 규칙들과 행위 분석을 통한 보다 정교한 애플리케이션 레이어 통제를 제공해야만 한다.

모든 제품들은 URL 자동 학습이나 행위 및 트래픽 패턴 학습 등 일종의 학습 기능을 가지고 있다. 또 다른 중요한 정책 지정은 전체 보안 조치를 초기화하기에 앞서 투과 모드에서 실행하는 방화벽의 기능으로 차단이나 위치 변경과 같은 미세 조정을 가능하게 해주었다.

브리치가 가장 즉시 사용 가능한 사전 지정된 정책 세트를 제공하며 IIS, 아파치, SQL과 같이 대중적인 애플리케이션에 대한 알려진 공격을 책임진다. 알려지지 않은 공격에 대한 통제도 효과적일만큼 강력할지는 의문이다.

콘솔은 아이콘 구동도 아니고 다른 제품들만큼 복잡하지는 않지만 사용자가 애플리케이션을 통한 드릴다운 및 리뷰와 정책 설정을 하도록 정해져있다. 장점은 보안 이벤트에 관한 정보와 더불어 가장 시각적인 인터페이스를 제공한다는 것이다.

신용카드 번호 등과 같은 민감한 정보를 확인하는데 사용하는 정규 표현 또는 규정 문자열인 브리치 마크(BreachMark)사용이 특히 관심을 끌었다.

시트릭스에 관한 첫 번째 관심사는 기본적으로 방화벽을 작동하면서 우회모드에서 운영 모드에 이르는 전환이었다. 하나의 페이지에서 보안 정책의 페일오버(failover) 보호 포함 여부, 세션 타임아웃 한계 지정, 전반적인 보안의 두개의 다른 차수 사이에서의 작동을 선택할 수 있었다. 트래픽이 어플라이언스를 통해 이동하기 시작하면 페일오버 보호를 허용할 것인지 결정해야만 했다. 웹 형식을 포함한 페이지가 자바 스크립트나 겟(Get) 호출을 사용하는지에 대해 깊이 있는 이해가 필요해 이 옵션을 초기화하는 것은 쉽지 않았다.

스트릭스의 적응 학습 모드는 정상인 것을 결정하기 위해 트래픽을 검사하고 사용자가 적용, 또는 편집-적용, 생략, 무시할 수 있는 것을 권장한다. 다만, 권장을 무시할 경우 방화벽은 더 이상 특정한 행위를 위협으로 간주하지 않을 것이다. 우리는 새로운 제로데이 익스플로이트나 적응성을 지닌 맬웨어를 만났을 때 변경 가능한 생략 옵션을 대한 한계 설정을 선호했다.

F5의 정책 관리는 상당히 유연하다. 처음에 마법사는 규칙 정의의 모든 면에 대해 안내해주었다. F5는 또한 정책 생성을 보조하는 적응 학습 툴 배열을 지원한다. 러닝 매니저(Learning Manager)와 트래픽 러닝 스크린(Traffic Learning Screen)이 정책 결정에 상당한 도움이 된다는 것을 확인할 수 있었다. 강제 브라우징이나 다수의 로그인 시도 실패 등과 같은 잠재 위반을 할 때마다 러닝 매니저는 보안 정책을 적응시킬 방법을 제안했다.

F5는 대규모의 배치를 수월하게 하기 위한 보안 정책 탬플릿을 생성하는 기능을 제공한다.

바라쿠다의 정책 마법사와 동적 애플리케이션 프로파일링 사이에 테스트 중 생성되는 트래픽에 대한 특정한 보안 정책들을 생성할 수 있었다. 고(高) 트래픽 환경에서 지속적인 부분 변경이 까다롭거나 궁극적으로 다수의 변화로 인한 보안의 위기를 생성할 수 있는지를 확인하기 쉽다.

바라쿠다의 수동모드는 정책이 활발하게 실시될 경우 결과를 표시해주는 부분이 매우 훌륭하다. 다른 제품들은 네트워크에서 발생되는 것을 보여주기는 하지만 활성화되었던 보안 정책의 결과에 대한 광범위한 이해는 제공하지 않는다.

비웨어의 보안 정책들은 갖가지 공격에 대한 적절한 보호를 제공하기는 하지만 정책 설정이 어려운 것으로 드러났다. 어플라이언스는 블랙리스트, 동적 화이트 리스트와 행위 분석을 사용하지만 규칙과 패턴의 제정을 요구하는 로직은 시간 소모적이며 질서가 잡혀있지 않다.

임퍼바는 인상적인 사전 지정 공격 서명 세트를 제공했다. 다양한 메타데이터 선택(웹, 스트림, SQL)을 포함한 간단한 메뉴 시스템을 통해 규칙 서명들을 쉽게 생성할 수 있다. 조정이 쉬운 인터페이스 덕분에 정책 페이지 왼편의 계층 트리에 나열된 다양한 필터를 통해 정책을 잘 살펴볼 수 있었다.

모니터링, 경고, 감사, 리포팅

조사한 모든 제품들은 컴플라이언스 감사와 리포팅을 지원하는 기능을 가지고 있었다. 보안 관리자들은 그들의 네트워크에 나타나는 악의적인 행위에 관해 상세한 정보, 즉 누가, 무엇을, 왜, 어디에서, 언제, 어떻게 등을 상세하게 알고자 한다. 감사와 리포팅 기능은 제품이 구매 후보 리스트의 맨 위에 위치할 기회를 만들어 줄 수 있다.

임퍼바는 상당한 실시간 인터페이스 구성 가능성을 자랑하는데, 모니터링 탭(Monitoring tab)으로 우리의 모든 애플리케이션, 경고, 이벤트, 연결, 전반적인 시스템 상태를 한 눈에 모니터 할 수 있었다.

균등한 별도의 기능 탭이 하나의 리스트에서, 또는 임퍼바의 강력 필터링 기능을 사용해 선택 가능한 100가지 이상의 리포트 유형을 제공한다. 어드민 탭(Admin tab)은 손끝으로 모든 것을 간단히 처리할 수 있게 해준다. 마우스를 클릭 함으로써 사용자, 세션, 그리고 가장 중요한 서명, 정책, 프로토콜, 리포트 등에 대한 정보와 업데이트를 포괄하는 애플리케이션 디펜스 센터에 액세스할 수 있었다.

브리치도 또한 대부분 PCI 컴플라이언스 리포팅에 초점을 맞춘 유용한 리포트를 포진했다. 우리의 쇼핑 카트 애플리케이션을 모니터링 하면서 어떻게 신용카드 정보가 특정한 웹 페이지를 통해 전달되는지에 관한 상세한 리포트를 컴파일 하는데 몇 분밖에 걸리지 않았다. 이벤트 뷰어(Event Viewer)는 엄청난 양의 정보를 드릴다운 할 수 있는 9개의 필터링 옵션뿐만 아니라 최적화된 필터를 생성할 수 있는 기능을 제공한다.

시트릭스는 적당한 모니터링, 경고, 로깅 기능을 제공했다. 모니터링은 메인 인터페이스의 대시보드 아이콘을 통해 액세스되고 리포트와 로그들도 마찬가지다. 두 가지의 로그 기본 유형이 있다. 방화벽 로그는 이벤트와 관련된 보안 정보를 제공하고 감사 로그는 설정할 때 선택했던 모든 행위를 기록한다.

임퍼바와 비교해서 시트릭스의 대시보드는 평범하며 유익하지 않다. 공격을 나열하는 관리 리포트 유형을 겨우 4개(실행, 보안, 구성, 정밀 검사)만 제공하는 열등한 리포트 기능은 실망스러웠다.

바라쿠다는 웹 애플리케이션 로그뿐만 아니라 시스로그, 네트워크 방화벽 로그, 웹 방화벽 로그를 제공하는데 각각은 대시보드의 로그 탭에 고유의 페이지를 가지고 있다. 전체적으로 로깅 디스플레이는 시각적으로 제한적이고 단조롭다. 리포팅 기능은 시트릭스에서 제공되는 것만큼 실망스러운데 경고, 진단, 에러 리포트가 제한적이다. 임퍼바나 브리치에 비해 최적화와 세부 사항의 단계가 부족했다.

F5는 훌륭한 모니터링, 경고, 이력 및 포렌직 기능을 제공하지만, HTTP, HTTPS, TCP, FTP와 기타 네트워크 프로토콜을 지속적으로 추적하는 다양한 유형의 모니터를 통해 수집된 정보의 경이적인 양에도 불구하고 리포팅 툴은 평범한 실행, 이벤트, 보안, 공격 리포트를 제공할 뿐이다.

비웨어의 모니터링 기능은 실시간 애플리케이션 행위와 보안 로그에 대해 제한적이었으며 관리 인터페이스를 통해 나타나거나 시스로그 로그 파일로써 전달된다. 경고는 SNMP 트랩과 시스로그 메시지에 대해 제한적이었다.

비웨어는 보안과 액세스의 두 가지 기본적인 로그 유형을 제공할 뿐이었다. 각각은 이벤트 테이블을 제공하고 모든 이벤트는 추가 정보를 위해 마우스로 선택 가능하다. 데이터 제공 면에서 리포트보다 로그들이 훨씬 유용하다는 것이 밝혀졌다. 리포트는 제한적이고 그래픽 디스플레이에 있어 열악하게 설계되었다.

전반적인 보안 효율성

모든 제품들의 핵심 기능은 HTTP, HTTPS와 FTP 애플리케이션, XML 서비스를 위한 포괄적인 보안을 제공한다.

우리의 테스트에서 모든 제품들은 핵심적인 보안 기능, 특히 웹 사이트 클로킹, 일반적인 웹 취약성과 익스플로이트에 대한 보호, 데이터 보호를 제공했다.

우리의 공격은 SQL 인젝션, 버퍼 오버플로우, 쿠키 탬퍼링, 폼 탬퍼링, 세션 하이재킹, 크로스사이트 스크립팅(XSS), CSRF, 폼 탬퍼링(forms tampering), 원격 코드 실행, 악성 코드(인터넷 웜), 서비스 거부, 무작위 로긴(brute force login), 강제 브라우징(forceful browsing)에 한정된 것만은 아니었다. 우리는 테스트 중인 제품 이면의 애플리케이션과 호스트 사이트를 수집하기 위해 자바 기반 웹 크롤러를 실행했다. 또한 우리는 의도적으로 제한된 데이터(가짜 신용카드 번호)에 대한 접근을 허용하는 불안전한 페이지를 설정하고 접근을 시도했다. 모든 제품은 만족스러웠고 기업에 설치할 만한 가치가 있었다.

웹과 마주한 애플리케이션에 접촉하고 있는 데이터베이스에 대량의 정보가 저장된다는 것을 생각할 때 임퍼바가 보안 관리자들이 시행할 수 있는 가장 뛰어난 애플리케이션과 데이터베이스 보안을 제공한다는 것이 밝혀졌다. 화이트리스트, 블랙리스트, 그리고 적응 학습(‘다이내믹 프로파일링 테크놀로지’)의 조합을 사용해 이 장치는 유효한 트래픽 패턴과 우리의 공격을 구분하는 데이터베이스와 애플리케이션의 트래픽과 행위 패턴을 조사했다.

바라쿠다는 허용되는 트래픽을 확인하기 위해 웹 ACL, 양성 및 음성 보안 모델, 그리고 다이내믹 애플리케이션 프로파일링의 조합을 사용한다. 음성 모델에 포함된 서명들은 모든 일반적인 공격(SQL, 버퍼 오버플로우, 탬퍼링 등)을 차단한 반면, 양성 모델은 강력한 ACL을 통해 한정하지 않는 한 모든 트래픽을 차단했다. 우리는 우리의 테스트 사이트에 탁월한 보안을 제공하는 다양한 ACL을 설정했다.

F5도 적응 학습과 튜닝 엔진을 통해 모든 트래픽의 발견 분석과 더불어 양성 보안 모델과 일반적인 공격을 위한 음성 모델을 모두 채택했다. 우리는 합법적인 트래픽 일부의 초기 차단을 위한 강력한 양성 보안 모델에 점수를 주었다. 차단을 위한 두 번째 테스트는 허가된 트래픽을 발생하게 하는 동안 모든 공격이 멈추는 완벽한 실행 결과를 가져왔다.

개별 트래픽 이동 통제는 최적화된 트래픽 플로우 정책을 통해 애플리케이션에 대한 접근을 제한할 수 있게 해주었다. 우리는 우회모드로 시트릭스 테스트를 시작했다. 초기 테스트에서 우리는 적응 학습 기능의 비활성화와 일부의 수동 조정을 필요로 하는 수많은 양성 오류를 만났다.

적응 학습 기능(Adaptive Learning)은 허용, 거부, 혹은 최적화 등을 제안했다. 이것은 특히 폼, 로긴, 다이내믹 링크와 같은 취약한 특성을 포함하고 있는 새로운 사이트나 사이트 내 페이지 추가처럼 애플리케이션에 변화가 있을 때 유용하다는 것이 밝혀졌다. 우리의 모든 악의적인 공격은 운영 모드에서 차단되었다.

비웨어는 SQL 인젝션, 버퍼 오버플로우, XSS, 마이크로소프트와 유닉스 취약성과 같은 일반적인 공격과 익스플로이트에 대한 테스트를 했다. 또한 행위 분석 기반 보안 엔진은 소규모 IT 매장의 흥미를 끄는 정책 생성의 자동화를 충분히 제공했다. 비웨어의 학습 기능은 우리의 애플리케이션 내에 추가된 새로운 사이트와 페이지들을 신속하게 확인했다. 그러나 새로운 URL이 학습되거나 수동으로 추가되기 전까지는 거부되었다.

브리치는 위협을 완화하기 위해 인바운드와 아웃바운드 트래픽 분석과 결합된 다이내믹 애플리케이션 프로파일링을 사용한다. 브리치는 또한 잘못된 코드 URL과 이미지, 그리고 웹 서버나 애플리케이션에 관한 정보를 확인하며 나타나는 에러 페이지로 되돌아가는 것과 같은 취약성을 생성하는 대상들과 같은 웹 페이지 내의 결함을 식별했다. 우리는 트래픽이 충분히 분석되면 보호모드로 자동적으로 변환되는 옵션으로 학습모드에서 테스트를 시작했다. 장치가 활성화를 시작하면 어떠한 양성 오류도 없는 변화를 확인할 수 있었다.

브리치가 PCI 컴플라이언스를 위한 훌륭한 솔루션이라는 것에는 의심할 여지가 없다. 계좌 번호를 감추는 것에서부터 강력한 SSL 보호에 이르기까지 신용카드 트랜잭션에 관한 보안 측면에 초점을 맞춘 전반적인 어플라이언스 수행이 만족스러웠다. 신용카드 정보를 가장한 우리의 테스트 데이터에 브리치마크로 표시했을 때 우리의 익스플로이트 가능한 쇼핑 카드 애플리케이션이 경고를 발동했다.

처음 우리는 사생활 정보가 모든 손상된 정보에 대한 상세한 기록을 제공하는 브리치의 요구를 검증하는 방화벽을 통과할 수 있도록 허용했다. 이것은 기업들이 어떤 기록들에 불법적인 접근이 있었는지 정확하게 검증할 수 있게 해준다.

새로운 위협과의 대면

우리가 조사한 어플라이언스들은 모두 효율적인 애플리케이션 레이어 보호를 제공한다. 우리가 시도했던 다양한 공격에 관해 모두 좋은 점수를 받았다. 그러나 기업의 요구 사항에 따라 상당한 차이가 있을 수 있다. 임퍼바(Imperva)는 다방면에 걸쳐 가장 강력했고 브리치 시큐리티(Breach Security)가 근소한 차이로 그 뒤를 잇고 있다. F5와 바라쿠다 네트웍스(Barracuda Networks)도 강력한 선택 후보지만 모니터링·경고·리포팅 부문만큼은 뒤쳐진다.

우리의 테스트 범위는 두어 개의 웹 서버에 위치한 단일 어플라이언스로 제한되었다. 그러나 이러한 제품들과 작업한 결과, 서버의 클러스터를 포호할 수 있도록 설계되었다는 것이 분명해졌다. 우리의 평가 목록에서 네트워크 관리 기능을 제외하기는 했지만 그것이 애플리케이션 방화벽 어플라이언스를 선택하는데 중요한 요소가 될 수도 있다.

애플리케이션 방화벽은 차세대 디지털 보안을 대표한다. 이러한 기술들이 성숙할수록, 그리고 기존의 네트워크 방화벽, IDS/IPS, 맬웨어 스캐너와 협업하게 되면 보다 증가하는 웹 애플리케이션 구동 사회에서 대면하게 되는 위협들을 줄일 수 있을 것으로 예상된다.

[Review]

인포메이션 시큐리티지는 바라쿠다 네트웍스, 브리치 시큐리티, 비웨어, 시트릭스, F5 네트웍스, 임퍼바 등 (사진 순서대로)여섯 개의 애플리케이션 방화벽 어플라이언스를 배치했다.

각 제품은 우리의 실험실의 네트워크 방화벽 사이와 별도의 웹 메일을 포함한 다양한 애플리케이션 호스팅, 온라인 포럼, 쇼핑 카트 기능이 있는 웹 사이트, 아파치 웹 서버와 마이크로소프트 인터넷 인포메이션 서버를 포함한 애플리케이션 서버 주변에 설치되었다.

버퍼 오버플로우, 쿠키 탬퍼링(cookie tampering), SQL 인젝션, 세션 하이재킹, 크로스사이트 스크립팅(XSS), CSRF, 폼 탬퍼링(forms tampering), 원격 코드 실행, 악성 코드(인터넷 웜), 서비스 거부, 무작위 로긴(brute force login), 강제 브라우징(forceful browsing)과 같은 애플리케이션에 대한 일반적인 공격에 초점을 맞췄다.

추가적으로 웹사이트 클로킹(Web site cloaking)과 같은 애플리케이션 사이드 보안 기능을 구성했다. 또한 HTTP 헤더 데이터와 Nmap 같은 스캐닝 유틸리티를 통해 운영 시스템과 웹 서버의 상세 내용을 확인하는 것과 같은 악의적인 사전 조사 실행을 통해 네트워크와 애플리케이션 구성을 차지하려고 시도했다. 브리치의 웹디펜드는 스팬 포트를 사용해 테스트 웹 서버와는 별도의 아웃오브라인 모드에 배치되었다.

모든 애플리케이션 방화벽 어플라이언스(브리치 시큐리티 제외)는 마이크로소프트 IIS와 아파치 웹 서버, 마이크로소프트 SQL, 신용카드 트랜잭션 기능과 온라인 포럼이 있는 전자 상거래 애플리케이션을 포함한 다양한 애플리케이션과 기존의 상태 유지 정밀 검사 방화벽 사이의 네트워크에 리버스 프록시로 배치되었다. 브라우저는 인터넷 익스플로러, 파이어폭스, 넷스케이프, 오페라 등이었다.

<글·샌드라 케이 밀러(Sandra Kay Miller)>

[정보보호21c (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)