웹 방화벽의 효율적 운영

Web Security Solution All Guide

Chapter 3. 웹 보안 전문가 노하우 훔쳐보기

꾸준한 보안정책 관리로 새로운 위협에 대비

최근에 다시 웹 해킹이 빈번하게 발생하고 있고 중국에서 만들어진 해킹 툴은 국내 해커 사이에서도 이미 유행하고 있는 추세이다. 웹 해킹은 웹 서비스가 과거보다 더 중요한 정보와 기능을 가지게 되어 해커들의 좋은 해킹 대상이 되었기 때문이다.

하지만 과거 네트워크 방화벽이 도입되기 전에는 서버의 모든 서비스(포트)에 대한 취약점이 해커들 사이에서 공격 대상이 되었지만 기업·관공서 등 대부분의 회사들이 네트워크 방화벽을 도입한 후에는 해커가 공격할 수 있는 해킹 대상 범위는 대부분 웹 서비스로 아주 한정되게 된다. 즉, 네트워크 방화벽에서 항상 허용되어 있는 웹 서비스(HTTP)가 해커의 주요 공격 대상이 되고 기업 또한 불특정 다수의 고객들과 접촉하기 위해서는 웹을 이용할 수 밖에 없게 된 것이다.

이에 따라 웹 방화벽 도입의 필요성과 구축이 증가 하고 있고 기업과 관공서 등에서는 항상 새로운 제품의 도입·구축 시에 많은 관심을 가지고 진행하게 된다. 하지만 구축 완료 후에는 관심이 줄어들고 소홀해지기 마련이다. 웹 애플리케이션 방화벽 도입 및 구축 후에도 꾸준한 관리로 효율적인 운영을 하기 위해서는 다음과 같은 사항을 중심으로 효율적으로 운영해야 한다.

1. 웹 서버 담당자는 웹 취약점에 대해서 알고 있어야 한다.

보통 웹 개발은 외주 업체가 담당하고 전산 담당 직원이 웹 서버를 관리하게 된다. 웹 개발자와 웹 서버 담당자가 분리되어 있고 별도의 보안 담당자가 존재하지 않아 주로 웹 서버 담당자가 웹 애플리케이션 방화벽을 담당하게 되는 경우 웹 서버 담당자는 웹 서비스에 대한 지식 및 웹 취약점에 대한 지식이 부족한 경우가 있다. 이런 경우는 보안 정책 설정 및 관리에 어려움이 발생하게 된다. 운영 담당자는 기본적으로 웹 취약점에 대해 알고 있어야 한다. 보안 정책 설정 및 향후 관리를 위해서는 당연한 항목이다.

2. 내가 관리하는 웹 서버의 웹 취약점은?

내가 보호하고자 하는 대상 웹 서버는 무엇인지, 보호 대상 웹 서버에는 어떤 웹 취약점이 존재하고 있는지 파악한다. 보호 대상 웹 서버의 웹 취약점을 파악하고 있으면 보안 정책을 설정 시 좀 더 효과적으로 웹 애플리케이션 방화벽을 이용할 수 있다. 정기적으로 웹 취약점 툴을 이용한 스캔을 수행하여 보호 대상 웹 서버의 웹 취약점을 점검한다.

3. 도입한 웹 애플리케이션 방화벽의 기능을 파악하고 있어야 한다.

운영 담당자는 최소한 도입한 웹 애플리케이션 방화벽의 전체적인 기능은 파악하고 있어야 한다. 기능의 파악으로 도입한 제품의 정확한 활용과 더불어 한계를 알 수 있다. 도입한 웹 애플리케이션 방화벽으로 차단할 수 없는 해킹은 다른 방안을 모색하도록 한다.

4. 보안 정책 설정 시 허용 범위를 최소화한다.

웹 서비스는 대부분 인터넷상의 불특정 다수를 상대로 하기 때문에 어떤 데이터가 웹 서비스를 통해 입력될지 모른다. 운영 담당자는 오용 가능성을 줄이기 위해 웹 애플리케이션 방화벽의 보안 정책 설정 시 허용 범위를 최소화한다. 따라서 오탐은 최소화하고 보안을 최대화할 수 있다.

5. 꾸준한 보안 정책 관리가 필요하다.

인터넷상에는 새로운 웹 취약점이 계속 나타나고 있다. 또한 홈페이지 구조는 계속 변경이 발생하게 된다. 새로운 웹 취약점에 대해서 어떤 보안 정책으로 보호할 수 있는지, 홈페이지 구조의 변경으로 발생한 웹 취약점이 없는지 파악하여 웹 애플리케이션 방화벽의 보안 정책을 설정해야 한다.

6. 매월 보고서는 책상 위에 올라와 있는가?

웹 애플리케이션 도입과 꾸준한 보안 정책 관리와 함께 보고서도 중요한 부분을 차지한다. 운영 담당자는 보고서를 통해 도입한 웹 애플리케이션 방화벽이 정상적으로 사용되고 있음을 확인한다. 웹 애플리케이션 방화벽 도입/구축 후 몇 년이 지나더라도 매월 운영 담당자는 보고서를 확인 할 수 있어야 한다.

7. 맹신하지 말자 - 웹 애플리케이션 방화벽의 한계

모든 보안 제품은 완벽하지 않다. 홀이 있기 마련이다. 앞으로 새로운 취약점은 계속 발견되고 새로운 해킹 기법도 계속 나타나게 될 것이다. 웹 애플리케이션 방화벽이 웹 취약점을 보완할 수는 있지만 모든 공격에 대해 완벽하게 차단할 수는 없다. 웹 서버를 보다 완벽하게 하자.

해킹은 바이러스와 같다. 새로운 바이러스 패턴이 나타난 이 후에 백신에 치료 패턴이 추가 되듯이 해킹도 신종 해킹 기법이 나타난 이 후에 대응 방법이 등장하게 된다. 그러므로 웹 애플리케이션 방화벽 운영 담당자는 항상 새로운 해킹 패턴에 대해서 공부하고 대응 방안을 모색해야 한다. 향후에도 계속 새로운 해킹 기법이 등장할 것이기 때문에 이에 대비하는 것이 최선이다.

<글·배윤규 잉카인터넷 기술지원팀 차장(ykbae@inca.co.kr)>

[정보보호21c (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)