[9월 주요 보안이슈 되짚어보기] 웹 공격은 피해갈 수 없는 ‘보안 위협’

취약한 웹 사이트 탐지·감염시키는 자동화 툴 개발 증가

[보안뉴스=인승진 아카마이테크놀로지스 부장] 어떤 기업도 웹 인터페이스 공격의 예외가 될 수 없다. 다양한 업계가 업계 특성에 맞는 웹 애플리케이션을 수많은 엔드 유저에게 다양한 모바일 디바이스를 통해 제공하고 있다.

이는 곧 모든 업계가 웹 애플리케이션 공격 대상이 될 수 있음을 의미한다. 유통 및 금융 기업은 고객의 신용카드 및 계좌 정보를, 기타 기업은 지적 재산권이나 소유 데이터를 안전하게 지켜야 하며 정부 기관은 정치적 또는 이념적 이유로 웹 공격을 받을 수 있다.

소셜 미디어, 온라인 게임, 엔터테인먼트 등 인기 웹 사이트는 대규모 사용자 기반을 노린 공격의 대상이 될 수 있다. 중소규모 기업도 예외가 아니다. 최근 불특정 개체를 대상으로 하는 사이버 범죄가 증가하고 있으며 취약성을 가진 웹 사이트를 탐지 및 감염시키는 자동화된 툴이 개발되고 있기 때문이다.

웹 애플리케이션 보안 이슈

△방화벽 접근성(Firewall Accessibility) : 일반적으로 기업의 데이터와 애플리케이션의 접속은 내부망으로 제한돼 있다. 그러나 네트워크 방화벽의 경우는 HTTP(80)와 SSL(443) 트래픽에 대해 외부에서의 접속을 대부분 허용한다.

△복잡한 아키텍처 : 대부분의 기업 웹 사이트는 보안적인 측면을 고려하지 않고 단순한 형태로 시작된다. 그러나 규모가 커지면서 다양한 애플리케이션들을 기능적으로 추가하고 새로운 기술을 수용하면서 점차 복잡한 구조로 변형돼 관리가 까다로워지고 보안 취약성이 증가하고 있다.

△애플리케이션 상호작용과 웹 2.0 : 웹 2.0이 적용되면서 사용자와 애플리케이션간의 상호 커뮤니케이션이 증가하고 있다. 이처럼 사용자 경험을 중요시하는 서비스 트렌드로 인해 보안 취약성은 더욱 확대되고 있다.

△급변하는 IT 기술 : 앞으로 애플리케이션의 새로운 기능에 대한 요구사항은 더욱 빠르게 증가할 것이며 애플리케이션은 갈수록 다양하고 복잡해질 것이다. 기술 발전 속도에 맞춰 투자를 해야 하는 기업이 계속 인프라를 확장하기에는 한계가 있다.

△빠른 구축 사이클 : 경쟁사보다 우위를 차지하기 위해 타이밍이 매우 중요하다.즉, 새로운 기능 추가를 위해 시기 적절한 투자를 실시, 이를 통해 발생할 수 있는 또 다른 새로운 취약점에 대비해야 한다.

주요 웹 애플리케이션 위협

전 세계 보안 전문가들의 커뮤니티인 WASC(Web Applications Security Consortium)는 ‘웹 애플리케이션 보안 통계 프로젝트’ 보고서를 통해 L7에 대한 공격이 증가하고 있으며 87% 이상의 웹 애플리케이션이 취약점을 갖고 있다고 밝힌 바 있다.

대표적인 유형은 디도스라 일컫는 분산서비스 거부 공격(DDoS)이다. 작년에 발생한 10.26 선관위 디도스 사건 등 국내에서도 끊임없이 디도스 공격이 발생하고 있다.

이 외에도 웹브라우저 등의 취약점을 이용해 악성코드를 유포하는 SQL 인젝션, 사용자의 웹사이트 로그인 정보와 쿠키에 포함된 사용자 정보를 볼 수 있는 크로스 사이트 스크립팅(XSS) 공격 등이 존재한다.

하이퍼커넥티드(Hyperconnected) 세계

오늘날 사람들은 장소나 기기의 제약 없이 모든 것에 접근하고자 하며 동료 및 친구들 역시 계속해서 연결되어 있기를 원하는 하이퍼커넥티드 세계에 생활하고 있다. 비즈니스 선두 기업들은 이와 같은 혁신을 가속화하기 이 모든 것을 이용하고 있으며 이를 모든 단계에서 활용해 수익을 창출하고 있다.

하이퍼 커넥티드 세계에서 기업은 기업의 주요 정보와 애플리케이션들을 온라인 상에서 운영하고 이를 위해 비즈니스를 빠르게 변화시키고 전 세계의 고객들이 보안 위협들을 극복하면서 빠른 속도로 성장하고 있는 모바일 및 클라우드 환경에 적응하도록 지원하고 있다.

이와 같은 다양한 하이퍼커넥티드 세계에서 발생할 수 있는 보안위협에 대비하며 기업 이익을 창출하고자 한다면 전 세계 분산 배치된 인텔리전트 플랫폼을 기반으로 웹 애플리케이션 분산 보안 서비스를 통해 중앙집중방식 웹 애플리케이션 방화벽의 한계를 극복하는 동시에 웹 애플리케이션에 대한 모든 보안 방안을 제공하는 솔루션 해법을 구해야 한다.

아울러, 온라인 및 모바일 뱅킹을 제공하는 금융 기관 등 보안 수준이 서비스 수준으로 직결되면서 보안에 중점을 두는 고객이 늘어남에 따라 별도로 가속화 및 최적화 서비스를 구입하지 않고도 쉽게 웹 사이트를 보호할 수 있는 솔루션을 도입·구축을 고민해야 한다.

하이퍼커넥티드 세계에서 기업이 기업고유의 비즈니스 경쟁력을 유지함과 동시에 그 기반하에 가속화나 최적화 서비스를 통해 애드-온 할 수 있는 환경을 구축하는 것이 기업생존을 위한 필수항목이다.

[글_인승진 아카마이테크놀로지스 부장(sleen@akamai.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)