차세대 웹방화벽, 기존 웹방화벽의 한계를 넘는다

F5네트웍스 차세대 웹방화벽, 지능적인 웹 보안 서비스 제공
SSL트래픽 처리, 어플리케이션 디도스, Brute Force 공격 대응

[보안뉴스 김태형] 기업의 IT 비즈니스에 있어서 애플리케이션은 새로운 비즈니스 창출을 위한 가장 중요한 요소이며, 가장 큰 위험요소이기도 하다. 특히, 1인 평균 사용 단말은 3.5개, 개인평균 애플리케이션 사용은 26.8개, 그리고 기업당 평균 애플리케이션 사용은 508개이며, 2016년 이전에 클라우드로의 마이그레이션은 약 65% 가량이 수행될 전망이어서 애플리케이션에 대한 보안이슈는 계속 증가하고 있다.

지난 15년간 발생한 정보유출 사고는 대부분 애플리케이션 취약점으로 인해 발생했다는 조사결과도 있듯이 오늘날의 IT보안 책임자들은 웹을 통한 보안위협과 웹 애플리케이션 보안에 대한 고민이 점점 늘어나고 있다. 특히 웹 공격의 지능화, 웹의 모바일화, 규제 강화·준수, 보안과 성능이슈, 까다로운 웹방화벽 운영, 제한된 예산 등으로 더욱 풀기 어려운 숙제가 되고 있다.

지금까지 각 기업 및 기관에서는 이와 같은 웹보안을 위해서 웹방화벽이 핵심 역할을 해왔다. 웹방화벽은 웹 서버 앞단에 위치해 정상적인 웹 트래픽은 통과시키고 비정상적인 트래픽이나 공격은 차단함으로써 안전한 웹 운영·환경을 가능케 하는 보안 시스템으로 자리잡아 왔던 것이다.

또한, 웹방화벽은 OWASP(Open Web Application Security Project) Top 10, 국가정보원의 8대 웹 취약점, 웹페이지 위·변조 등, 다양한 형태의 웹 기반 해킹 및 유해 트래픽을 실시간으로 감시·탐지하고 진단한다. 아울러 기존의 침입탐지시스템(IDS), 침입방지시스템(IPS)이 탐지할 수 없는 웹 관련 공격들을 분석하고 필터링을 통해 차단·방어하기 때문에 각 금융기관과 공공기관, 그리고 온라인 비즈니스 기업 등에서 대부분 도입해 운영하고 있다.

이처럼 웹방화벽은 이미 잘 알려진 웹 보안을 위한 솔루션으로 주목 받으며 사용되어 왔다. 특히, 일반 네트워크 방화벽이 수행하지 못하는 부분을 커버하는데, F5네트웍스(이하 F5)에서도 오래 전부터 이러한 웹방화벽을 제공하고 있다. 하지만 F5는 기존 웹방화벽 기능에다 지능적·하이브리드 기능을 추가해 차별화된 차세대 웹방화벽(ASM:Application Security Manager)으로 웹 보안시장을 적극 공략하고 있다.

F5 웹방화벽의 차별적인 기능 중에서 가장 주목받는 것은 웹프로토콜 HTTP 2.0으로의 변화에 따른 SSL 트래픽 처리가 가능하다는 것이다. 현재 표준인 HTTP 1.1을 10년 이상 사용해왔고 이제 새로운 웹 트래픽 수용이 가능한 새로운 웹프로토콜 2.0으로 트렌드가 변화하고 있다. 이렇게 되면 앞으로는 SSL로 암호화된 트래픽으로 모두 바뀌게 된다.

이에 대해 F5 신기욱 상무는 “이와 같이 트래픽이 모두 암호화되면 기존 웹방화벽들은 무용지물이 된다. F5 차세대 웹방화벽은 SSL 처리가 가능하기 때문에 HTTP 2.0에 최적화된 웹방화벽이라고 할 수 있다”면서 “이는 물론 타 웹방화벽에서도 기술적으로 탑재가 가능하나 처리나 성능의 속도가 문제가 될 수 있다. F5의 ASM 12.0 버전은 기존 F5의 고객들에게 OS 업그레이드만 하면 바로 사용할 수 있도록 했다”고 말했다.

이를 증명하듯 신 상무는 “F5는 최근 가트너의 웹방화벽 시장 트렌드 및 수행능력과 비전 평가 부문에서 수행능력에서는 가장 우수한 평가를 받았고, 비전 측면에서 2위의 평가를 받았다”면서 “가트너 매직쿼드런트의 ‘수행능력에 대한 평가’ 기준은 ‘벤더가 현재 제공할 수 있는 솔루션의 기능과 성능’을 기준으로 하는 만큼 현재 가용한 웹방화벽 솔루션 가운데서 F5 웹방화벽이 가장 높은 평점을 받은 것으로 해석될 수 있다”고 덧붙였다.

최근 고객들은 ‘무작위 대입(Brute Force) 공격’에 대한 방어기능을 요구하고 있다. 웹 공격에서 웹방화벽의 역할 중 가장 큰 부분은 웹을 안전하게 운영하는 것이다. 하지만 권한 및 인증을 받은 사용자의 접속 즉, 로그인을 통해 보여지는 웹 페이지에 대한 보안도 매우 중요하다. 공격자들은 이를 통해 게임 아이템이나 금융정보 등을 획득할 수 있기 때문이다.

신 상무는 “최근 이러한 공격이 지속적으로 발생하고 있기 때문에 관련 보안기능에 대한 사용자들의 요구가 있었고 F5의 차세대 웹방화벽은 이와 같은 ‘Brute Force’ 공격을 차단하는 기능을 강화했다”면서 “기존 웹방화벽은 이러한 기능이 없어 다른 보안 솔루션을 추가적으로 도입했다”고 설명했다.

F5의 차세대 웹방화벽이 가지고 있는 또 하나 지능적인 기능은 최근 고객들의 요구사항인 위조방지, 즉 사용자가 정상적으로 로그인해서 보는 웹 페이지 위조를 통한 사기를 방지하는 기능이다. 이는 피싱이나 파밍과 비슷하지만, 사용자가 로그인을 시도하기 전에 입력하는 사용자 정보를 웹 페이지 위조를 통해 빼내는 일명 ‘프러드(Fraud) 공격’으로 보다 더 지능적으로 정보를 빼내는 공격이라고 할 수 있다.

이에 대해 신 상무는 “F5 차세대 웹방화벽에서는 탑재된 자바스크립트가 이러한 위변조 여부나 이상징후를 분석해 관리시스템을 통해 로그 알람을 주며 로그인을 하기 전에 입력했던 중요 사용자 정보가 유출되는 것을 방지하는 서비스를 제공한다”면서 “대부분 이용자 PC에 에이전트를 설치해야 보안 시스템이 작동하는데, F5는 에이전트 없이 이와 같은 위·변조 방지 시스템이 작동하도록 구현했다. 이는 모바일 환경에서 별도 에이전트 설치 없이 웹 프러드 공격 방어가 가능하다”고 말했다.

이에 더해 F5는 디도스 공격 방어 기능을 탑재했으며 기존 디도스 장비와도 연동된다. 기존 디도스 공격의 패턴을 보면, 트래픽 폭주 형태의 공격으로 시스템에 부하를 발생시켜 서비스를 중단시키는 공격이 대부분으로, 디도스 공격 방어 장비는 대부분 이를 ISP 등의 앞단에서 차단한다.

하지만 애플리케이션 단의 디도스 공격은 슬로리스 공격(Slowloris Attack) 등과 같이 트래픽 양은 많지 않지만 시스템 쪽에 부하를 주어 서비스를 중단시키는 공격으로, 서버가 처리할 수 있는 트래픽을 지속적으로 보내 서비스 중단을 일으킬 수 있다.

▲ F5네트웍스 신기욱 상무

이에 대해 신기욱 상무는 “정확히 말하자면, 슬로리스 공격은 웹서버와 다수의 커넥션 연결 후, 각 커넥션별로 비정상 HTTP헤더(완료되지 않은 헤더)를 전송함으로써 웹 서버 단의 커넥션 자원을 고갈시키는 공격으로, 일반적인 디도스 전용 장비에서는 이를 제어하기가 어렵다”면서 “특히 지능적 공격 패턴이 많아지면서 L7레벨의 공격 패턴이 증가하고 있는데, 이에 적합한 보안 솔루션은 웹방화벽이라고 할 수 있다. 더욱이 슬로리스 공격과 같은 지능화된 공격을 차단하기 위해서는 L7 디도스 방화벽이 필요하다”고 밝혔다.

또한 그는 “F5의 애플리케이션단 디도스 방어 기능은 정상 사용자인지 비정상 사용자인지를 구분해서 서비스를 수행할 수 있는 차별화된 기능을 갖췄다. 기존의 웹방화벽은 이러한 위협에 대한 대응이 어려웠으나 F5가 고객의 요구를 받아 이와 같은 기능을 탑재했다”고 강조했다.

한편, F5는 차세대 웹방화벽을 주요 성장 비즈니스로 삼고 모든 산업분야에 대해 공격적으로 마케팅을 진행하면서 차세대 웹방화벽 시장을 확대해 나갈 방침이다. 이러한 차세대 웹방화벽은 클라우드 기반의 서비스 형태로도 제공이 가능하며, 이를 위해 F5는 전 세계적으로 자체적인 SOC(Security Operation Center)를 운용 중이다.
[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)