세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
F5네트웍스 차세대 ‘웹방화벽’의 차별화된 기능은?
  |  입력 : 2016-02-23 09:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“HTTPS 트래픽 컨트롤과 운영 및 관리의 효율성이 중요”
원클릭 관리기능 강화, 무작위 대입 공격, 봇 탐지 기능으로 차별화


[보안뉴스 김태형] 웹방화벽은 웹 보안을 위한 주요 솔루션으로 주목받으며 사용되어 왔다. 특히 일반 네트워크 방화벽이 수행하지 못하는 부분을 커버하는데, F5네트웍스(이하 F5)는 이와 같은 웹방화벽의 기존 기능에다 지능적인 하이브리드 기능을 추가해 차별화된 F5 차세대 웹방화벽(ASM: Application Security Manager)으로 국내외 웹 보안시장을 적극 공략하고 있다.

F5의 웹방화벽은 ASM V12.0을 기준으로 차세대 웹 방화벽으로 불린다. 차세대 웹방화벽은 기능적으로 크게 2가지의 변화가 있다. HTTPS 트래픽을 원활히 컨트롤할 수 있는 기능과 웹 방화벽을 운영하는데 있어 운영자의 업무 효율성과 편의성을 더 높였다는 점이다.

원클릭으로 웹방화벽 관리기능 강화
특히 F5의 웹방화벽은 ‘원클릭으로 차세대 웹방화벽 관리기능을 강화했다. 이에 대해 F5네트웍스 신기욱 상무는 “웹방화벽 운영자의 장비관리 빈도는 다른 네트워크 장비 운영자보다 훨씬 높다. 네트워크 장비의 운영지원보다 더 많은 운영지원이 필요하다”면서 “웹방화벽은 엔지니어의 보안 스킬에 따라 보안 강도에 차이를 보인다. 제로데이 공격, 즉 아직 패턴이 알려지지 않은 공격 유형을 얼마나 효율적으로 보호하느냐가 웹방화벽에 있어서 매우 중요한 요소이며, 그에 따른 보안 관리는 더 많은 기술적 운영관리를 요구하는 특징이 있기 때문”이라고 말했다.

웹 방화벽은 여러 가지 기능으로 고객의 환경에 따라 적절하고 다양한 보안정책을 제공한다. 이에 관리적인 기능이 얼마나 쉽고 직관적인지가 중요한 요소인데, F5는 이를 해결했다는 것.

신기욱 상무는 “F5의 ASM 12.0 차세대 웹방화벽은 기존의 설정·운영관리 부분을 거의 완벽하게 하나의 판넬로 통합해 관리가 쉽고 직관적으로 GUI(Graphical User Interface)의 변화를 구현했다. 기존 고객들도 OS업그레이드를 통해서 이와 같은 12.0으로 운영이 가능하다”고 덧붙였다.

F5는 고객들의 요구를 적극 수용해 원클릭 정책 적용 솔루션과 원클릭 컨피그레이션 판넬을 통해 고객들이 더 직관적으로 보안공격을 한눈에 확인하고 그 정보를 바로 방어정책 또는 허용 정책으로 전환할 수 있도록 했다. 또 정책적인 오류가 있을 경우, 사용자에게 제공되는 ‘서포트 아이디’ 정보검색을 통해 즉각적인 확인이 가능하고, 웹방화벽이 현재 사용 중인 정책과 과거의 정책간의 비교를 통해 어떤 부분들을 수정했는지 알 수 있으며, 이를 서로 비교해서 바로 수정할 수 있다는 점도 특징이다.


HTTPS 2.0 표준화 트래픽 처리
F5 차세대 웹방화벽의 또 하나 차별화된 기능은 HTTP 2.0의 표준화 SSL트래픽 처리가 가능하다는 것이다. 이처럼 SSL 처리가 가능하기 때문에 HTTP 2.0에 최적화된 웹방화벽이라고 할 수 있다.

이에 대해 신 상무는 “보안을 강화한 SSL 트래픽의 처리는 타사의 웹방화벽에서도 기술적으로는 탑재가 가능하다. 하지만 그 처리 과정에서의 성능과 속도가 문제가 될 수 있다”면서
“웹방화벽은 성능과 속도가 중요한데 과거의 웹방화벽의 경우, 소프트웨어 방식으로 SSL 트래픽을 처리하다 보니 저성능 및 속도가 느려지는 경우가 많다. 과거의 웹방화벽의 경우, SSL 트래픽의 증가될 부분을 크게 고려하지 않고 아키텍쳐를 설계했기 때문에 비록 현재 SSL 트래픽 처리가 가능하도록 기능을 추가했어도 웹방화벽의 성능과 속도는 느려질 수 밖에 없다”고 설명했다.

이어서 그는 “이렇게 속도가 느려지면 웹방화벽은 제 기능을 발휘할 수 없다” 면서 “SSL 트래픽 처리에 있어서 F5는 고객이 수용하는 범위 안에서 딜레이가 생기지 않는 속도를 유지한다”고 덧붙였다.

또한 SSL의 암호 알고리즘은 ‘ECC’와 ‘RSA’, 두 가지가 사용되는데 아직까지 대부분은 ‘RSA’방식’을 사용하고 있다. 하지만 RSA의 암호 알고리즘은 수퍼컴퓨팅을 통해서 분석이 가능하다는 취약성이 있어서 최근에는 더 강력한 암호 알고리즘인 ECC를 사용하는 고객들이 늘어나고 있다.

신 상무는 “최근에는 복호화 키가 있어도 저장된 데이터를 풀지 못하는 강력한 기능 및 RSA보다 더 빠른 접속이 가능한 ECC 암호 알고리즘이 점점 더 많이 사용되고 있는 추세다. ECC를 사용하는 SSL트래픽의 경우에는 보다 더 높은 SSL을 처리할수 있는 웹방화벽의 성능이 더 필요하게 된다”면서 “F5의 차세대 웹방화벽은 고객이 어떤 암호 알고리즘을 사용해도 이에 따른 성능이나 속도의 저하가 없다는 점이 특징이라고 할 수 있다”고 강조했다.

‘무작위 대입(Brute Force)’ 공격 방어 기능
최근의 보안 위협 중에서 고객들은 ‘무작위 대입(Brute Force) 공격’에 대한 방어기능도 요구하고 있다. 웹 공격에서 웹방화벽의 역할은 웹을 안전하게 운영하는 것이지만, 권한 및 인증을 받은 사용자의 접속을 통해 보여지는 웹 페이지에 대한 보안도 매우 중요하다. 공격자들은 게임·금융계정 탈취 등을 통해 정상적인 로그인 과정을 거쳐 게임 아이템이나 금융자산을 탈취할 수 있기 때문이다. F5의 차세대 웹방화벽은 이와 같은 ‘Brute Force’ 공격을 차단하는 기능을 강화했다.

신기욱 상무는 “고객들은 이러한 공격들을 정말 막을 수 있는지 의문을 표한다. 무작위 대입 공격은 사람이 할 수도 있고 프로그램을 이용해서 가능하다. 소스 IP를 변경하면서 진행하는 무작위 대입 공격은 방어하기가 어렵고, 소스 IP를 바꾸지 않고 진행하는 무작위 대입 공격은 방어하기가 쉽지만 몇가지 문제를 가지고 있다”고 말했다.

대부분의 기존 무작위 대입 공격의 방어기법은 소스 IP를 바꾸지 않고 진행하는 무작위 대입 공격에 대해 지정된 시간동안 지정한 패스워드 입력 실패 횟수를 기반으로 공격을 판단하고 해당되는 소스 IP를 차단하는 방식이다. 이러한 소스 IP 기반의 방어는, 공유기 및 NAT를 사용해 다수의 접속자가 하나의 공인 IP를 공유해서 사용하는 상황에서는 방어 기능이 작동될 경우 정상적인 접속자도 함께 차단되는 문제가 발생되고, 만약에 소스 IP를 변경하면서 공격할 경우에는 방어하기가 어렵다는 것.

이에 F5의 차세대 방화벽은 세션 기반으로 방어를 하게 한다. 이는 실제 통신을 하는 세션을 방어하는 것이며, 실제적인 무작위 대입 공격의 방어가 된다. 현재의 인터넷 환경에서 이러한 공격 방어가 필요하다는 것이다.

봇넷 탐지 및 차단
웹 보안 위협 중에서 악의적인 공격자가 웹에 침투하거나 취약성 분석 후, 공격 수행을 목적으로 사용하는 여러가지 툴, 악의적인 목적으로 웹시스템에 연속적인 자동접속을 시도하여 웹시스템의 응답속도를 느리게 하거나 DoS를 발생시키는 자동 접속툴을 봇이라고 한다. 본래 봇은 웹사이트에 접속해서 정보를 가져가는 프로그램 자체로 악의적 봇과 선의적 봇으로 구분될 수 있다. 선의적인 봇의 예는 구글이나 네이버, 카카오 등에서 사용하는 검색엔진이 이에 해당되고, 앞서 언급한 내용은 악의적인 봇으로 의도적으로 정보를 가져가거나 시스템에 성능 저하를 일으키는 봇을 말한다.

이에 대해 신 상무는 “선의적인 봇과 일반 사용자의 정상적인 접속은 허용하고 악의적인 프로그램(봇)에 의한 접속만 선택적으로 차단하는 지능적인 봇 탐지 및 차단 기술은 보다 높은 웹방화벽 기술을 요구하고 있다”며, “F5의 차세대 웹방화벽은 사용자에 의한 봇인지 아닌지, 즉 사용자의 패턴을 구분하는 지능화된 기능을 제공한다”고 말했다.

이는 ‘핑거프린팅 브라우저 행동 패턴’을 기반으로 한 봇 탐지 방식으로, 신 상무는 “브라우저의 행동 패턴을 해쉬값으로 저장해 놓고 이를 기반으로 한 차단과 허용을 하는 방식으로, Rate Limiting 또는 HTTP 쿠키 리다이렉트(Cookie Redirect) 방식의 방어 기법으로는 방어할 수 없었던 지능화된 봇에 대해서도 탐지 및 방어를 수행할 수 있는 지능화 된 봇넷 탐지 기능”이라고 강조했다.

이 외에도 F5의 차세대 웹방화벽은 신용카드 번호 뿐만 아니라, 주민등록 번호에 대해서도 오탐없는 데이타 유출 방지 기능, 웹방화벽의 DB정보를 기반으로 차단하는 ‘IP 인텔리전스 기능’ ‘강화된 CSRF 공격 방어’ ‘Custom Signature 등록 기능’, ‘말웨어 탐지 기능’, ‘웹페이지 피싱 탐지 기능’ 등을 제공한다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)