스마트폰과 SNS로 인한 모바일 웹의 폭발적인 증가, 인터넷 전자상거래와 기업의 홍보 마케팅 확대 등 2013년에도 웹 서비스가 늘어날 것으로 예상된다. 웹 서비스는 제공 대상에 따라 규모에는 차이가 있으나 대부분의 기업, 기관 등이 홈페이지로 제공한다. 이러한 웹 서비스의 특징은 웹 서버 자체가 서비스를 위한 시스템이기에 24시간 누구에게나 개방돼 있다는 것이다. 정상적인 목적을 가지고 접근하는 고객, 네티즌뿐만 아니라 악의적인 해커들에게도 항상 열려 있다는 것이다.
이로 인해 웹 서버는 오래 전부터 해커들에게 타깃이 되어왔다. 최근 국내에서 몇 년 사이에 발생한 개인정보 유출사건은 모두 웹 서버 해킹을 통해서다. 기업의 이미지 실추 및 손해배상으로 인한 금전적인 피해는 물론, 보이지 않는 비용을 감안하면 피해 규모는 무시할 수 없다. 더불어 개인정보를 도용당한 개인들의 피해까지 사회 전체적인 규모는 상당히 크다. 이에 웹 서비스를 제공하는 모든 주체는 안정적이고 정상적인 서비스 확대라는 목표와 더불어 완벽한 보안이라는 고민을 지속적으로 안고 있다.
웹 서비스를 이용하는 데 있어 본의 아니게 보안 강화로 서비스에 불편을 초래한 것도 현실이다. 대부분 보안이라면 방어(Protection)라는 측면을 생각한다. 네트워크상에서 들어오는 악의적인 공격을 막으려다 보니 보안 강화를 위해 홈페이지 게시판 서비스를 제공하지 않는 등 서비스 이용에 걸림돌이 되기도 했다. 다시 말해 웹 서비스 질을 높이고 안정적인 서비스를 하려는 웹 서비스 주체들의 본연의 목적과는 상반되는 일이 발생해온 것이다.
실제로 웹 서버에 탑재된 애플리케이션에는 현재 알려진 것만 수천가지의 취약점이 있다. 해커들은 이를 이용해 호시탐탐 웹 서버를 공격하고 있고 해킹수법도 나날이 지능화되고 발전하고 있다. 방어를 위해 업체들은 웹 서버 전용 보안솔루션인 웹 방화벽을 도입, 운영하고 있다. 웹 방화벽은 기존 네트워크 장비인 방화벽, IPS 등과는 별도로 웹 서버의 애플리케이션 취약점 공격에 대한 방어를 위한 전용 보안장비이다. 그러나 웹 방화벽으로도 지능화되고 날로 발전하는 웹 해킹에 능동적으로 대처하기에는 부족한 점이 있다. 예를 들어 패킷 암호화, 트래픽 및 보안정책 예외 처리에 대한 위험성 ,우회기법, 패킷 전수조사에 따른 과부하 등이 해결해야 할 부분이다.
보안이라는 창과 방패 논리의 연장선상으로 보면 실제로 해킹에 대한 완벽한 방어는 불가능하다는 것이 보안전문가의 의견이다. 특히 웹 서버는 서비스의 질을 높이고 안정적인 서비스를 공급하기 위해 막는 보안(Protection Security)이 아닌 안전한 서비스(Safe Service)가 대안이다. 즉 해커의 침입에 대해 방어가 아닌 조기발견으로 즉각적인 조치를 취하는 게 효율적이고 현실적인 대응이다. 이를 위해서는 네트워크 단의 웹 방화벽과 더불어 웹 시스템 내부에서 작동, 웹 서버의 애플리케이션 차원에서 통합적으로 사이버 공격을 실시간 탐지해 방어하는 솔루션이 필요하다. 이를 통해 기존에 침투한 악성코드를 검역하거나 취약점을 우회하여 침투하는 공격을 실시간 방어해 실질적으로 애플리케이션을 보호할 수 있다.
웹 보안 강화를 위해서는 웹 애플리케이션의 시큐어코딩 및 취약점 정기적인 점검도 병행해 진행해야 한다. 하지만 기존 운용 중인 웹 애플리케이션의 시큐어코딩 적용은 상황에 따라 다르다. 새로운 취약점들도 수시로 발생하는 상황에서는 계획적이고 점진적인 시큐어코딩 확대와 정기적인 취약점 점검, 웹 서버 내에서 실시간으로 악성코드를 탐지 및 방어하는 솔루션을 같이 운용하는 것이 웹 서버 해킹에 대응하는 방법일 것이다.
방윤성 유엠브이기술 대표 bangyu01@umv.co.kr
