IT 관리자 울리는 웹서버 공격
많은 기업들이 인터넷에서 서비스를 제공할 때 가장 중요하게 생각하는 것은 보안을 강화하면서 동시에 사용자에게 빠르게 웹 상의 콘텐츠 전달하는 성능(Performance)을 유지하는 방안이다. 이 고민거리는 자체적으로 IDC에 웹서버를 구축 운영하던 인터넷 서비스 초창기 부터 클라우드에 웹서버를 구축 운영하는 현재까지도 여전히 보안담당자와 인프라 담당자를 괴롭히고 있다.
사실 가장 완벽한 보안은 외부 접속을 완전히 차단하는 것인데 웹서버는 인터넷을 통해서 서비스를 제공하는 접점이라 외부로부터 접속이 반드시 필요하다. 이런 이유로 주된 공격 대상이기도 하다. 가장 단순하고 효과적인 웹서버 공격은 DDoS공격이다. 웹사이트를 다운시키고 비즈니스를 중단시키며 서버, 네트워크 리소스를 고갈시키는 DDoS 공격은 이미 국내에서도 크고 작은 피해가 꾸준하게 발생하고 있다. DDoS공격은 데이터 또는 시스템 유출을 교묘하게 은폐하기도 한다.
2017년 4분기 아카마이 인터넷 보안 현황 보고서에 따르면 지난 2017년 4분기 전세계 디도스(DDoS) 공격은 4,364건 발생해 2016년 같은 기간에 비해 14% 증가했으며 전체 디도스 공격의 79%가 게임업계를 대상으로 이뤄졌다고 한다. 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(33%), DNS(19%), CLDAP(10%) 순으로 나타났다고 한다.
또 다른 웹서버 공격은 웹 애플리케이션 공격으로 애플리케이션 취약점을 표적으로 삼아 데이터를 유출하거나 시스템을 감염시킨다. 웹 애플리케이션 공격은 DDoS 공격보다 훨씬 더 일반적으로 발생하며 공격자들은 인터넷을 스캔하여 취약한 웹사이트를 찾고 있다. 2017년 4분기 아카마이 인터넷 보안 현황 보고서에 따르면 웹 애플리케이션 공격 건수도 작년 동기 대비 10% 증가했으며 SQLi, LFI, XSS가 전체 웹 애플리케이션 공격 기법의 약 94%를 차지했다고 한다.
그럼 공격자들의 목표는 무엇일까? 아카마이에 따르면 공격자들의 가장 큰 목적은 금전적인 이득이라고 한다. 최근 들어 랜섬웨어를 이용한 공격이 증가하는 것도 직접적으로 수익을 얻을 수 있어 공격자들이 선호하고 있으며, 암호 화폐 마이닝을 위한 좀비PC 혹은 서버를 확보하기 위한 공격을 하고 있다.
많은 기업들은 사이버 공격 대비를 위해 DDoS와 웹애플리케이션에 대한 방어 체계를 구축 하고 있다. 그런데 최근에는 이러한 방어 체계를 뛰어넘는 진화된 공격으로 서비스 중단 사태를 종종 겪는다. 그러므로 이제는 DDoS 공격 규모와 관계 없이 근본적으로 방어할 수 있는 솔루션이 절실해졌다.
웹애플리케이션에 대한 방어는 애플리케이션 취약점을 표적으로 삼고 있어 알려진 모든 취약점에 대한 공격을 모니터링 할 수 있는 정책을 설정하면 한층 강력한 방어 체계를 구축할 수 있다. 하지만 많은 기업들이 그렇게 하지 못하고 있는 이유는 모든 웹트래픽을 모닝터링 하면 그만큼 속도가 느려지기 때문이다. 역시 용량에 대한 한계가 있는 방어 체계가 구축 되어 있기 때문이다. 많은 기업들이 갑자기 트래픽이 늘어나면 웹어플리케이션 공격에 대한 모니터링을 강화하기 보다는 약화시킨다고 한다. 웹애플리케이션에 대한 정책을 강화할 수록 속도가 느려지기 때문에 위험을 감수하고라도 속도를 희생하려 하지 않는다고 한다. 만약 보안 때문에 쇼핑몰에서 대박 찬스를 놓쳤다고 하면 보안 담당자는 정말 고민이 많아 질 것이다.
클라우드 보안강화와 성능 유지, 두 마리 토끼잡는 아카마이 WAF
보안 강화와 성능 유지는 서로 상충되므로 IT 관리자에게는 고민거리이자 당면한 과제이다. 이 문제의 해결사로 아카마이가 나섰다. 아카마이는 CDN(컨텐츠 딜리버리 네트워크) 개념을 최초로 만든 회사로 전세계 CDN시장 점유율 1위이다. 아카마이 CDN은 아카마이 클라우드 서비스에서 제공되며 전세계적으로 약 24만대 이상의 클라우드 서버를 운영하고 있다.
아카마이는 모든 클라우드 서버에 WAF(Web Application Firewall)을 탑재하여 운영하고 있다. 아카마이 서비스를 사용하게 되면 전세계 24만대 이상의 웹서버를 통해 기업이 원하는 서비스가 제공 된다. 이와 함께 24만대의 서버에서 WAF도 함께 작동해 공격 모니터링도 이루어진다. 만약 IDC가 24만대의 WAP를 운영할 수 있다면 아마 모든 트래픽에 대한 상세한 모니터링과 서비스 성능에도 영향을 받지 않겠지만 현실 불가능하다. 그러나 아카마이 서비스를 이용하면 직접 24만대를 직접 운영하는 것과 동일한 효과를 얻을 수 있다.
WAF(Web Application Firewall)을 기업 서비스에 맞게 제대로 적용하려면 정책을 세밀하게 조정하여 적용하고 지속적으로 보안 관련 위협을 확인해 새로운 정책을 만드는 시간, 예산 그리고 전문적인 보안 인력이 필요로 하지만 이런 환경을 갖춘 기업들은 많지 않다. 바로 이런 때 아카마이 WAP 서비스가 기업의 어려움을 해결한다. 고객은 관리자 포탈에서 직접 셀프서비스로 전문 보안 인력들이 만들어 놓은 정책을 선택적으로 적용할 수 있으며 적용된 정책들에 대한 업데이트는 자동으로 진행된다.
현재 전세계 인터넷 트래픽의 약 30%가 아카마이 플랫폼으로 사용자들에게 제공돼 아카마이는 모든 산업 분야에 걸쳐 정상 트래픽과 악성 트래픽에 대한 가장 많은 데이터를 확보하고 있다. 이런 데이터를 시큐리티 인텔리전스 빅데이터(Security Intelligence Big Data)분석으로 악성 트래픽을 차단 하고 정상 트래픽을 원활하게 통과 시킬 수 있는 정책을 작성한다. 아카마이 WAP서비스는 아카마이 클라우드 플랫폼위에서 만들어져 기본적인 캐싱 및 인터넷 경로상의 가속 서비스로 웹사이트에 대한 성능 개선 효과도 동시에 맛 볼 수 있다. 또한 WAP는 애플리케이션 새로운 보안 정책을 자동으로 설정에 추가하고 기존 정책을 업데이트한다.
정책 적용은 아래와 같이 위저드 방식으로 쉽게 설정 할 수 있다.
기본 정책 외에도 아래와 같이 고객이 정책을 별도로 쉽게 설정할 수 있다.
WAP의 주요 기능은 다음과 같다.
① Web 서비스 보안 기능
• Protection from Application Layer DDoS attacks : DDOS 공격 방어
• IP/Geo Blocking : IP 혹은 지역단위의 액세스 컨트롤 지원
• Rate Controls : 웹서버에 전달 되는 Request 기반의 대한 트래픽 제어
• Network Layer Controls : HTTP/S 이외의 트래픽에 대한 자동 방어
• New rule set updates : 사용자 간섭 없는 자동화된 보안 Update 지원
② Web 서비스 성능 지원
• 아카마이의 Dynamic Site Accelerator 주요 기능 기본 제공 (웹서버 부하 감소 및 속도 개선)
• SureRoute 기능으로 최적의 네트워크로 접근 유도 (최적에 BGP경로 할당으로 글로벌 속도 개선)
③ Web 방화벽 기능
• SQL Injection, Cross-Site Scripting, Local File Inclusion, Remote File Inclusion
• Commend Injection, Web DoS Attack 에 대한 정책 지원
• Rule Group Scoring 기반 오탐 최소화 룰 적용
• 예외 처리 기능으로 오탐에 대응 정상 서비스 구분
④ DDoS 방어
• 아카마이 플랫폼은 Port 80/443(HTTP/HTTPS) 만을 외부에 연결을 허용하고 80/443외의 DDoS 공격은 자동으로 차단
• WAP는 아카마이 인텔리전트 플랫폼상에서 동작. 공격자 가까이에서 위협적인 어플리케이션 단의 공격 및 네트워크 트래픽을 차단
• UDP Fragments, ICMP Floods, SYN Floods, ACK Floods, RESET Floods, UDP Floods
⑤ Rate Control 기능
• 지정된 요청 수 또는 대역폭의 이상의 요청을 발생시키는 client IP, client IP + Agent, SessionID, X-Forwarded-For 에 대해 허용, 알람, 또는 차단 (NAT 사용자 및 실사용자 구분 가능)
• Burst Threshold – 5초 동안의 요청에 대한 Control
• Average Threshold – 2분 동안의 요청에 대한 Control
• 오탐 최소화를 위해 Burst/Average 조합하여 작동
• Request type – client request, client response, forward request, forward response
• IP/CIDRs, 도메인, 경로, 확장자, HTTP method, HTTP user agent, HTTP request header, HTTP Query parameter, HTTP POST Parameter, Cookie 등 조건 기능
⑥ 모니터링 기능
- 보안 정책에 따른 Event에 따른 위험 수준별 Alert 메일 발송 기능
• Rules Triggered, Requests Warned, Requests Denied
- 보안관련 데이터 확인 및 필터 기능으로 정탐과 오탐 실시간 구분 가능
• Date / Time, Client IP, Geographic location, URL, Method, Status Code 등
• Sample Raw Data를 통해 Detect된 보안룰과 문자열로 Attack 분석 가능
• IPs, GEO NetworkList 차단 원클릭 프로덕션 배포
이상과 같이 클라우드 보안을 강화하고 성능 유지하기 위한 최적의 방안으로 국내의 많은 기업들이 아카마이의 접근 방식을 이해하고 적용해가고 있다.
전자신문인터넷은 오는 5월 17일 오후 2시부터 3시까지 ‘클라우드 성능과 보안, 두 마리 토끼를 한번에 잡기’ 온라인 세미나를 무료로 개최한다. 이 세미나에서는 인터넷 상의 콘텐츠를 전달할 때 왜 웹 성능과 웹 보안 두 개의 성과지표(KPI)가 모두 중요한지 상황별 설명과 함께 이를 극복하기 위한 아카마이의 다양한 기술이 소개된다.
온라인 세미나 참석을 원한다면 전자신문 웹비나 전문방송 allshow TV ‘클라우드 보안과 성능, 한 번에 두 마리 토끼를 잡자’ 신청페이지에 등록하면 된다.
이향선기자 hyangseon.lee@etnews.com