제 3 부 웹애플리케이션 보안 기술 동향

홈 > 뉴스 > 테크가이드 > 보안

제 3 부 웹애플리케이션 보안 기술 동향

웹 애플리케이션 보안

2004년 11월 17일 00:00:00

장윤정 기자

버퍼 오버플로우·세션 하이재킹 등 웹 해킹 방어 ‘시급’ … 웹 전용 보안으로 안전한 웹 서비스 구현

“자사에 맞는 웹 보안을 준비하라”

사람과 사람, 사람과 사회를 이어주는 커뮤니케이션… 어떤 광고의 카피로 기억되는 이 말은 웹을 설명하는데 있어서 매우 적합한 표현이다. 인터넷 환경에서 가장 큰 부분을 차지하고 있는 웹, 과연 우리는 얼마만큼 실생활에서 웹을 사용하고 있을까? 우리 생활의 일부로 성큼 다가와 있는 웹 서비스를 안전하게 사용할 수 있는 방안을 알아보자. <편집자>

오전 9시 회사에 출근하는 즉시 컴퓨터를 켠다. 브라우저를 통해 본사 그룹웨어에 접속하고 중요 일정과 공지사항을 체크하고 나면 잠시 인터넷 신문을 살펴보거나, 포털 사이트의 정리된 신문기사 및 포털 사이트에서 사용중인 메일을 확인한다. 특히 인터넷에 관련된 분야를 맡고 있다 보니 여러 사이트를 방문해 다양한 정보를 살펴보거나 타 제품정보를 확인하게 된다.
아울러 파트너의 요청으로 큰 파일을 보내줘야 하는 경우, 브라우저를 열어 인터넷의 웹 디스크에 파일을 올려놓아 파트너가 이를 간단히 내려 받을 수 있도록 한다. 이만하면 웹이 실생활이나 업무에 차지하는 비중이 만만치 않다고 이야기 할 수 있을 것이다.
그렇지만 초기에 인터넷이 보급되던 시기, 즉 1990년대 중 후반에는 기업의 업무상 웹이 차지하는 비중 및 중요성은 그리 크지 않았다. 정보를 주고받는 방법은 굳이 HTTP를 사용하지 않고 다른 프로토콜을 사용하면 비슷한 수준의 서비스를 받는 것이 가능했고 수용자의 입장에서도 웹을 단순한 홍보 수단으로 판단했기 때문이다. 단 1990년대 말 웹 환경의 혁명이 일어나기 전까지는 말이다.

웹 환경의 변화
TCP/IP의 영역에 존재하는 무수한 프로토콜에서 인간과 인간을 이어주는 역할을 하는 프로토콜과 해당 서비스는 무수히 존재한다. 가깝게는 화상연결에서 P2P 프로그램에 이르기까지 다양한 형태를 띠고 있다. 그러나 HTTP 만큼 쉽게 사용가능하고, 가능하다면 웹 기반에 타 서비스를 수용해 많은 종류의 서비스를 하나의 인터페이스에서 제공하는, 그래서 모든 인터넷 사용자에게 가장 친숙한 것도 없다고 생각한다.
굳이 IDC에서 내놓은 자료를 인용할 필요 없이 우리는 웹을 통해 은행거래를 하고 필요한 물품을 주문한다. 자신만의 미니홈피를 만들어 자신만의 세계를 구축하는데 있어서도 웹을 반드시 사용해야만 한다.

웹 보안 무엇인가?
초기 인터넷을 구성할 때, 보안은 그리 중요한 고려사항이 아니었다. 인터넷은 기본적으로 개방성과 쌍방향성 그리고 손쉬운 연결성을 염두에 두었기 때문이다. 그러나 인터넷에 연결되는 네트워크가 증가함에 따라서 인터넷 보안은 심각한 문제가 되기 시작했으며, 이에 다양한 형태의 네트워크 및 시스템 보안 솔루션이 선보이게 됐다. 물론 이러한 보안솔루션으로 인해 웹 또한 보호받을 수 있게 됐다. 그러나 이러한 해결책은 오래가지 않아 웹 자산과 서비스가 고도화됨에 따라서 별도의 보안을 필요로 하는 상황에 이르게 됐다.

웹 보안이라는 단어는 보안에 관심이 있는 사람들에게도 다소 생소한 개념이라 판단된다. 간단히 말하면, 기존 웹과 관련된 모든 자산, 클라이언트, 웹 서버, 웹과 관련된 후위 시스템(DB 서버) 등을 유기적으로 보호하는 솔루션이라면 무리가 없을 듯 하다. 그렇다면 어떤 방법들이 존재할까?

1) 네트워크 레벨 보안
초기 방식으로 네트워크 레벨에서 IP 주소 및 서비스 포트를 기준으로 사용자의 접근을 허용하거나 제어
2) 웹 콘텐츠 접근제어
웹 서버를 구성하는 콘텐츠 별로 접근제어 정책을 설정해 일반 사용자에게는 누출돼서는 안될 내용을 보호
3) 패치 업데이트
웹 서버의 운영체제 및 애플리케이션에 존재하는 취약점을 보완하는 패치를 적용해 외부 공격으로부터 애플리케이션과 콘텐츠를 보호
4) 시그니처(Signature)
악의적인 공격 코드 등에 대한 정보를 보유한 상태에서, 이러한 코드가 발견되는 경우 차단
5) 프로토콜 어노멀리(Protocol Anomaly)
HTTP 프로토콜 준수 여부, HTTP 프로토콜의 과도한 사용, 허가되지 않은 명령 및 접속 시도 등에 대한 보안정책을 설정해 이를 위반하는 시도들에 대해 경보를 내리거나 차단

그런데 위에서 열거한 이러한 기능들이 과연 기존 보안 솔루션에서는 구현 불가능할까? 대답은 부분적으로 가능하다는 것이다. 쉽게 예를 들어보면 롤러 스케이트와 인라인 스케이트의 차이라고나 할까? 이전의 보안솔루션은 웹 환경에 맞춰 전용으로 보안 기능을 제공하지 못한다. 즉 HTTP 웜 차단 등과 같은 네트워크 레벨에서의 보안은 제공할 수 있으나 보다 높은 수준의 보안은 제공하기가 매우 어렵다. 일례로, HTTP 요청(request)이 웹 애플리케이션에서 지정하는 범위 내에서 요청하는지를 기존의 방화벽, 침입방지시스템, IDS는 제공하지 못한다.