위험천만 웹, ‘시큐어 웹 게이트웨이’ 활용해 보다 안전하게

2014.09.11 10:49:15 / 이유지기자 yjlee@ddaily.co.kr

최근 기업과 개인을 대상으로 한 웹 기반 위협이 크게 증가하고 있다.

지난해 애플, 페이스북, 트위터 등 인터넷서비스 업체들이 해킹당해 악성코드를 배포하는 사고는 웹 공격이 시작지점이었다.

한 보안업체에 따르면, 올 상반기에 국내에서 웹사이트의 취약성을 파악한 후 이를 이용해 정보 유출을 시도하는 웹사이트의 접근제어 취약성 공격이 가장 빈번히 발생했다.

이는 최근의 웹 공격이 일시적인 웹 서비스 마비 등 단발적인 피해를 목적으로 한 공격이 아닌, 개인정보 유출과 좀비PC 양산 등 대규모 피해로 이어질 수 있는 공격 위주로 시도되고 있음을 짐작할 수 있다.

웹을 통한 공격은 방화벽, 침입방지시스템(IPS) 등 기존의 네트워크 보안 솔루션으로 차단하기 어렵다. 또 제로데이 취약점을 사용하기 때문에 엔드포인트 보안 솔루션인 백신으로도 대응하는데 한계가 있어, 기업들 사이에서 골칫거리로 여겨졌다. ‘시큐어 웹 게이트웨이’라는 전용 웹 애플리케이션 보안 솔루션이 등장한 이유이기도 하다.

점점 더 위험해지는 웹

직장에서 인터넷을 연결하는 일은 직원의 업무를 위해 필수적인 사항이다. 사실 직원뿐 아니라 고객, 파트너 등 많은 사람들에게 웹은 일상으로 자리잡고 있다. 정기적으로 웹 페이지에 접근할 뿐만 아니라 서비스로서의 소프트웨어(SaaS) 애플리케이션, 소셜 미디어 사이트까지 이용이 확대되면서 직원들이 접하게 되는 잠재적인 악성코드와 보안 위협 경로가 확장됐다.

최근에는 웹서핑만 해도 악성코드에 감염되는 ‘워터링 홀(Watering Hole)’과 ‘드라이브 바이 다운로드(Drive by Download, DBD)’ 공격이 전세계적으로 확산되고 있다.

워터링 홀 공격이란 알려지지 않은 취약점을 활용해 사용자를 노리는 공격 기법으로 제로데이 악성코드를 특정 웹사이트에 심어두고, 여기에 접속할시 악성코드가 사용자PC로 배포되는 수법을 말한다.

워터링홀 공격의 경우 악성코드 배포를 통해 궁극적으로 백도어를 설치하게 되고, 해커는 이를 통해 데이터유출이나 파괴행위를 감행할 수 있다. 스피어피싱 등으로 이뤄지던 지능형지속가능위협(APT)이 웹으로 확장됐다고 해석이 가능하다.

특히 공격자들은 제로데이 취약점을 악용해 악성코드를 웹페이지에 삽입하게 되는데, 제로데이의 특성상 이를 일반사용자가 탐지해낼 수 있는 방법은 존재하지 않는다.

실제 올해 초 한 북미지역 인권 단체 웹사이트의 소스코드에서 PC를 감염시킬 수 있는 스크립트가 뒤늦게 발견됐다. 공격자는 웹사이트 방문자들을 감염시키기 위해 인터넷 익스플로러의 제로데이 취약점을 이용한 것으로 조사됐다.

그 결과 500개의 대기업과 정부기관에 근무하는 임직원들이 이 사이트를 방문했고 대부분이 악성코드에 감염돼 막대한 피해가 발생했다.

국내에도 웹을 통한 사고가 점차 증가하고 있는 것으로 나타났다. 최근 순천향대 SCH사이버보안연구센터는 지난 3일 약 1400여건의 공인인증서가 웹을 통해 유출됐다고 발표했다.

이번 공인인증서 유출에 사용된 악성코드는 특정 사이트에 접속하면 사용자 몰래 감염되는 드라이브 바이 다운로드 수법을 통해 전파됐다.

사용자PC 내에 저장된 공인인증서 폴더를 압축해 특정 서버에서 전송하며, 호스트(Host) 파일을 변조하고 인터넷 사용자를 금융 피싱(가짜)사이트로 유도해 개인 금융정보를 빼낸다.

공인인증서와 더불어 개인 금융정보의 탈취는 금융사기 피해로 바로 이어진다. 여기서 주목할 점은 단순히 ‘웹서핑’만 했는데도 이러한 일이 발생한다는 점이다.

페이스북에 올라온 게시물의 링크를 클릭하자마자 악성코드에 감염될 수 있고, 기업에서 사용하는 웹 애플리케이션 사이트의 취약점 하나로 인해 전 직원이 악성코드에 노출이 될 수 있다.

안전한 웹사이트의 유지와 사용, 그 세가지 포인트

웹에 대한 위협이 증가하는 상황에서 이를 차단하는 가장 강력한 방법은 웹 접속 자체를 차단하는 것이다. 하지만 이러한 방법은 심각한 생산성 하락으로 연결된다.

안전한 웹사이트의 유지와 사용을 위해서는 다음과 같은 세가지의 포인트를 고민해 볼 필요가 있다.

첫 번째는 누가 사용하고 있는 지 항상 확인하는 것이다. 네트워크를 사용하고 있는 또는 웹으로 접근 중인 사용자 계정 확인만으로도 다수의 악의적인 접근 시도를 차단할 수 있다.

간단한 사용자 계정 확인은 물론 사용자 계정과 네트워크 주소와의 연결 확인 등의 절차를 통해 해당 사용자가 악의적으로 들어온 가짜 계정인지에 대한 여부가 가려질 수 있다. 그리고 사용자를 확인하고 있으면 해당 사용자가 어느 웹사이트 또는 URL을 방문했는지 알 수 있다. 이는 사고가 발생했을 경우 원인 추적에 큰 도움이 된다.

두 번째는 URL을 분류하고 필터링하는 것이다. 인터넷 세상에 존재하는 URL은 셀 수 없을 정도로 많다. 이 URL 중에는 분명히 사용자가 접근하기를 기다려 악의적인 코드를 확산시키고자 하는 의도를 가진 경우도 있으며, 어떤 URL은 업무적으로 사용하기에 부적절한 경우도 있다.

URL을 분류하고 필터링 해당 URL에 대한 접속을 차단할 수 있다면 악성코드에 대한 위험은 보다 낮아질 수 있다. 특히 필터링을 통해 웹사이트 뿐 아니라 웹 애플리케이션, 동영상 등 점점 진화하는 위협 방식에도 대응할 수 있다.

마지막으로는 새로운 보안위협에 대응할 수 있는 기술을 도입하는 것이다. 한 보안 전문업체가 발표한 2014년 보고서에 따르면 전세계적으로 시스템을 파괴하고 정보를 유출하는 악성코드가 매일 25만개 이상, 악성코드가 담긴 악성 URL도 매일 3만개 이상이 생성되고 있다

즉, 어제 파악한 위협에 대한 대응이 내일은 유효하지 않을 수도 있다는 점이다. 새롭게 탄생한 위협이 감지될 경우 실시간으로 파악하는 기능과 함께 전 세계에 해당 유형에 대한 대응방안을 전파해 확산을 막는 것이 매우 중요하다.

앞서 소개한 세가지 포인트를 모두 고려하면 시큐어 웹 게이트웨이는 안전한 웹사이트 사용에 대한 해답이 될 수 있다.

시큐어 웹 게이트웨이는 웹사이트에 접속하는 사용자에 대한 정책 기반의 제어·모니터링으로 URL/앱 필터링, 웹사이트·웹페이지 멀웨어 탐지·분석·차단, 사용자 신원확인, 외부 접속하는 HTTP/SSL 트래픽 감지 및 정책, 보안관리·리포팅 등의 기능을 제공한다. 

제대로 역할을 수행하기 위해서는 일반 웹 페이지나 애플리케이션, 서비스로서의 소프트웨어(SaaS) 애플리케이션 등 업무용 웹을 비롯해 페이스북이나 트위터와 같은 소셜미디어 사이트에 잔존하는 악성코드 위협에 대응할 수 있어야 한다. 따라서 최근 출시되는 시큐어 웹 게이트웨이는 클라우드 기반 악성코드 분석시스템 등과 연계, 보안의 구멍을 최소화하는 방식을 취하고 있다.

F5네트웍스측은 “웹 취약점 공격 등을 차단하기 위해서 기업들은 시큐어 웹 게이트웨이를 도입해 안전한 웹 애플리케이션 사용 환경을 구축해야 한다”며 “보안성 확보 이후에는 업무 생산성 향상에도 주력해야 한다. 가령 SSL VPN을 사용하고 신원 확인이 완료된 사용자에 대해서는 추가 인증 없이 업무용 웹 애플리케이션과 소셜미디어 서비스를 사용할 수 있도록 싱글사인온(SSO)을 지원하는 것도 웹 게이트웨이 서비스가 갖춰야 할 부분”이라고 강조했다.

<기획취재팀>



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
  • 동영상
  • 포토뉴스
[PLAY IT] 아이패드9 vs 아이패드미니6… [PLAY IT] 아이패드9 vs 아이패드미니6…
  • [PLAY IT] 아이패드9 vs 아이패드미니6…
  • 삼성전자, 美 고가 프로젝터 점유율 1위 등극
  • SK온, ”EV배터리 상태 직접 확인하세요“
  • LG화학, ‘제6회 대학생 광고 공모전’ 수상…