2024-03-29 16:40 (금)
아카마이 백용기 상무 "진화하는 웹 공격, 선제대응만이 답이다"
상태바
아카마이 백용기 상무 "진화하는 웹 공격, 선제대응만이 답이다"
  • 길민권 기자
  • 승인 2018.10.28 15:48
이 기사를 공유합니다

"엣지단 클라우드 보안 방식, 장단점 보다 오픈된 자세로 검토할 필요있다"

▲ 데일리시큐 주최 PASCON 2018에서 '사이버보안, 선제대응만이 답이다'란 주제로 강연을 진행하고 있는 백용기 아카마이 코리아 상무.
▲ 데일리시큐 주최 PASCON 2018에서 '사이버보안, 선제대응만이 답이다'란 주제로 강연을 진행하고 있는 백용기 아카마이 코리아 상무.
아카마이 테크놀로지 코리아(대표 손부한) 백용기 상무는 '사이버보안, 선제대응만이 답이다'란 주제로 10월 25일 개최된 PASCON 2018에서 강연을 진행했다.

보안 담당자의 입장에서 보안성 강화를 위해서 엔드포인트부터 네트워크 및 서버단까지 지속적으로 취약점 등의 보안홀이 발생치 않도록 관리를 하고 있다. 어느 한부분도 소홀할 수 없는 영역이다. 공격자 입장에서는 '보안의 가장 약한 연결 고리'를 끊임없이 찾고 있는데, 웹보안은 오랫동안 공격의 형태와 난이도를 달리 하면서 지속적으로 공격방식이 양과 질적인 측면에서 진화하고 있는 보안 영역이다. 웹보안의 선제대응을 위해서 현재 간과하는 부분, 주목해야 할 부분과 보안상의 문제점을 살펴보고 대응책을 논하는 시간이었다.

웹서비스의 가용성 보장은 기업의 사업 영속성과 직결되는 중요한 핵심요소다. 따라서 웹 공격방식이 진화함에 따라 방어방식도 한층 더 견고하게 준비되어야 한다.

웹서비스 보안 영역은 첫째, DNS보안 둘째, 웹애플리케이션 보안 셋째, 데이터센터 보안 분야로 크게 3가지로 구분된다. 백용기 상무는 이 세가지 보안영역의 현황과 문제점을 다음과 같이 진단했다.

첫번째로 DNS보안은 위에서 언급한 “보안의 가장 약한 연결 고리”의 대표적인 예이다. 2003년 최초 발생된 웹공격은 국내 통신사(ISP)의 DNS를 타깃으로 하였다. 당시 보안측면에서는 거의 무방비의 DNS서비스를 쉽게 무력화하여 큰 피해를 입힌 바 있다. 그 후 2014년 다수의 DNS공격 및 최근은 2017년 글로벌 DNS서비스 공급업체인 Dyn사의 서비스가 중단되는 초유의 사태가 발생했다.

국내에도 크고 작은 DNS관리의 취약함으로 인해 기업 이미지에 손상을 받은 여러 보안 사고들이 있었다. 공격자 입장에서는 가장 적은 노력으로 큰 피해를 입힐 수 있는 공격방법을 선호한다. 따라서 DNS보안은 보안담당자가 지속적으로 서비스 가용성에 대한 문제의식을 가져야 할 분야이다. 대부분 자체적으로 소규모로 운영하거나 외부 업체에 아웃소싱 형태로 관리를 위임하게 되는데 SLA상에 100% 가용성을 보장하는 보안벤더는 아카마이가 유일하다. 따라서 비지니스 영속성 측면에서 자사의 DNS보안은 양과 질적인 공격에 얼마나 대응이 가능한지 우선적으로 확인하고 그에 따른 대응전략이 필요하다.

둘째로, 웹애플리케이션 보안영역은 웹애플리케이션 방화벽(WAF)에 의존해 운영되어 왔다. 2005년부터 그 필요성이 대두되어 2008년부터 컴플라이언스 대응 항목으로 확대시행되었다. 하지만 웹방화벽 도입 후 발생되는 오탐/미탐 및 성능문제로 인해 상시적용이 어려워 피크 트래픽에서는 미러링이나 바이패스 모드로 운영되는 보안에서는 가장 치명적인 상황으로 방어가 아닌 사후 분석용으로 전락하게 되었다. 최근에 증가하는 웹공격과 개인정보 유출사고로 인해 기업의 책임문제가 발생했기에 기업은 웹방화벽의 역할을 제대로 수행할 수 있도록 관심을 갖고 개선책을 모색하게 되었다. 차세대 방화벽 등의 고가 장비를 통해 해결점을 찾고자 하나, 성능문제는 증가하는 트래픽상황에서는 여전히 이슈로 남아 있다. 최근에는 방화벽 앞단에 전진배치되어 웹보안 필터링 기능을 수행하는 클라우드 환경의 서비스형 웹방화벽이 글로벌하게 주목을 받고 있다.

셋째, 데이터센터 보안영역으로 IDC에 입주한 기업도 동일하게 인프라에 대한 가용성 보장이 필요하다. 인프라 공격으로 가장 많이 사용되는 방법이 디도스(DDoS)공격이다. 2009년 7.7대란으로 불리는 대규모 디도스 공격으로 인해 정부, 포털, 미디어, 금융권이 큰 피해를 받은 바 있다. 그 이후 정부 및 금융권 차원의 대책마련 및 디도스 방어 장비를 갖추게 되었다. 하지만 봇넷의 출현으로 인해 2015년부터 100Gbps 이상의 디도스 공격이 나타났고, 2017년에는 1.35 Tbps의 테라급 디도스가 발생함으로 20~40Gbps의 제한적인 장비 방어 용량과 통신사(ISP)의 디도스 공격 수용 용량의 한계로 인해 대규모 디도스 방어에 대한 관심이 급증하게 되었다. 국내에서는 100Gbps 이상의 대용량 디도스 공격이 발생된 바는 없기에 많은 기업들이 위 두개 방식을 선호하는 것도 현실이다.

하지만 최근 IoT디바이스를 악용한 미라이 변종 봇넷이나 50만 배로 공격 트래픽 증폭이 가능해진 맴케시드(Memcached) UDP증폭 공격방식에 대한 현실적인 대응책 마련이 필요하다. 기업 입장에서는 기존에 투자한 디도스 방어장비를 활용하고자 하나 테라급이 아닌 수백기가급의 대용량 디도스공격을 방어하기에도 현실적으로는 불가능한 상황이다.

웹보안 방어측면에서 위 세가지는 기본적으로 고려해야 할 중요 영역이며, 선제 방어를 위해서 다음 몇가지를 제안한다. 우선 DNS와 디도스공격방어는 밀접하게 연관되기에 함께 생각해 보겠다. DNS보안 영역이 가장 간과되고 있기에 가장 단시간에 보완이 필요하다. DNS를 위협하는 가장 대표적인 공격방식은 디도스 공격이다. 미국 최대규모의 DNS서비스 업체인 Dyn사도 테라급의 디도스로 인해 주요 고객사였던 트위터, 아마존, 깃허브, CNN, 뉴욕타임즈 등 1,200개 이상의 도메인에 서비스 장애가 발생해 사용자들이 원하는 서비스에 접속하지 못했다. 따라서 대용량 디도스 공격에 대한 대응 전략은 반드시 필요하다는 것을 말해준다.

디도스공격을 선제적으로 방어하기 위해서는 에지(Edge)단에서 공격을 감지해 차단하거나 대용량 디도스 트래픽을 흡수해 처리하는 방식이 필요하다. 즉 기업 독자적으로 장비를 통한 방어는 이미 공격성 트래픽이 데이터센터나 DNS서비스단에 도달한 상태이기에 네트워크 마비가 우선적으로 발생하게 되고 비정상 요청 서비스에 대한 처리 및 응답으로 인해 내부 컴퓨팅자원이 고갈되는 상황으로 악화되게 된다.

리버스 프락시(Reverse Proxy) 방식의 도메인 및 트래픽 운영를 통해 기업은 공격 트래픽이 중요 인프라에 도달하기 전에 에지단에서 처리가 가능하게 된다. 특히나 가공할 만한 글로벌 봇넷 트래픽의 공격에는 이와 같은 에지(Edge)단의 공격 방어가 필수적이다. 이와 같은 클라우드 웹보안이 통신사에서 제공하는 방식과 다른 점은 글로벌하게 발생되는 공격 트래픽 중 정상사용자의 트래픽 접속은 허용을 하면서 서비스를 제공한다는 점이다. 즉 디도스로 인해 국가단위의 접속 폐쇄라는 극단적인 방법을 취하지 않고 선별적으로 서비스 접속이 가능하다. 이는 온라인 트랜잭션이 매출과 직결되는 기업일수록 그 가치는 더욱 더 크다고 할 수 있다.

현명한 보안 투자를 통해 운영의 효율성과 5년 이상의 장기적인 투자대비 효과는 더욱 뚜렷히 나타나게 된다. 따라서 TCO(Total Cost of Ownership)측면에서도 투자비(Capex)를 운영비(Opex)로 전환하는 효과가 발생되며, 투자된 보안장비를 적극 활용하되 장비 교체 및 증설 시기에 맞추어 중복투자가 발생치 않도록 방어 전략을 개선할 필요가 있다.

웹애플리케이션 보안 영역에서는 제로데이 취약점에 대한 대응이 가장 중요한 고려요소이다. 기존의 시그니처 방식으로는 대응이 불가하기에 머신러닝 및 AI기술 등의 행위분석 형태로 대응 가능하다고 하지만 오탐이란 복병이 숙제이며, 단기간에 개선될 여지는 없어 보인다.

AK-2.jpg
백용기 상무는 "축적된 보안 경험과 실시간적으로 글로벌하게 발생되는 다양한 취약점에 대한 실시간 적용 및 사전에 확인된 취약점에 대한 패치 작업이 선제적으로 이루어지는 노력이 더해질때 그 피해는 줄일 수 있다"며 "이럴 경우 보안 담당자들은 끊임없이 취약점 분석을 통해 자사 장비에 패치하는 작업이 지속적으로 이루어져야 하는데 이 또한 현실적으로 쉽지 않다. 따라서 클라우드 웹방화벽 서비스를 통해 문제 해결이 가능하다. 전진배치된 에지(Edge)단 웹방화벽에서는 기존의 시그니처, 최신 탐지 행위분석, 이상 점수(Anomaly Scoring) 및 평판 점수를 함께 고려한 패킷에 대한 분석이 이루어질 때 오탐 및 미탐을 줄이고 비정상적인 트래픽에 대한 통제가 가능해진다"고 설명했다.

또 "악성 행위를 목적으로 하는 비정상적인 트래픽을 발생 원천지에서 선제적으로 차단하며, 정상사용자에 대해서는 100% 웹서비스 가용성을 제공하고 사용자들의 만족감을 높이기 위해서는 기존의 보안 운영방식에 변화가 필요하며 미국, 유럽 및 일본 등에서 도입한 엣지단 클라우드 보안 방식에 대한 장단점을 보다 오픈된 자세로 검토함이 필요하다"고 강조했다.

백용기 아카마이 코리아 상무의 PASCON 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

한편 아카마이 △'패스트DNS(FastDNS)'는 전세계적으로 분산되어 있는 수백 개의 PoP(Point of Presence:네트워크 거점)와 수천 개의 DNS 서버를 통해 높은 DNS 가용성을 유지한다. Fast DNS는 서비스 수준 협약(Service Level Agreement)을 통해 100% 가용성을 보장한다. 또 DNSSec을 통해 DNS 위조 및 변조를 차단해 속도와 안정성이 높은 DNS 레졸루션을 제공해 항상 원활하게 웹사이트와 애플리케이션 서버에 접속할 수 있다.

△'KSD(Kona Site Defender)'는 전세계적으로 분산된 아카마이 인텔리전스 플랫폼(Akamai Intelligent Platform)을 활용해 대규모 DDoS 및 웹 애플리케이션 공격이 발생해도 공격 규모에 맞게 자동으로 확장되기에 안전하게 방어한다. 데이터 센터가 아닌 네트워크의 엣지에 배포되므로 공격을 받는 중에도 오리진 서버의 성능이나 가용성 저하 없이 의심스러운 트래픽을 탐지하고 방어할 수 있다. WAF 보안 룰은 아카마이의 위협 인텔리전스 팀이 주기적으로 세부 설정하므로 알려진 공격을 방어하고 새로 등장하는 제로데이 공격에 대처할 수 있기에, 값비싼 온프레미스 하드웨어에 투자할 필요가 없어 비용을 최소화할 수 있다.

△'클라이언트 인텔리젼스(Client Intelligence)'는 CSI(Cloud Security Intelligence)플랫폼을 기반으로 매일 글로벌하게 발생되는 20TB 이상의 공격성 정보와 기존의 4PB의 보안 빅데이터를 아카마이 자체 휴리스틱 알고리즘을 바탕으로 분석해 악성으로 판단한 IP주소 및 시간에 따른 위험지수, 공격종류 및 발원국가 등의 정보를 제공하는 서비스다. IP주소별 행동 패턴을 분석하여 IP주소에 대한 위험 점수를 산정한 클라이언트 인텔리젼스와 네트워크 레이어에서 포트 스캐닝과 취약점 공격 활동을 하는 IP들의 위험 점수를 악성 행위기반에 의거 산정하게 된다. 따라서 웹공격, 디도스 공격, 스캐닝, 웹스크래퍼 및 포트취약점 검사를 하는 IP주소들에 대한 인텔리전스 정보를 바탕으로 인프라에 침입하는 공격자들을 모니터링하고 차단활동을 할 수 있다. 

아카마이 코리아 손부한 대표는 2019년 사업 전략에 대해 "차별화된 기술력을 바탕으로 전세계137개국, 1,700 네트워크 및 3,900여 곳에 24만 대 이상의 “아카마이 인텔리전트 플랫폼”인 엣지서버가 전진배치되어 있어 전세계 경제활동이 일어나는 곳곳까지의 커버리지가 가능하다. 컨텐츠딜리버리에 관한 핵심기술 및 서비스는 클라우드 전환 이후의 과도한 과금을 막을 수 있는 스마트한 서비스를 제공하는데, 올해 연말부터 선보일 '클라우드 래퍼(Cloud Wrapper)'라는 신규 솔루션은 이러한 스마트한 클라우드 사용을 지원하는 아카마이만의 주요 차별점이라고 할 수 있다"고 밝혔다.

또 "한국이 최근 5G 환경으로 변화하면서 OTT, VR, AR 등에서 많은 변화가 있을텐데  5G 브로드캐스팅, 스트리밍게이밍 등의 변화하는 서비스 및 유관비즈니스뿐만 아니라 컨텐츠 딜리버리상의 보안이슈도 아카마이는 고객 최전방에서 지원할 것"이라며 "최근의 MUFG와의 블록체인 협약에서도 알 수 있듯, 블록체인분야도 아카마이가 현재 글로벌에서 지원하고 있는 주요영역이다. 거래의 투명성뿐만 아니라, 관련된 보안인프라스트럭쳐 또한 아카마이가 집중하고 있는 성장동력이다. 마지막으로 급격히 증가하고 있는 보안수요에 적극 대응하기 위해 보안전문인력을 확충하고 24시간 관제시스템을 갖추어, 확보된 보안 위협 인텔리젼스를 통해 고객에게 보안 가시성을 제공하고, 다양한 형태의 위협적이고 진화하고 있는 웹, 봇 및 디도스 공격으로부터 안전하게 방어해 고객의 사업 영속성을 보장하는 글로벌 보안기업으로의 지속적인 성장을 이어가겠다"고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★