2024-03-29 18:55 (금)
[DB방화벽 for Dummies ⑤] ‘DB방화벽’은 WAS바보, 무조건 믿는다
상태바
[DB방화벽 for Dummies ⑤] ‘DB방화벽’은 WAS바보, 무조건 믿는다
  • 최일훈
  • 승인 2013.08.19 08:14
이 기사를 공유합니다

‘WAS’통한 접근은 WAS전문솔루션 필요
소만사 최일훈 연구소장의 DB방화벽 바로알기 칼럼을 총 8회에 걸쳐 연재할 예정이다. 짧고 쉬운 문체로 설명한 만큼, DB방화벽에 대한 이해도를 높이고 개인정보유출방지를 목적으로 DB방화벽 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. <편집자 주>

웹과 DB를 이어주는 ‘WAS(Web Application Server)’ DBMS접근방식 세번째는 ‘WAS(Web Application Server)’를 통한 접근이야. ‘WAS’는 웹과 DB 사이에서 DB내 자료를 조회해주는 웹애플리케이션서버야. (웹으로 DB내 개인정보를 조회할 수 있게 해주는 애플리케이션이 설치된 서버라는 뜻이지)

휴대폰대리점, 콜센터, 물류배송센터같은 사외에 있는 분들은 웹을 통해서 WAS에 접속해서 웹애플리케이션을 열어서 개인정보조회요청을 해. 그럼 WAS는 그 개인정보를 요청하는 쿼리를 DB에 보내서 개인정보를 요청자에게 보내주는 거야. 보안업계의 ‘공공연한 비밀’에 따르면 개인정보유출사고는 주로 대리점에서 많이 일어난다고 해.

대리점직원들은 WAS를 통해서 개인정보를 조회할 수 있는 업무권한이 있어. (물론 한번에 조회할 수 있는 개인정보 종류와 양은 정해져 있지). 그런데 이 권한을 악용하는 거야. ‘한번에 주민번호 하나 가져올 수 있다’라는 권한을 수백만번 활용하면 고객정보 몇백만건을 끌어올 수가 있겠지.

기존 ‘DB방화벽’은 DB에 대한 경호원 겸 CCTV역할에선 뛰어나지만 ‘WAS’를 통한 접근엔 약할 수밖에 없어. 왜냐? DB방화벽은 WAS에 대해 지고지순하거든. DB방화벽은 WAS를 무조건 믿게 태어난 거야.

예를 들어 이런 상황이야. WAS에 접근할 수 있는 대리점이 천개, 직원이 한명씩 천명이 있어. 그 천명이 각각의 IP로 WAS에 접근하면 WAS는 천명의 각각 다른 IP 대신 WAS IP하나로 DB에 쿼리를 날려. WAS뒤에 천명이 있든 한명이 있든 상관없이 DB방화벽이 기록하는 것은 (자기가 무조건 믿는) WAS IP단 하나인 거야. 합법적인 IP세탁이 발생하는 거지.

천명 중 한명이 나쁜 마음을 먹고 권한을 악용한다고 생각해보자. 한번에 한 개씩 조회할 수 있는 권한을 악용해서 개인정보를 천번 조회해서 천명의 개인정보를 모으는 거야. 그럼 WAS가 WAS IP로 DB에 쿼리 천개를 날리겠지. ‘DB방화벽’은 1%의 의심도 하지 않고 천명의 개인정보를 통과시켜줘. (WAS뒤에) 한 대리점에서 주민등록번호 천 건을 조회하는건지, 아니면 천 개의 대리점에서 각각 한 번씩 조회하는건지 알지도 못하고 말이지.

2008년A사, 2012년 K사 사건이 이렇게 일어난 거야. WAS를 통해 DB에 접근해서 개인정보를 유출한 거지.
 
‘WAS’를 통한 접근은 WAS전문솔루션 사용
‘WAS’는 외부에 노출되어있어. 해커는 여러 서버 중 가장 보안상 취약한 ‘WAS’를 골라서 공격을 감행해. 이후 정상적인 접근처럼 속여서 DB내 개인정보를 조회해서 가져가지.

이럴 때는 WAS 뒤에 숨은 최종조회자를 식별해주는 전문솔루션이 반드시 필요하지. 하지만 반드시 기억해야 할 것은 최종사용자추적을 위해 업무를 방해해서는 안된다는 거야. (교각살우, 뿔을 얻기 위해 소를 죽여서는 안되는 거지)

최종사용자추적을 위하여 웹프로그램을 변경하고 WAS에 보안에이전트를 설치한다? 웹서버 부하와 장애 때문에 시스템담당자와 업무협의하다가 세월 다 가는 일이야.
웹서버로그만 잘 모으면 된다? 웹로그만으로 개인정보를 조회, 입력, 삭제, 출력했다는 행동은 파악할 수 있지만 실제 정말 어떤 개인정보를 처리했는지는 알 수 없어. 개인정보가 어느 웹페이지에서 조회되고 있는지 알 수 있는 회사 또한 많지 않아.

최종조회자식별을 위해 (웹서버에 에이전트를 설치하지 않고도) 네트워크에서 모든 로그를 실시간으로 수집할 수 있는 기술은 이미 개발되어 있어.

글. 소만사 최일훈 소장 acechoi@somansa.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★