2020-09-25 02:35 (금)
[PHD 2016] 머신러닝 기반 웹방화벽 개발자 알써니 로이토브 인터뷰
상태바
[PHD 2016] 머신러닝 기반 웹방화벽 개발자 알써니 로이토브 인터뷰
  • 길민권
  • 승인 2016.05.21 03:39
이 기사를 공유합니다

“머신러닝 기반으로 웹 공격 탐지 및 차단, 오탐율 줄이고 퍼포먼스 향상”
모스크바에서 지난 5월 17일에서 18일간 개최된 러시아 최대 해킹 보안 컨퍼런스 PHD 2016(Positive Hack Days 2016)에서 다양한 주제 발표들이 진행됐다. APT 타깃 공격, DDoS, 웹 해킹, 리버스엔지니어링, 구글 크롬 퍼징, 내부자 보안, IoT 보안, 접근제어, 자동화 보안, 웹방화벽, 스카다, 사이버 포렌식, 무선해킹, 프라이버시, 모바일 해킹, 멀웨어 등 다양한 분야에서 유명 해커 및 보안전문가들의 발표가 이어졌다.
 
데일리시큐는 PHD 2016 현장에서 ‘자바스크립트를 이용한 웹애플리케이션 보호 방법(How to Protect Web Applications Using JavaScript)’을 주제로 발표를 진행한 ‘알써니 로이토브(Arseny Reutov. 사진)’ 포지티브 테크놀로지스 WAF(웹방화벽) 개발팀 리서치 팀장과 간단한 인터뷰를 진행했다.

 
알써니 리서치 팀장은 포지티브 테크놀로지스의 웹 애플리케이션 보안 연구자로 활동중이며, 다양한 CTF 해킹대회에 참여하고 있다. 더불어 Zend, 노키아, 얀덱스, 바라쿠다 등에 의해 공식적으로 진행되고 있는 버그바운팅 프로그램에 적극 참여하고 있다.
 
또 ZeroNights와 CONFidence와 같은 보안 컨퍼런스에 발표자로 참여하고 있으며, 이번대회인 PHD(Positive Hack Days) 운영자도 역임하고 있다. 2012년도에는 PHPSESSID의 브루트포스 관련 협업 연구를 통해서 글로벌 톱10 웹 해킹기술에 등재되기도 했다. 그리고 2008년부터 ‘raz0r.name’이라는 웹 보안 블로그를 직접 운영해 오고 있는 웹 보안 권위자로 인정받고 있다.
 
-이번에 발표한 내용을 간략히 정리해 준다면
그는 현장에서 클라이언트 기반의 자바스크립트 인젝션이 어떻게 다양한 공격을 탐지하고 방어하는데 사용될 수 있는지에 대한 데모를 진행했다. 또 취약한 클라이언트 컴포넌트를 찾아내고, 웹 인프라스트럭쳐의 데이터 유출 탐지와 웹봇 및 악의적인 툴을 찾는 방법도 데모를 진행했다.
 
시그니쳐 또는 정규표현식을 사용하지 않은 구문 분석기를 채택하는 방식으로, 그들이 직접 개발한 인젝션 탐지 방법론도 공유했다. 또 SSRF, IDOR, Command Injection, CSRF 공격을 탐지하기 위해서 클라이언트 기반 자바스크립트 허니팟을 어떻게 운영할 것인가에 대한 토론도 진행했다.
 
-포지티브 테크놀로지스 웹방화벽 개발에 직접 참여했는데 어떤 특징이 있고 도입된 산업군은 어디인가
가장 큰 것은 머신러닝 기반이 특징이다. 머신러닝 기반으로 포지티브 룰을 만들어 어떤 것들이 정상이고 비정상인지 찾아내는 것이다. 기존 웹방화벽은 들어오는 리퀘스트를 보고 판단한다. 서버쪽에서 들어오는 공격을 차단하는 것도 중요하지만 클라이언트단에서 발생하는 공격시도들을 효율적으로 차단하는 것이 더 중요하다.
 
포지티브 테크놀로지스 웹방화벽은 머신러닝 기반을 활용해 공격이 아닌 것처럼 속이는 공격을 탐지하고 차단해 낼 수 있다. 당연히 OWASP TOP 10 취약점은 모두 차단하고 제로데이 공격은 기존 시그니쳐 방식으로는 차단할 수 없기 때문에 머신러닝 기반으로 막을 수 있다.
 
이러한 특징으로 인해 러시아 내에서도 다양한 산업군에 레퍼런스를 확보하고 있으며 금융기관, 오일 및 가스 등 에너지 기업 등 대형 기관에서 도입이 이루어지고 있다. 기능적인 퀄리티 측면에서 압도적인 평가를 받고 있다.
 
-한국에서는 웹방화벽을 도입하고도 잘 사용하지 않는 기관이나 기업들이 있다. 어떤 문제 때문일까
오탐율과 퍼포먼스, 장애 문제가 발생하기 때문일 것이다. 오탐은 모든 웹방화벽에서 발생하지만 정도의 차이는 존재한다. 이를 줄이기 위해 트레픽을 머신러닝 기반으로 분석하고 오탐이 발생하더라도 학습을 통해 오탐이 재발하지 않도록 하는 것이 중요하다.
 
속도가 느려지는 이유도 한국은 시그니쳐 베이스다. 들어오는 트레픽과 가지고 있는 트레픽을 비교분석하는 과정에서 시간이 오래 걸리기 때문이다. 대부분 웹방화벽들이 일발적인 파싱 라이브러리를 사용한다. 하지만 포지티브 테크놀로지스는 이를 머신러닝으로 해결하고 있다. 성능 향상에 큰 이점이 있다.
 
-포지티브 테크놀로지스 웹방화벽의 또 다른 특징이 있다면
보안담당자의 활용능력에 따라 정말 다양하게 활용할 수 있다. 즉 관리자가 회사 상황에 맞게 커스터마이징 할 수 있는 포인트가 정말 많다. 설치 즉시 강력한 보안 환경을 제공하고 있지만 이와 더불어 관리자의 활용 능력에 따라 웹방화벽 활용 결과는 크게 달라 질 수 있는 것이 포지티브 테크놀로지스 솔루션의 특징이라 할 수 있다. 한국 시장도 브랜드에만 연연하지 말고 포지티브 테크놀로지스의 앞선 기술을 활용해 보길 바란다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<러시아 모스크바=데일리시큐 길민권 기자> mkgil@dailysecu.com