.gif)
웹 방화벽의 기술과 현황
웹 방화벽은 웹에 대한 접근 제어 기능만 제공하는 것이 아니라 이를 포함한 웹에 대한 공격 방지기능이 있다. 즉 웹 방화벽은 이러한 보안 기능을 수행하기 위해 HTTP/HTTPS에 대한 처리 기술, 공격 탐지 및 대응 기술을 필요로 한다.
웹 애플리케이션 방화벽(이하 웹 방화벽)은 가끔 그 이름으로 인해 오해받는 경우가 있다. 단순히 웹에 대한 접근제어 기능만을 제공한다고 이해하는 것인데 사실 웹 방화벽의 주요 기능은 접근제어를 포함한 웹에 대한 공격 방지이다. 이러한 기능상의 특징은 웹 방화벽에 대한 WASC(Web Application Security Consortium)의 정의에서도 확인할 수 있다.
‘웹 클라이언트와 웹 서버 사이에 위치하는 중간 장치로 OSI 7-계층을 분석하여 프로그래밍된 보안 정책의 위반 여부를 판단한다. 웹 서버를 공격으로부터 보호하는 보안 장비로 사용된다.’
웹 방화벽은 이러한 보안기능을 수행하기 위해 HTTP/HTTPS에 대한 처리 기술, 공격 탐지 및 대응 기술을 필요로 한다. 기본이 되는 HTTP/HTTPS의 분석을 위해 두 가지 방식이 사용될 수 있다. 헤더와 데이터 스트림을 네트워크 패킷으로부터 얻는 방식과 아파치나 IIS와 같은 웹 서버로부터 얻는 방식인데 전자가 네트워크 기반, 후자가 웹 서버 기반 또는 플러그인 방식으로 불린다. 네트워크 기반은 네트워크를 지나는 HTTP/HTTPS 트래픽을 분석하므로 웹 서버의 종류와 상관없이 보호가 가능하다는 장점이 있는 반면 실시간 HTTP 세션 처리 기술을 필요로 한다.
웹 서버 기반은 웹 서버의 API를 통해 제공되는 HTTP의 헤더와 데이터 스트림 정보를 사용하며 이미 복호화된 트래픽을 받아볼 수 있으므로 별도로 SSL에 대한 처리 기술을 필요로 하지 않지만 웹 서버에 부하 증가를 야기하는 문제가 있다. 각각의 모델은 장점을 극대화하는 방향으로 발전하고 있으며 전자는 어플라이언스에 탑재된 상용 제품들이, 후자는 Mod Security와 같은 공개 소프트웨어가 대표적이다.
공격 탐지 기술
웹 방화벽의 공격 탐지 기술은 크게 두 가지 요소로 구성된다. Positive/Negative Security Model이 그것인데 최근 웜과 같이 빠른 발전 속도를 따라잡기에는 시그니처 업데이트가 상대적으로 느리므로 알려지지 않은 공격이나 Zero-Day 공격과 같은 위협에 대처하기 위해 두 가지 모델을 동시에 적용하고 있다. Positive Security Model은 안전하다고 정의된 것만 허용하고 나머지는 모두 금지하는 보안 모델이다. 네트워크 방화벽이 대표적으로 통과 가능한 IP나 포트만을 등록하고 나머지 트래픽은 모두 통과시키지 않는 방식이 이러한 모델을 잘 보여주고 있다.
반대로 Negative Security Model은 위험하다고 정의된 것만 거부하고 나머지는 모두 허용하는 보안 모델이다. 백신이 이 모델을 채택한 대표적인 보안 시스템으로, 패턴을 가진 행위는 금지하고 나머지는 모두 허용하는 정책을 사용하고 있다.
일반적으로 웹 방화벽은 두 모델을 혼합하여 구현하고 있다. 먼저 Positive Security Model 기반의 필터링 모듈이 HTTP 요청을 검사한다. 이 모듈에서는 등록된 URI에 대한 접근제어 수행, 특정 Method의 수행 여부 제어 등 접근 및 사용이 허가된 목록을 기준으로 필터링을 수행한다. 그 다음 Negative Security Model 기반의 탐지 모듈이 일반적인 패턴 매칭뿐만 아니라 입력 값에 대한 검증, 비정상 침입탐지 기능 등을 함께 구현하여 애플리케이션 레벨에 대한 공격을 탐지한다. 공격에 대한 대응으로 공격이 탐지된 HTTP 요청은 바로 차단하거나 다른 URI로 보낼 수 있다.
웹 방화벽이 일반적인 IDS/IPS와 차이를 갖는 또 하나의 메커니즘이 SSL 복호화와 정규화(Normalization)이다. 암호화된 SSL 트래픽은 의미 없는 문자열의 집합으로 보이므로 위의 두 가지 모듈에서 아무것도 할 수 없다. 따라서 Positive/Negative Security Model 적용 모듈의 앞에 SSL 복호화를 위한 모듈을 구성하여 먼저 암호화된 내용을 복호화하게 된다. 여기서 나온 결과물도 유니코드 등으로 인코딩 되어 있으므로 이를 정규화하여 Positive/Negative Security Model 적용 모듈로 전달한다.
이와 같은 전반적인 아키텍처를 나타내면 다음 그림 4와 같다. 웹 클라이언트로부터 전달된 HTTP 요청에 대해 전처리기는 헤더와 데이터 스트림 정보를 얻어내고 앞서 언급한 SSL 복호화와 정규화를 수행하게 된다. 전처리기에서 얻어진 데이터는 Positive Security Model 적용 모듈을 거치면서 필터링된다. 구현 방식에 따라 이 단계에서 입력되는 콘텐츠에 대한 필터링도 같이 수행하기도 한다.
이 모듈을 거치면서 엉뚱한 곳에 접속하려는 요청은 모두 차단되고 웹 서버에 접속 가능하다고 정의된 주소에 대한 요청들이 Negative Security Model을 적용한 모듈로 전달된다.
패턴 매칭, 입력값 검증, HTTP 요청에 대한 검증 등을 거치면서 정상적인 요청만이 웹 서버에 전달된다. 한편 정상적인 요청에 대한 웹 서버의 응답이 나갈 때에도 웹 방화벽을 거치면서 몇몇 보안 과정을 밟는다. 먼저 나가는 트래픽에 대한 콘텐츠 필터링 과정을 거친다. 웹 서버나 이에 연결된 데이터베이스의 에러 메시지는 공격자에게 상당한 정보를 제공하게 되므로 이러한 정보가 노출되지 않도록 구현할 수 있다.
또한 주민등록번호를 비롯한 개인정보의 유출을 차단한다. 콘텐츠 필터링 이후에는 암호화 모듈을 거치면서 쿠키에 대한 무결성 검사를 위한 해쉬 값을 삽입하거나 Hidden Field 변조를 막기 위한 암호화를 수행한다. 이와 같이 웹 방화벽에서는 웹 클라이언트의 요청이 웹 서버에 전달되고 그 응답이 다시 웹 클라이언트에게 도달하기까지 웹 보안과 관련된 요소를 점검하고 공격을 방지한다.
최근 웹 방화벽 기술 동향
2010년 ‘RSA Conference’에서는 다양한 웹 공격 기법과 이를 막기 위한 보안 방안들이 발표되었다. 그 중에 눈길을 끄는 두 가지 트렌드가 있었는데 하나는 평판(Reputation) 기반 기술이고 다른 하나는 클라우드 컴퓨팅이다.
평판 기반의 탐지 및 차단 기술은 다수의 웹 방화벽으로부터 수집된 데이터를 바탕으로 공격의 위험도, 출발지 정보 등을 분석하여 웹 공격을 차단하는 방식이다. 최근의 웹 공격은 다형성을 갖고 있어 하나의 탐지 방식으로는 탐지가 힘든 경우가 있다.
Mass SQL Injection 공격 같은 경우, 기본적으로 SQL Injection 공격이지만 최종적으로 사용자에게 피해를 주는 것은 Cross Site Scripting (XSS) 공격이며 이 공격은 자동화된 웜으로 수행된다. 게다가 보안시스템으로부터의 차단을 우회하고자 공격을 쿠키에 담아 전송하는 등 다양한 변형이 이루어지고 있어 복합적인 분석 및 대응이 요구된다.
이러한 공격을 차단하기 위해서는 SQL Injection이나 XSS를 막기도 해야 하지만 웜에 감염된 출발지 IP를 식별해 접근을 근본적으로 막아 추가적인 공격을 원천 봉쇄해야 할 필요가 있다. 왜냐하면 웜에 감염된 PC는 상대적으로 보안이 취약하다는 의미이며 하나의 웜만 아니라 다른 악성코드에 감염되어 스팸 메일을 발송하거나 좀비 PC가 되어 분산서비스 거부공격을 수행할 수도 있기 때문이다.
지난 7.7 DDoS 대란의 경우, 국내뿐만 아니라 해외에 있는 수만대의 좀비PC로부터 주요 기관의 웹 서버에 대한 웹 접속이 집중되어 발생했다. 이러한 국가 규모 또는 그를 넘어서는 공격의 발생 시 초기에 그 징후를 파악하고 대처할 때 평판 기반의 탐지 및 차단 기술이 그 진가를 발휘할 수 있을 것이다.
한편 클라우드 컴퓨팅의 확산은 새로운 보안 모델을 요구하고 있다. 클라우드 컴퓨팅 환경 내의 하나의 가상화된 서버에서 운영되는 다양한 애플리케이션들은 동적 자원 할당, 정보의 공유 등 보안과 관련되어 수많은 문제를 야기할 수 있다. 웹 방화벽 또한 하이퍼바이저(hypervisor) 커널 모듈 수준의 구현을 통해 이러한 문제점을 해결할 수 있는 능력을 요구 받을 것으로 예상된다.
클라우드 API를 이용한 데이터 수집과 동적 보안정책 수행과 같은 새로운 기능을 수행하여야 하며 직접 구축보다는 SaaS(Software as a Service) 방식의 서비스로 제공될 것으로 예상되어 지금과는 다른 모습의 새로운 웹 방화벽 등장을 예고하고 있다. 이외에도 웹 2.0이나 HTML5와 같은 신기술의 등장 등 급변하는 웹 환경에 대응할 수 있는 새로운 웹 방화벽 기술도 등장할 것으로 예측된다. 다음 호에서는 웹 방화벽의 시장 현황을 살펴보고 향후 전망을 예측해 보도록 하겠다.
<글 : 이충우 펜타시큐리티시스템 사업기획부 부장(bazle@pentasecurity.com)>
[월간 정보보호21c 통권 제122호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)