웹 애플리케이션 보안의 진화

그 동안 데이터 침해 사고의 유형을 분석해 보면 80% 이상이 웹 애플리케이션의 취약점을 이용한 방법이라고 한다. 그 만큼 애플리케이션의 보안은 중요한 부분이라고 할 수 있다. 기존에 웹을 보호하기 위한 방법을 잠심 살펴보면 외부로부터 들어오는 패킷 중 인가되지 않은 패킷을 차단이나 드랍 시켜 보호하는 방화벽, 악성코드나 침입 패턴등을 사전에 탐지해 침입을 방지해 주는 IPS, 웹의 어플리케이션을 보호해 주는 웹방화벽, 기타 IDS 등 여러 기법의 보안 장비를 사용해 왔다.

보안 기술이 나날이 발전하고 있지만 공격 기법도 다양해지고 지능화 되며 거기에 정교해 지기까지 하고 있다. 공격자의 기술은 다양해 지는데 기존의 방식으로 웹을 보호하고 방어한다는 것이 현실에 맞지 않는 방법일 것이며 이에 새롭게 제시되고 있는 실시간으로 애플리케이션을 보호하고 탐지하는 기능 즉, RASP(Runtime Application Self Protection) 기술에 대해 생각해 보고자 한다.

WAF(웹방화벽)의 탐지 기능은 완벽 한가

웹방화벽은 말 그대로 웹 애플리케이션을 보호하기 위한 제품이다. 다른 솔루션과는 다르게 웹을 보호하기 위한 전용 솔루션인 것이다. 그렇기 때문에 웹 애플리케이션 취약점 공격을 효과 적으로 차단하여 보호하기 위한 방법으로 대부분 데이터센터에서 사용하고 있다.

웹방화벽은 주로 외부에서 웹 애플리케이션을 향해 들어오는 모든 패킷을 공격 패턴과 비교해 유해 트래픽 여부를 판단해서 탐지하는 방법을 주로 사용한다. 하지만 WAF이 동작하는 방식은 각 벤더마다 그리고 제품 라인별로 조금씩 다르다. 또한 보호하고자 하는 애플리케이션은 항상 그 위치가 변화한다. 사내에 있는 경우, 클라우드에 위치해 있는 경우, DMZ 에 위치해 있는경우 상황에 따라 항상 변화하기 때문에 기존의 WAF 기술로는 그 이동에 대응하는데 한계점을 드러나기 시작해고 그로인해 새로운 기술을 요하게 되었다.

또한 애플리케이션으로 유입되는 패킷을 바로바로 분석해 더 기능이 향상된 패턴으로 업데이트 하는데에도 한계가 있음이 확인되고 있다.

WAF 대비 RASP 기술의 장점

먼저 정확성을 살펴보자. WAF의 경우 단순히 사전에 저장된 패턴과 매칭하여 탐지를 하고 실제 취약한 코드로 전달되었는지는 고려하지 않는다. 반면 RASP의 경우 탈취 시도가 발생될 때만 탐지를 하고 입출력 데이터 뿐 아니라 각각의 논리 흐름까지도 모니터링을 하여 더욱 정확하게 탐지해 낼 수가 있다.

그럼 신뢰도는 어느정도 일까? WAF 은 유해트래픽이 과다하게 유입되어 과부하가 걸리면 fail open 상태가 될 수도 있어 웹 애플리케이션을 무용지물로 만들 수도 있다. 반면 RSAP는 과부하가 걸리더라도 fail open 이 발생되지 않고 탐지한다.

그렇다면 네트워크 와의 프로토콜은 어떠한가? WAF의 경우 네트워크와 동일한 표준프로토콜을 사용하여 동작한다. RASP도 표준프로토콜을 사용한다. 단, HTTP, HTTPS, SQL, SOAP, AJAX 등 이러한 프로토콜을 동일하고 쉬운 방법으로 다룰 수 있는 장점이 있다.

마지막으로 유지보수는 어떠할까? WAF은 애플리케이션의 문맥을 이해해야 하고 변화에 따라 주기적인 관리가 필요한 반면 RASP는 애플리케이션의 변화를 자동으로 감지하여 관리하기 때문에 자동화된 시스템으로 관리가 가능하다.

기술이 급격히 발전하고 애플리케이션의 고도화 주기가 점점 빨라지고 있다. 이러한 환경 속에서 이들의 취약점을 이용한 공격의 방법과 기법은 다양해지고 지능화 되고 있다. 기존의 방식만으로 효과적으로 차단하고 방어하는 것이 점점 어려워지고 있다.

대안으로 제시되고 있는 것이 RASP인데 이는 애플리케이션의 소스 코드를 실시간으로 취약점을 탐지하고 공격으로부터 방어를 한다. 거기다 탐지된 취약점 정보를 사전에 등록된 개발팀에 전달 함으로써 보안에 대한 신뢰도를 높인다. 완벽한 보안은 있을 수 없다고 하지만, 현재 시중에 공개된 솔루션 중 투자대비 효과를 얻을 수 있는 방법으로 꼽히고 있다.

현재 IT 시스템 관리자라면 기존의 웹방화벽, 방화벽, ISP 만으로 방어가 어렵다고 판단될 경우 RASP 를 도입하는 것을 고려해 볼 시기라 하겠다.