웹 공격은 생물이다

Column 052

2017-07-07-1499410057-7433309-52_00-thumb

먼저, ‘웹 공격’이란 말은 어려울 것도 없는 말인데 괜히 어렵게 느껴진다. (보다 정확하게는 ‘웹 어플리케이션 공격’이지만 그럼 더 어려워 보인다.) ‘웹’은 ‘월드 와이드 웹(World Wide Web, WWW, W3)’의 줄임말로 우리가 흔히 쓰는 ‘인터넷’보다 더 적절한 말인데도 흔히 쓰이지 않고, ‘공격’이란 말도 왠지 기술자들끼리 나누는 말 같다.
그래서 소통 위해 ‘웹 공격’ 말고 다른 말을 찾아보려 해도 달리 적당히 쓸 만한 말이 없다. 인터넷 해킹? 왠지 좀 편하게 들리긴 하지만, 웹 공격을 그저 듣기 편하라고 흔한 말인 ‘해킹’이라고 부르는 건 뜻이 좀 다르니 무책임한 일이다. 총에 맞고도 뭐에 당했냐는 경찰의 질문에 “칼!” 그러는 셈. 아무튼,

웹 공격은 정보보안 위험의 일부다. 그러나 그저 ‘일부’라고 하기엔 사고 발생 수가 너무나 많다. 거의 전부다. 오늘날 정보 환경의 거의 전부가 웹으로 이루어져 있기 때문인데, 그래서 언제 어디서든 정보보안 사고가 났다 하면 열에 아홉은 웹 공격으로 인한 사고다. 그러니 사고 없이 보다 안전한 세상을 이루려면 웹 공격의 정체를 어느 정도는 이해해야만 한다.
웹 공격 정체를 파악하려면 우선 관련 데이터가 무조건 많아야 한다. 이에 아시아-태평양 시장 1위 웹 어플리케이션 방화벽으로 수집한 방대한 정보를 바탕으로 제작된 ‘웹 공격 동향 보고서 (WATT: Web Application Threat Trend Report)’를 참조해, 최근 웹 공격의 현황과 특이점을 분석해 보자.

단순하지만 위험한 무기
뉴스를 보면 온갖 현란한 초첨단 무기들이 치열하게 성능을 경쟁하는 것 같지만 가장 많은 사상자를 내는 무기는 여전히 총이나 칼 등 아주 단순한 무기다. 단지 범행 동기 등 행태가 복잡해질 뿐. 웹 공격도 그러해, ‘SQL 인젝션’이나 ‘XSS(Cross Site Scripting)’ 등 아주 단순한 공격이 여전히 주된 공격 수법이다. 전에 썼던 SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,

보안 전쟁
공격이 출발한 국가, 즉 공격자의 국적에 따라 즐겨 쓰는 수법이 다르다는 점도 눈여겨볼 만하다. 이는 공격자들이 각자 노리는 바 목적이 다르기 때문인데, 목적에 따른 공격 방법의 선택에 대해선 아래 다시 살펴보겠다. 그리고, 공격자 국가의 변화는 늘 예의주시해야 한다. 기존 공격자의 다수를 차지하던 미국, 중국, 한국, 러시아 등 기존 위험 국가들 외, 말레이시아 등 아시아 국가들의 공격 수 증가가 두드러진다. 전체적으로는, 공격 출발 지점이 단 몇 개 국가라는 점에 집중해 각 국가 공격자들의 공격 목적 등 특성에 따른 효율적 대비책 마련이 필요하다. 저절로 생겨나는 공격은 없다. 모두 다 사람이 악의를 품고 저지르는 짓이다. 그리고 공격자들은 점점 집단화되어 국제적 범죄 조직으로서 행동하므로 특정 국가 공격의 증가 등 사소해 보이는 특이점도 무시해선 안 된다.

나태할 때 위험하다
웹 공격은 마치 생물처럼 상대의 경계가 느슨해질 때를 노려 치고 들어온다. 늘 집적집적거리는 게 아니라 호시탐탐 기회를 엿보다가 관리자가 퇴근한 때쯤인 18시 전후로 평소의 2배가 넘는 공격을 집중하는 등 상대의 방어가 소홀한 틈을 노린다. 물론 이는 공격자 국가 기준 시간이 아니라 피공격자 기준 시간이다. 그리고 관리자가 퇴근한 뒤 19시 이후에도 평균 이상의 꾸준한 공격이 발생하니 조심해야 한다. 퇴근하지 말고 지키라는 말이 아니라,, 부재 시 허점 노출을 막아 두는 등 평소 방비를 철저히 해 둬야 한다는 뜻이다.

붕어 잡는 붕어떡밥, 맞춤형 공격
흔히 웹 공격을 획일화하여 일반적인 것으로 보려 드는데, 웹 공격은 노리는 대상의 산업 분야별 특수성에 따라 공격 방법을 바꾸는 등 획일적이지도 일반적이지도 않다. 이를테면, 운수업, 건설업, 여가 및 요식업 등 많은 고객 정보를 다루는 산업 분야를 노릴 때는 대량의 정보 탈취에 용이한 ‘SQL Injection’ 공격 등을 주로 이용한다. 반면 연구소나 개발업 등 고객 정보가 적어서 상대적으로 웹사이트를 허술히 관리하는 분야를 노릴 때는 ‘Cross Site Scripting(XSS)’ 공격 등 수법을 쓴다. 이는 방어가 허술한 웹사이트를 경유해 해당 웹사이트에 연결되는 클라이언트 PC 등 개인 단말기를 노리는 공격으로 볼 수 있다. 특히 금융업이나 교육업 분야에서 ‘파일 업로드’ 공격이 높게 나타나는 점에 유의할 필요가 있다. 악성 파일을 통해 서버 시스템의 권한을 얻고 이를 통해 널리 확산하려는 수법인데, 이런 경우 이후 매우 치명적 피해가 발생하기 때문에 각별한 주의를 요한다.

웹 공격은 생물이다
그렇다. 생물이다. 생명을 가지고 영양, 운동, 생장, 증식을 하며 스스로 생활 현상을 유지한다. 주변 환경에 적응하며 보다 유리하게끔 스스로 변화한다. 웹 공격은 그 바탕인 웹과 뗄레야 뗄 수 없는 유기적 관계로 맺어져 있으니, 웹이 하루가 멀다 하고 늘 변함에 따라 웹 공격도 시시때때로 변한다. 이를 그저 ‘해킹’이라는 흔한 말로 일반화 획일화해서는 안 되는 까닭이다.
대부분의 정보보안 공격은 웹 어플리케이션 공격이니, 정보보안의 최선도 웹 어플리케이션 보호다. 끊임없이 치고 들어오는 웹 공격 속에서 어떤 패턴을 읽어내고 그 패턴을 분석해 웹 보안 도구가 작동하는 논리에 반영해야만 웹 공격이라는 생물의 변화에 대응할 수 있다. 그런 점에서 웹 공격 동향은 정보보안 위험의 일부가 아니라 거의 전부임을 절감해야 우리는 보다 안전한 웹 세상을 영위할 수 있을 것이다.