스타트업 웹사이트 보안의 기준, WAF
곰곰이 생각해 봤다. 요즘 세상은 모든(!) 일이 인터넷, 즉 웹을 통해 일어나고 있는데도 왜들 그리 웹 보안을 하찮게 여기고 이렇듯 허술하게 방치하는 걸까? 안타깝게도 답은 이미 알고 있다. ‘안전한 인터넷’이 도대체 뭔지 영 애매하기 때문이다.
“안전한 인터넷이란 무엇인가?”
세상엔 아주 중요하긴 하지만 어째 좀 애매한 것들이 있다. ICT 보안이 딱 좋은 예 아닌가 싶다. 따로 말하기 새삼스러울만치 완연한 ICT 세상이니까 ICT 보안이 중요하다는 것쯤은 누구나 다 아는 사실이다. 모른다면 세상과 완전히 담 쌓고 홀로 사는 은둔자일 것이고. 하지만 그 중요하고 또 중요한 일을 뭘 어떻게 해야 할지 몰라서 “중요하지, 중요하구 말구. 자, 그럼 다음 문제!” 그러고 넘기는 경우가 태반이다. 이러한 미계몽 상태야말로 진짜 심각한 위험 아닌가.
살다 보면 문득문득 이 세상 그리고 인류의 문명에 감탄하곤 한다. 얼핏 보면 아무런 룰도 없이 막 굴러가는 카오스 세계 같지만 그 안에 참으로 복잡다단한 시스템들이 얽히고설킨 채 어떻게든 효율적으로 그리고 합리적으로 대충대충이나마 대체로 잘 굴러간다. 문제와 해법이 마구 교차하는 그렇게나 심오한 세상이니, 만약 ICT 보안이 진짜로 심각한 문제라면 어떻게든 해결할 방법과 그에 따른 사회적 안정망을 따로 마련해 두지 않았을까? 물론, 그런 장치가 있다. 살펴보자.
ICT 보안은 모든 개인과 집단의 크나큰 고민거리다. 그 심각하고 진지한 고민들을 종합하고 통찰하여 거의 완벽하게 정리해 낸 ‘국제표준’들이 있다. 개중 대표적인 것이 영국 BSI(British Standards Institute)가 제정한 BS 7799 기반으로 구성된 보안 인증이자 프레임워크 ‘ISO 27001’이다. 보다 경영 중심적인 ‘ISMS (Information Security Management System) 정보 보안 경영 시스템’도 중요한 기준이다. 이러한 프레임워크를 참조하여 그 사양에 따라 기업의 보안 시스템을 구축하면 제법 안전한 ICT 보안 정책과 체계를 수립하고 구축할 수 있다.
어떤 기업이 ISO 27001 프레임워크의 평가항목 11개 항목 모두 안전 판정을 받아 인증을 획득했다는 말은 ICT 보안 관련된 제반 위험을 종합적으로 관리하고 이를 개선해 가는 기본적인 체계를 제대로 갖췄다는 뜻이다. 물론 ICT 보안이란 게 흔한 오해와는 달리 장비나 기술이 아니라 조직 전체와 각 개인이 그 안에서 삶을 영위하는 ‘문화’ 그리고 ‘환경’이므로 어떤 인증을 획득했다고 해서 100% 안전해졌다고 볼 수는 없겠지만 “대체로” 안전해졌다고 볼 수는 있다.
그럼, 안전한 인터넷의 기준이 될 만한 국제표준은 있는가?
있다. 국제적 비영리 NGO 단체로서 온라인 신뢰도 평가기관인 ‘OTA(Online Trust Alliance)’는 해마다 유명 웹사이트들의 보안성을 점검해 안전한 인터넷 문화를 위한 선도적 노력을 펼친 웹사이트를 선정해 ‘OTHR (Online Trust Honor Roll, 온라인 신뢰도 우수)’ 업체를 발표한다. OTHR 선정의 대상은 정부, 언론, 금융, SNS 등 다양한 분야의 약 1,000개의 유명 웹사이트다. 올해 선정 결과, 대상 중 약 46%의 웹사이트가 보안성 부족 때문에 탈락했고, ‘가장 신뢰할 만한 웹사이트’ 1위는 ‘Twitter’가 차지했다.
그런데 OTA는 어떤 기준에 따라 웹사이트를 점검하고 OTHR을 선정할까? 우선 눈여겨볼 점은 올해부터 ‘WAF (Web Application Firewall, 웹 애플리케이션 방화벽) 사용 여부’를 중요 가산점 부여 항목으로 지정했다는 점이다. 그에 따라 ‘안전’ 등급을 받은 업체가 작년 30%에서 올해 44%로 느는 등 선정 결과에 큰 영향을 미쳤다. 늦게나마 당연한 결정을 한 것이다. WAF는 애초에 웹 보안의 본질이자 핵심인 웹 애플리케이션 보안에 특화되어 개발된 장비다. 외부 공격을 사전에 차단하고 악성코드 등 유해물이 서버에 들어오는 걸 방지하고 웹 보안 취약점이 외부에 노출되지 않게 하는 등, 웹 보안 전반에 걸쳐 가장 중요한 여러 기능을 동시에 수행하기 때문에 웹사이트의 전체 안전성에 미치는 영향이 다른 어떤 보안 장치들보다 훨씬 더 크다. 역시 당연한 일이지만, OTA는 앞으로 OTHR 선정에 있어 WAF 사용 여부에 따른 점수 영향을 더욱 높일 계획이라고 밝혔다.
“그럼 WAF를 사면 돼? 좋아, 얼만데?”
이런 식으로 쉽게 결정할 수 있다면 물건 파는 사람이나 사는 사람이나 서로 얼마나 편하겠냐만은, 기업의 의사결정은 기업의 성장과 발전 나아가 사활이 걸린 매우 중차대한 일이다. 뭐든 “어, 그게 좋다구? 그럼 그렇게 해!” 쉽게 결정할 수 없고 또 그래서도 안 된다. 특히 자본 문제가 결정적 변수로 작용하는 신생 스타트업 기업들에겐 더더욱 치명적인 문제다. 세상엔 갖고 싶은 좋은 것들이 참 많다. 모두 다 가질 수 없어서 안타까울 뿐. WAF도 그러하다. 비싼 장비는 아니지만 그렇다고 아주 싸지도 않다. 누가 그게 좋다고 말한다고 해서 일단 사고 볼 수는 없는 일 아닌가.
그렇다면 우선 클라우드 WAF 서비스를 시도해 보자. 간단한 조치를 통해 실제 WAF를 도입한 것과 같은 효과를 거둘 수 있다. 마우스 클릭 몇 번만으로 전체 ICT 보안사고의 무려 90%를 차지하는 웹 해킹 공격을 모두 막아낼 수 있다는 뜻이다. 가장 흔히 일어나는 사고 유형인 웹사이트 해킹, 웹을 통한 데이터 유출, 비정상적 부정 접근, 웹사이트 위변조 시도까지 모두 방지한다. 클라우드 서비스 형태로 제공되니까 장비 유지보수 비용이 발생하지 않을 뿐 아니라 서비스 이용 초기에는 아예 서비스 자체가 공짜다. 트래픽이 일정량에 이르면, 즉 웹사이트 사업이 본궤도로 오르면 그때부터 소정의 사용료를 지불하면 된다.
실제 현장에서 가장 중요한 웹 보안 작업은 뭘까? 다년간의 경험을 바탕으로 의견을 말하자면, 관리자의 모니터링 아닌가 싶다. 하루가 다르게 급변하는 웹 공격 동향 정보 분석, 가상의 적이 아니라 실제로 내 웹사이트를 노리는 자들의 동태 분석, 매일매일 무수히 쌓이는 공격과 방어 기록 등, 완벽한 웹 보안은 지속적인 모니터링을 통해서만 이룰 수 있다. 제아무리 빠르고 성능이 우수한 웹 보안 장비를 사용한다더라도 모니터링 유저 인터페이스가 나쁘면 사실상 무용지물이다. 바로 그 점 때문에 ‘cloudbric’을 추천한다. 기업정보보안 전문기업 펜타시큐리티의 WAF ‘WAPPLES’ 기술을 기반으로 설계된 클라우드 WAF 서비스 ‘cloudbric’은 여러 특장점 중에서도 특히 직관적인 대시보드 인터페이스가 유사제품들에 비해 압도적으로 우수하다. 거듭 강조하는 바, 웹 보안 작업의 핵심은 결국 모니터링이다.
기업이 성장함에 따라 웹사이트도 성장하고, 어떠한 이유에서든 모든 웹 관련 설비를 자사가 직접 운영할 필요도 발생한다. 그럼 그때 클라우드 서비스가 아니라 전통적 하드웨어 형태의 WAF를 도입해도 늦지 않다. 어차피 같은 기술에 기반해 형태만 다르게 만들어진 제품이므로 시스템 변경에 따른 비효율이나 업부 공백은 발생하지 않는다. 단, 클라우드 WAF 서비스와 하드웨어 WAF가 “같은 기술”에 기반해 있어야만 순조로운 전환이 가능하다. 이를테면 ‘cloudbric’ 서비스를 이용하다가 어떤 필요에 따라 하드웨어 WAF를 도입하기로 결정했다면 ‘WAPPLES’을 선택하는 식으로. 그러면 시스템 구성을 언제 변경했는지 아예 인지도 못할 정도로 매끄럽게 사업을 연속적으로 계속할 수 있다.
처음부터 하드웨어 WAF 도입을 결정한 경우에도 자랑스럽게 ‘WAPPLES’을 추천한다. ‘WAPPLES’의 논리분석 기반 탐지 기술은 정말이지 시대적 요구에 따른 것이기 때문이다. 안전하거나 위험한 대상의 목록을 기반으로 탐지하는 기존 시그니처 기반 기술은 지금까지는 어떻게든 억지로 버텨왔다. 하지만 이제 바야흐로 IoT 시대, 즉 웹이 폭발적으로 확장하는 본격 웹 시대다. 오가는 웹 트래픽이 일단 물량에서부터 어마어마해지는데 언제까지 목록이나 뒤지며 “이건 위험하고 이건 괜찮고 이건 좀 애매한데” 따지고 있을 건가? 아예 불가능한 일이다. 무조건 논리분석 기반 방식이어야만 하는 이유다.