[인터뷰] 김덕수 펜타시큐리티시스템 연구소장 (보안뉴스 2012. 09. 28)
[인터뷰] 김덕수 펜타시큐리티시스템 연구소장
웹보안 강화 위해 통합적인 보안체계 구축해야
[보안뉴스 김태형] “웹 보안위협 중에서 제로데이 공격이나 웹쉘을 이용한 공격은 웹방화벽이나 소스코드 보안으로는 방어하기가 어렵기 때문에 통합적인 보안체계를 구축하고 지속적인 모니터링과 보안관리를 통해 예방하고 대응해야 합니다.”
웹 보안 전문 기업 펜타시큐리티시스템(대표 이석우, www.pentasecurity.com, 이하 펜타시큐리티)의 제품기획과 개발을 책임지고 있는 김덕수 연구소장은 “웹보안을 강화하기 위해서는 웹방화벽뿐만 아니라 종합적인 보안대책을 강구해야 한다”면서 이같이 강조했다.
김덕수 연구소장은 펜타시큐리티에서 현재까지 14년째 근무하고 있다. 창업 당시 그는 대학원에서 암호학을 공부하고 있었고 펜타시큐리티하고는 당시 산·학협력 관계로 일을 한 인연으로 학교를 졸업하고 바로 입사한 것.
펜타시큐리티는 사업 초기 어플리케이션 보안을 어떻게 해야 하는지에 대한 고민에서 시작해 개발자에게 필요한 부분인 암호 분야로 사업을 시작했다. 당시 전자서명법이 통과되고 PKI 관련 인증이 중요시되면서 사업을 시작했던 것. 웹 방화벽을 만들게 된 것도 개발자가 이를 직접 하기는 힘든 부분이기에 웹 서버 앞단에서 막아주는 보안 솔루션을 개발하면서 웹 방화벽이 탄생하게 된 것이다.
김 소장은 현재 펜타시큐리티에서 50여명의 연구소 직원들과 함께 제품 기획과 개발, 전략적 프로젝트를 수행하고 있다.
최근 웹 공격 유형 및 동향에 대해 그는 “최근 웹 보안위협은 새로운 공격보다는 주로 웹 공격에 대한 자동화가 이슈다. 즉 웹 익스플로잇 툴 킷 같은 자동화 툴이 많이 나와 있고 배포되는 상황이며 공격자들은 이러한 자동화 툴을 이용해 짧은 시간에 더 많은 공격을 공격 대상자에게 시도하고 있다. 이는 공격 성공률을 높이기 위한 아주 좋은 방법”이라고 설명했다.
이러한 웹 공격 중에서 특히 웹쉘을 이용한 공격이나 SQL 인젝션, 제로데이 취약점을 이용한 공격이 많은 이유는 이러한 공격들이 성공하면 공격 대상자의 웹 서버를 마음대로 조정할 수 있고 투자대비 효과가 좋이 때문이라는 것. 특히, 제로데이 공격이나 SQL인젝션 공격 등은 막을 수 없기 때문에 공격효과가 더욱 높다는 게 김 소장의 설명이다.
그는 “SQL인젝션 공격은 ‘웹 공격의 꽃’이라 할 만큼 공격자는 다양하게 창의적으로 변화시킬 수 있어 방어하기도 어렵고 공격이 성공하면 상대방의 DB를 모두 점령하고 자유롭게 드나들 수 있는 점이 장점”이라고 설명했다.
또한, 웹쉘 공격도 치명적이다. 이 공격은 웹 서버에 웹쉘을 올리는데까지 다양한 방법으로 공격, 즉 엔드포인트 감염, 게시판 취약점 이용. 이메일, P2P 등으로 공격경로가 많기도 하고 방어하기도 어렵다는 것.
하지만 제로데이 공격은 시스템의 취약점을 이용한 공격이므로 웹 공격에는 적합하지 않다는 것이 그의 설명이다. 하지만 모두 대표적인 웹 보안 공격유형이다.
각 기업이나 기관의 보안담당자들은 이렇듯 다양한 웹공격에 대해 어떻게 하면 효과적으로 방어할 수 있을까? 이에 대해 김 소장은 “제로데이나 웹쉘은 웹 방화벽이나 소스코드 보안만으로는 방어하기가 어렵기 때문에 통합적인 보안체계를 구축해야 한다”고 강조했다.
즉, 전형적인 SQL인젝션 공격이나 XSS 공격은 개발단계부터 안전하게 보안을 고려해야 하고 웹쉘 등과 같은 웹 전용 공격은 사전에 막기 어렵기 때문에 소스코드 점검이나 보안 취약점 점검 등 전문 솔루션을 사용해야 한다.
김덕수 소장은 “특히 개발자를 보유하고 있는 기업이나 조직은 근본적인 대책을 마련하면 되지만 개발자가 없다면 보안 솔루션, 즉 웹 방화벽이나 취약점 점검 소스코드 보안 등 전문 솔루션을 도입해야 한다”면서 “즉, 엔드포인트단부터 바이러스 백신, 패치관리, 취약점 점검, 웹방화벽 등 각 단계별로 웹 공격에 대한 종합적인 접근과 보안관리가 필요하다”고 설명했다.
펜타시큐리티는 최근 가상화나 클라우드 환경에서 고객들의 보안 요구가 증가함에 따라 이러한 요구에 맞는 웹 보안 서비스를 제공하고 있으며 향후 클라우드 환경 처럼 오픈 환경에서도 누구나 쉽게 사용할 수 있는 요구가 많아질 것으로 보고 필요한 최신 기술을 적용해 상용화할 것으로 알려졌다.
펜타시큐리티는 웹 보안 전문기업으로서의 역할을 충분히 하기 위해서 많은 부분의 기술들을 오픈하고, 이를 바탕으로 어플리케이션을 위한 통합 보안회사로써의 면모를 갖추기 위해 지속적인 노력을 펼친다는 방침이다.