|
|
|
 |
지난해 초 국내에서 개발되어 무료로 배포중인 일부 홈페이지 제작 프로그램의 보안 결함 등을 악용한 홈페이지 변조사고가 대량으로 발생하여 사이버위협 `주의' 경보가 발령된 바 있다. 1월 한 달간 발생한 사고 건수가 2004년 전체 건수를 능가하는 6478건이 일어났고 이러한 다양한 웹 공격은 아직도 진행 중이다.
많은 서비스가 사용이 편리하다는 이유로 웹을 통해 이루어지고 있으나, 이 때문에 역설적으로 주요 공격 목표로 부상하고 있다. 지난해 상반기에 발견된 전체 취약성의 59%가 웹과 관련이 있고, 대부분의 웹 관련 취약성은 별도의 도구 없이 웹 브라우저를 통해 바로 수행할 수 있어 손쉬운 공격 목표가 되고 있다.
이러한 이유로 주요 정보보호 기관과 기업들은 웹 보안을 주요 이슈로 설정하고 이에 적극 대응하고 있다. 이들이 예측한 2006년 웹 보안 동향은 다음과 같다.
첫째, 웹 애플리케이션 웜의 본격적인 등장이다. 2005년에는 웹 서버가 아닌 웹 애플리케이션의 취약성을 이용한 최초의 웜이 등장했다. 올해는 이러한 웜이 본격적으로, 보다 악의적인 성격을 띄고 등장할 것으로 예상된다.
둘째, 피싱(Phising)과 브라우저 취약성의 대두이다. 과거의 단순한 홈페이지 변조에서 다른 사이트로 위장하여 개인정보 등을 수집하는 피싱으로의 공격 방식 변화가 국내에서도 심각한 위협이 될 수 있다. 한편 브라우저 취약성이 종류를 불문하고 급증하고 있는 것과 맞물려, 최근 빈발하고 있는 웹 서버 해킹 후 악성코드를 유포하는 공격이 더욱 강화될 것으로 보인다.
셋째, 웹 애플리케이션 백도어의 등장이다. SQL 삽입과 같은 기법을 통해 개인정보나 금융정보를 훔쳐 가는 공격이 주류를 이루는 가운데, 웹 애플리케이션의 일부 수정이나 악의적인 코드 삽입을 통해 백도어를 생성하려는 공격이 등장할 것이다. 이러한 백도어는 트랜잭션의 복사와 같이, 원래 웹 애플리케이션이 의도하지 않은 악의적인 목적을 위해 사용될 것이다.
앞으로 웹 공격은 기존 기법을 기반으로 계속 고도화, 지능화될 것으로 보인다. 이러한 웹 보안 위협을 막을 수 있는 최선의 방법은 사용자들의 꾸준한 관리와 보안에 대한 관심임을 우리는 잊지 말아야 할 것이다.
==================================================
지난 7월 건설업계 관계자들이 대형 건설사의 전자입찰 시스템에 침입, 경쟁업체의 응찰가격을 알아내 총 130여억원 상당의 아파트 내장재 하도급 공사를 부정 낙찰 받았다.
또 지난 9월 해커 두 명이 한 게임포털의 이용대금결제 시스템의 취약점을 통해 160억원 대의 마일리지 포인트를 불법 충전했으며, 이 달에는 국내 한 대학의 홈페이지가 다른 웹 페이지로 바뀌는 해킹 피해를 입었다.
이처럼 웹 애플리케이션의 취약점을 노린 사이버 공격이 계속 늘어나면서 웹 애플리케이션 보안 솔루션에 대한 관심이 높아지고 있다.
업계에 따르면, 국내에서 발생하고 있는 전체 해킹 시도의 약 70%가 웹 애플리케이션의 취약점을 이용한 것으로 추정되고 있는데, 이같은 웹 애플리케이션 취약점은 웹 애플리케이션 개발자들이 보안문제를 심각하게 고려하지 않고 프로그래밍 작업을 할 뿐만 아니라 실제 보안에 대한 전문 지식을 가진 개발인력이 크게 부족해 쉽게 줄어들지 않고 있다.
그러나 네트워크 방화벽이 특정 포트로 들어오는 트래픽을 합법적이라고 판단해 악의적인 침투를 막지 못하고, 침입탐지시스템(IDS)의 경우 사전 차단능력이 없는 등 기존의 네트워크 보안 제품으로 웹 애플리케이션에 대한 공격을 막는데 한계가 있어 웹 스캐너와 웹 방화벽 등 웹 애플리케이션 보안제품을 도입하는 기업체가 늘어나고 있다.
올 들어 이미 포스코, 우리은행, 국회사무처, SKC&C 등이 STG시큐리티를 통해 이스라엘 카바도의 웹 스캐너나 웹 방화벽을 도입했으며, 최근 데이콤이 안철수연구소를 통해 미국 넷컨티넘의 웹 보안 솔루션을 공급받았다.
또 미국의 워치파이어와 제품 공급계약을 맺은 한국후지쯔는 연내에 통신사업자와 은행 등 3~4개 사이트에 웹 보안 솔루션을 공급할 수 있을 것으로 기대하고 있으며, 이밖에도 국내 정보보호 기업인 패닉시큐리티와 듀얼시큐어 등이 자체 개발한 웹 보안 솔루션을 공급하기 시작했다.
웹 애플리케이션 보안 솔루션 공급업체의 한 관계자는 "5000만원에서 1억원 선인 웹 애플리케이션 보안 솔루션 도입은 비용 대비 효과가 가장 뛰어난 웹 보안 강화책"이라며 "웹 애플리케이션 취약점을 이용한 해킹 시도가 잇따르면서 국내 기업들도 웹 보안 제품에 대한 필요성을 강하게 느끼고 있어 내년부터 관련 시장이 본격적으로 열리기 시작할 것"이라고 전망했다. @
=======================================================================
각 기업의 보안실무자들은 내년도 최대 보안 이슈를 웹 보안으로 꼽고 있으며 보안전문인력 부족을 현재 겪고 있는 최대 고충으로 생각하고 있는 것으로 나타났다.
보안관제 서비스업체 안랩코코넛(대표 이정규)이 최근 기업 보안담당자들을 대상으로 벌인 설문조사에 따르면 웹보안(33%)이 가장 이슈가 되고 있는 것으로 조사됐으며 개인정보보호(28%)와 내부정보유출 방지(26%) 등이 그 뒤를 이었다. 또 보안담당자들이 가장 필요로 하는 보안서비스도 웹방화벽(21%)과 웹취약점 분석(15%)이 1ㆍ2위로 웹 관련 보안서비스가 36%를 차지했다. 이어 내부정보유출방지(14%)와 데이터베이스(DB)보안(12%) 등이 보안담당자들에게 필요한 서비스로 나타났다.
보안담당자들이 시스템을 운영하면서 겪는 애로사항으로는 보안전문인력 부족(43%)이 압도적으로 많았는데 이는 보안담당자에게 쏟아지는 과중한 업무량을 줄이고 전문성을 꾀하기 위한 보안 아웃소싱에 대한 관심 증가로 이어질 것으로 보인다. 그 외에 적합한 솔루션 부족(19%), 보안지식 부족(18%) 등이 꼽혔다.
이번 설문은 안랩코코넛의 보안 세미나 참석자 및 고객사 보안담당자 200여명을 대상으로 이뤄졌으며 설문조사 각 항목에 대하여 중복응답을 허용했다.
이홍석기자@디지털타임스
|
