애플리케이션 중심 세상의 보안 전략 ‘클라우드 보안의 중요성’

미국 소니픽처스엔터테인먼트 CEO 메일 해킹사건, 뉴질랜드의 교통위반 벌금 메일을 빙자한 랜섬웨어의 등장, 말레이시아 항공에 대한 해킹사고 등 2015년에도 수많은 해킹 사고 소식이 각종미디어를 통해 쏟아지며 보안 위협에 대한 대중의 인식은 높아졌다.

전세계에서 가장 많은 해킹사고가 발생하는 지역은 미국이지만 각국의 모든 조직과 기업들이 공격대상이며 우리나라도 예외는 아니라 지난해 한국수력원자력 해킹사고를 시작으로 무차별적인 랜섬웨어 공격과 금융기관 해킹 등으로 다사다난한 2015년을 보냈다.

정보보안업체들은 2016년에 주목해야 할 이슈로 ▲전세계적인 사이버 범죄 조직의 창궐과 공격 경로 및 기술의 빠른 발전 ▲클라우드 보안 위협 증가 ▲랜섬웨어의 추가적 확산 ▲IoT기기 보안 위협 및 암호화된 트래픽·SSL의 위험성 등을 공통적으로 뽑고 올해에는 공격수가 기하 급수적으로 늘어날 것이며 공격 경로도 지속적으로 증가할 것을 경고했다. 

모바일, 클라우드, IoT, 애플리케이션 등의 급속한 기술 혁신을 통해 급변하는 IT 환경에서 점점 복잡해지고 지능적이 돼 가는 보안 위협을 대처하기에는 그 동안 이뤄진 보안에 대한 일반적인 접근만으로는 불충분하다.

세상 중심된 애플리케이션·애플리케이션 서비스, 애플리케이션 딜리버리 최우선 순위 ‘보안’

오늘날 세상의 중심에는 애플리케이션이 자리하고 있다. 애플리케이션은 비즈니스에 동력을 부여하며 고객 서비스를 제공하며 매출을 발생시킨다. 우리 세상을 혁신적으로 변화시키고 있는 애플리케이션은 2017년에 이르면 애플리케이션 다운로드 수가 한 해에 2000억번의 다운로드 수를 기록할 것으로 예측될 만큼 일상생활의 모든 면에서 중요한 요소가 됐으며 비즈니스 세상을 급격하게 변화시키고 있다.

F5가 지난해 말 진행한 조사에 의하면 오늘날 기업마다 평균적으로 사용하는 애플리케이션의 수는 200~500여개 정도에 도달하며 아태지역 기업의 50%에 해당하는 기업들은 최대 200개의 애플리케이션을 비즈니스에서 사용하는 것으로 조사됐다.

또한 1000개 이상의 애플리케이션을 사용하는 기업도 전체의 15%로 나타났다. 편리성과 유용성으로 인해 증가하는 스마트 디바이스로 인한 애플리케이션의 활용은 업무환경의 혁신적 변화를 주도하고 있으며 언제 어디서나 디바이스에 관계없이 정보 및 데이터를 제공하는 완벽한 애플리케이션 제공의 인프라 구축을 지원하기 위한 클라우드로의 급속한 이전은 IT관리자나 부서에게 애플리케이션의 가용성과 함께 인프라의 안전성까지 고려해야하는 어렵고 복잡한 숙제를 던져주고 있다.

오늘날 급속히 발전하는 온디맨드 문화에서 사용자들은 본인들의 애플리케이션들이 어떠한 기기에서라도 항상 그리고 빠르게 작동하기를 기대한다. 만약 기업이 이러한 기대감을 충족시키지 못할 경우 고객들이 다른 대안을 찾기는 아주 쉬워졌다.

동시에 글로벌 혁신의 속도는 보다 신속한 발표 싸이클, 지속적인 딜리버리, 데브옵스의 출현으로 가속화되고 있다. 고객들과의 연결을 지속하려는 IT부서나 기업들은 새로운 속성들을 결함 없이 제공하며 반응이 뛰어난 다양한 채널의 애플리케이션으로 고객들의 기대를 만족시켜야 한다.

애플리케이션 하나는 성능(앱들이 사용될 때 빠르게 반응하는 능력), 보안성(안전한 방식으로 앱을 사용할 수 있을 것), 또는 가용성(앱이 항상 사용가능 할 것)과 관련되는 문제들을 해결할 때 하나 이상의 애플리케이션 서비스를 필요로 한다.

궁극적으로 애플리케이션과 이를 사용하는 사용자 사이에 결함없는 서비스를 경험할 수 있으려면 기업들은 복수의 애플리케이션을 설치하고 관리해야만 한다. 애플리케이션의 설치, 다운로드, 인터페이스 및 모든 코드는 복잡한 인프라에서 이뤄지며 인프라는 가용성과 안정성을 함께 보장하며 모든 애플리케이션이 각각의 기능을 실행 할 수 있게 한다.

그 중심 역할은 애플리케이션 서비스가 맡고 있으며 애플리케이션 서비스가 수반되지 않는 애플리케이션은 사용자가 기대하는 바대로 실행되지 않는다.

즉, 애플리케이션 서비스는 애플리케이션을 위한 가용성, 보안과 가속화를 향상시키는 기술이나 서비스의 조합이다. 하나의 애플리케이션 서비스는 애플리케이션 그 자체가 아니라 애플리케이션이 설치돼 있는 환경을 위한 기술 또는 서비스를 말하며 이는 애플리케이션 보안, 모빌리티, 가용성, 성능 및 액세스 더불어 개인정보 관리 기술을 포함한다.

애플리케이션 서비스는 기업 전반에 걸쳐 증가하는 애플리케이션의 사용으로 인해 어느 때 보다 중요해지고 있으나 현재 대부분의 기업이 애플리케이션과 애플리케이션 서비스의 전반적인 도입과 관련한 성숙도의 단계가 모두 다르기 때문에 애플리케이션 딜리버리에 관해서는 기업들 제각기 다른 우선순위를 갖게 되는 경향이 있다.

클라우드와 애플리케이션 환경에 대한 아태지역의 인식조사를 진행한 F5의 ‘2015년 아태지역의 애플리케이션 딜리버리 현황’ 보고서에 따르면 기업들이 가장 중점으로 삼는 서비스는 보안 서비스가 가장 우선순위로 나타났으며 뒤를 이어 개인정보 및 액세스, 그리고 서비스 성능으로 조사됐다.

이번 조사에 의하면 애플리케이션 서비스 환경에 있어 아시아태평양 시장은 현재 클라우드 채택에 있어서는 뒤쳐지는 것으로 나타났는데 평균적으로 보안 애플리케이션 서비스의 11%만이 클라우드에 탑재돼 있고 대다수의 기업들이 보안 애플리케이션 서비스를 온프레미스에 구축하는 것을 선호한다.

그럼에도 불구하고 기업들이 클라우드로의 이전을 더 이상 미룰 수 없기 때문에 이러한 현상은 변화하고 있는데 실제로 조사된 기업의 41%가 2016년까지 25%의 애플리케이션을 클라우드로 이동할 계획이라고 답했다. 또한 1/4에 달하는 기업은 그 수치가 25~50%에 이를 것으로 나타나 하이브리드 환경의 중요성은 점점 높아짐을 보여주고 있다.

또한 기업들의 애플리케이션 서비스 인기도 측면에 있어서 현재까지 보안이 가용성을 누르며 모든 애플리케이션 서비스중에서 가장 인기가 높은 것으로 나타났다. 특히 안티바이러스와 네트워크 방화벽은 아태지역기업들의 72%가 이미 설치하고 있으며 향후 12개월 이내에 DDoS 보안, 웹 애플리케이션 방화벽과 안티 프로드 서비스를 설치할 기업은 1/4에 달하는 것으로 나타났다.

또한 APAC 지역의 보안 위협이 점점 정교해지고 증가함에 따라 조사기업의 42%는 애플리케이션 설치시 없으면 가장 우려되는 사항은 ‘보안’이라고 응답했다.

하이브리드 DDoS 솔루션과 클라우드 기반 웹 방화벽 구축 위한 고려사안
이제 IT 관리자들은 웹 및 클라우드 기반 애플리케이션 확산에 따라 보다 교묘해지고 자주 발생하는 기업 데이터와 정보에 대한 보안 위협에 기민하게 대응하고 클라우드 환경 전반의 데이터 공유와 온라인 커머스에 대한 엄격한 규제도 준수해야 하는 어려운 과제에 직면하고 있다. 

특히 가짜 트래픽 유입을 통한 대규모 DDoS 공격에 대한 방어, 기존 웹 방화벽의 기능을 넘어서는 애플리케이션 보호를 위한 방화벽에 대한 고려 등 다양한 차원의 웹 애플리케이션 보안을 대비해야 한다.

기업들이 복잡한 DDoS 공격에 대비하려고 할 때 사용하는 전통적인 두 가지 방법은 가짜 트래픽의 유입을 막기 위한 필터 스크러빙 방식과 고용량 서버를 통한 데이터 운용이었다.

현재 인터넷을 통해 콘텐츠 또는 애플리케이션을 제공하는 모든 기업들은 전통적인 데이터센터 내 온프레미스 솔루션에 더해 클라우드 기반의 DDoS솔루션을 채택해 공격 발생시에도 비즈니스를 온라인상으로 유지하고 사용자들에게 영향을 미치지 않도록 하고 있다.  

최종 목적지 웹사이트의 엔드유저 또는 네트워크에 영향을 주지 않는 정상적인 트래픽을 제공하려면 모든 공격 벡터에 대한 L3-L7 멀티레이어 보안과 자동화된 클라우드 방어 기술을 활용한 위협요소들의 실시간 탐지, 식별, 차단이 필요하다.

또한 DDoS 공격이 발생했을 때에도 고객들의 사이트 경험에는 전혀 영향을 미치지 않도록 유입되는 트래픽의 비대칭 처리 등 페이지 로딩을 더디게 하거나 비정상적인 웹 페이지를 제공하는 사용자 경험을 방지하는 기술도 중요하게 고려돼야 한다.

모든 트래픽을 지속적으로 모니터링하고 네트워크에 침입하는 어떠한 공격도 막아내며 사이트가 DDoS 공격을 받고 있을 때도 다운되지 않는 것이 고려의 우선사안이 돼야 할 것이다.

하지만 클라우드 기반의 DDoS 방어 서비스로 제공되는 포괄적인 툴셋도 정확한 셋업과 컨피규레이션이 돼야만 효과적이며 DDoS 공격으로부터 웹사이트를 보호하는 하나의 방법인 DNS 리다이렉션도 정확한 컨피규레이션 없이는 방어 서비스의 취약성이 종종 드러나곤 한다.

따라서 웹 애플리케이션 보안의 후반부는 DDoS 방어서비스로부터 유입되는 트래픽만을 허용하는 방화벽 정책을 구축해 인터넷 사이트를 통한 클라우드 기반의 DDoS 방어 서비스까지 클린한 경로를 수립하는 것이 될 수 있을 것이다.

웹 애플리케이션 방화벽 (WAF)정책을 수립해 웹에 대한 공격을 방어하고 하이브리드 환경에서의 규제 준수 또한 달성할 수 있어야 한다. 많은 기업들은 계속해서 하드웨어 중심의 WAF 어플라이언스를 활용해 전통적인 데이터센터 내에서 유지되는 주요 애플리케이션들을 보호하겠지만 중소·중견 기업이나 앱 가까이에 보호체계를 구축하기 원하는 기업들에겐 WAF를 소프트웨어 기반으로 구축하는 버추얼 WAF이 비용 대비 효과적일 것이다.

또한 최근에는 웹 트래픽이 네트워크에 들어오기 전에 또는 클라우드 내 서버에 도달하기 전에 가로채기 위해 클라우드 기반의 WAF 도 구축할 수 있다.

웹 애플리케이션을 보호하기 위해 WAF을 선택할 때는 전통적인 데이터센터 내에 배치하건 클라우드에 배치하건 ▲최신의 HTTP/S 트래픽을 위한 네트워크 아키텍처 및 애플리케이션 인프라 ▲포지티브 및 네거티브 보안 모델 양쪽을 통합적으로반영 최대한의 ROI를 낼 수 있도록 지원하는 보안 감지 기법 ▲성능, 고가용성 및 신뢰성 ▲가상 패치 및 스캐너 통합 ▲신용카드 정보 등을 빼내는 악의적 공격 방지를 위한 PCI DSS 준수 ▲레이어7 DDoS, SQL 인젝션, OWASP 톱10 보안 리스크 관리 및 제로데이 웹 애플리케이션 공격 대응 등의 애플리케이션 공격의 효과적인 보호 ▲데이터를 수집하고 분석할 수 있는 가시성과 리포팅 등을 고려해야 한다.

현재 기업들은 가상 SDDC, 매니지드 클라우드 서비스 환경, 퍼블릭 클라우드 또는 전통적인 데이터센터 등 어디에 있건 관계없이 주요 웹 애플리케이션을 보호해야 하는 시대에 접어들었다.

최근 클라우드에 대한 지능형 사이버 공격이 성행하면서 기업들은 전통적인 온프레미스 시스템만으로는 공격에 효과적으로 대응할 수 없다는 것을 확연히 깨달았다. 이제 고가의 보안장비 구축이 아니더라도 서비스 방식의 보안 정책의 수립이나 DDoS 방어 및 웹 방화벽, 보안웹게이트웨이(SWG) 등에 대한 클라우드 상의 보안은 기업의 IT 관리자들에게 필수 불가결한 고려사안이 돼야 한다.

기업의 보안 정책을 수립함에 있어 100% 완벽한 보안 정책을 수립하는 것은 불가능하다는 것이 업계의 정설이다. 하지만 전체 애플리케이션 보안에 영향을 주지 않으며 운영인력 업무를 최소화며 최적의 ROI를 구현할 수 있는 보안 전략 수립은 가능하다.