2017.06.28

패치 없이 CMS 보안을 강화하는 방법

Peter Sayer | IDG News Service
해커가 오픈소스 콘텐츠 관리 시스템(CMS)용 소프트웨어 패치를 리버스 엔지니어링해 보안 취약점을 만드는 데는 단 4시간이면 된다. 이렇게 만든 보안 취약점을 악용하면 웹사이트 수백만 개를 스팸 메일과 악성코드 호스트로 바꾸거나 디도스 공격에 악용할 수 있다.



독일 단체인 'CMS 가든(CMS Garden)' 회원인 데이빗 자딘은 "이런 상황에서 일반적인 사이트 관리자는 CMS를 업데이트해 대응할 수 있는 시간이 부족하다"고 말했다. CMS 가든은 더 많은 사용자가 두루팔(Drupal), 줌라(Joomla), 워드프레스 같은 오픈소스 CMS 소프트웨어를 활용할 수 있도록 지원하는 단체다.

CMS 가든은 일반 사용자가 패치를 더 빠르게 설치할 수 있도록 정부 프로젝트인 '스위코스(Secure Websites and Content Management Systems)'에 참여하고 있다. 스위코스는 독일 내 중소기업의 웹사이트 보안을 강화하는 데 주력하고 있다.

자딘에 따르면, 현재 스위코스의 활동은 크게 3가지다. 먼저 보훔대 연구자 등이 참여해 스캐닝 엔진을 개발하고 있다. 이를 이용하면 기업 사용자가 기업 웹사이트의 잠재적 보안 문제를 확인할 수 있다. 잘못된 SSL 설정이나 크로스 사이트 스크립팅 공격에 악용될 수 있는 보안취약점 등이 대표적이다. 두 번째로 다양한 CMS용 플러그인을 개발하고 있다. CMS 관리 인터페이스 내에서 보안 정보를 제공해 사이트 운영자가 즉시 조처할 수 있도록 하는 플러그인이다.

세 번째는 자딘이 가장 흥미롭게 생각하는 것으로, 해커의 공격이 보안 취약점을 가진 CMS에 도달하기 전에 웹 호스팅 업체가 이를 걸러낼 수 있도록 돕는 것이다. 자딘은 이 프로젝트를 M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group) 회의 공식 의제로 제안한 상태다. M3AAWG는 인터넷 인프라스트럭처 해킹에 대응하기 위해 만들어진 조직이다.

자딘에 따르면 CMS 가든이 보급하는 오픈소스 CMS에는 태생적인 보안취약점이 없다. 문제는 이를 사용하는 사이트 운영자가 시스템을 최신 상태로 유지 관리할 시간이 없다는 점이다. 그래서 대안으로 찾은 것이 호스팅 업체를 통한 조치다. 그는 "웹 호스팅 업체와 직접 논의하면 해당 호스팅 업체를 통해 사이트를 운영하는 관리자가 보안 관련 업무에서 다소 벗어날 수 있다"고 말했다.


구체적인 방법을 보면, 웹 호스팅 업체가 사용자를 위해 고객 CMS를 패치하는 형식이 아니다. 대신 패치가 배포됨과 동시에 미리 만들어 놓은 웹 호스팅 업체의 웹 애플리케이션 방화벽용 필터 정책을 제공한다. 이 필터 정책을 적용하면 패치하려는 보안 취약점을 해커가 악용하기 힘들어진다. 그는 "웹 호스팅 업체가 이 필터 정책을 바로 적용하면 최종 사용자가 새 보안 패치를 설치할 시간을 더 벌 수 있다"고 말했다.

스위코스는 이러한 방식을 오랜 기간 테스트해 왔다. 테스트 규모가 크지는 않았지만 줌라 프로젝트를 포함해 다양한 독일 웹 호스팅 업체와 함께 진행했다. 실제로 최근 한 보안 사고가 발생했을 때 이 필터를 적용한 한 독일 호스팅 업체는 줌라 패치가 나온 첫날에만 시간당 15만 번에 달하는 사이버 공격을 차단할 수 있었다.

물론 호스팅 업체는 이런 필터를 스스로 만들 수 있다. 그러나 이를 위해서는 호스팅 업체가 직접 보안 패치를 리버스 엔지니어링해야 한다. 더 빠르고 안전하게 대응하려면 CMS 가든 같은 조직의 도움을 받는 것이 더 효율적이다. 자딘은 "CMS 커뮤니티는 자신의 개발한 시스템에 대해 잘 알고 있으므로 필터를 만드는 것은 큰일이 아니다. 부작용을 최소화하면서 필터를 제작할 수 있고 웹 호스팅 업체는 이를 무료로 이용할 수 있다"고 말했다.

스위코스 프로젝트는 독일 정부의 재정 지원을 받고 있고, 현재는 주로 독일 중소기업 웹사이트 보안을 높이는 데 집중하고 있다. 그러나 인터넷 트래픽에는 국경이 없다. 자딘은 "독일 기업이라고 해도 회사 사이트는 전 세계를 대상으로 서비스한다. 우리는 가능한 많은 사람과 논의해 더 많은 지역에서 이를 사용하도록 노력하는 것도 이 때문이다"고 말했다.

스위코스의 스캐닝 시스템은 모듈러 API(Application Programming Interface)를 이용한다. 현재는 클로즈드 베타 상태지만 늦어도 오는 9월에는 첫 플러그인을 일반에 공개할 예정이다. 현재 개발하는 모듈 중에는 CSP(Content Security Policy) 등 보안 관련된 HTTP 헤더를 스캔하는 툴도 포함돼 있다.

자딘은 "CSP 헤더는 필터 정책을 만드는 데 있어 매우 중요하다. 이를 이용하면 사이트가 악성코드에 감염돼도 이가 실행되는 것을 막을 수 있기 때문이다. 이들은 서버 설정에서 SSL과 TLS 인증서를 검증하고 HTML 코드 내 악성코드를 확인하는 스캐너 역할도 할 수 있다"고 말했다.

자딘은 이와 함께 웹 호스팅 서비스와 프라이빗 메일링 리스트를 9월 중에 함께 제공할 예정이다. 프라이빗 형태로 운영하는 것은 CMS를 해킹할 수 있는 보안 취약점을 패치하기 전에 해커에게 추가 정보가 넘어가는 것을 막기 위해서다. 그는 "방화벽 룰이 노출되면 숙련된 해커가 보안 취약점을 더 만들기 쉽다. 우리가 메일링 리스트 가입자에 일정한 제한을 두는 것도 이 때문이다"고 말했다.

한편 스위코스의 웹 앱 방화벽 정책 개발은 현재 워드프레스가 일부 웹 호스팅 업체와 함께 작업하는 것과 비슷해 보인다. 이에 대해 스위코스는 다양한 CMS 프로젝트와 협업하고 있고 더 많은 웹 호스팅 업체에 이를 제공하는 것으로 차별화할 예정이다. 그는 "우리 프로젝트의 강점은 모든 CMS에 대한 정보를 한 곳에서 확인할 수 있다는 것이다"고 말했다.

이 무료 서비스가 본격화되면 상용 웹 애플리케이션 방화벽 업체에 타격이 될 수 있다는 지적도 있다. 이에 대해 자딘은 오히려 상용 방화벽 업체가 얻을 것이 더 많아진다고 반박했다.

그는 "이들 업체는 각 CMS를 속속들이 알지 못하고 관련 보안 문제에 대한 어떤 선행 정보도 갖고 있지 않다. 이는 방화벽 업체가 적절한 방화벽 룰을 만드는 데 최소 24~48시간이 걸린다는 것을 의미한다. 이처럼 보안 문제가 발생한 초기에 우리는 관련 정보를 업체에 제공할 예정이다. 이는 기존 서비스와 완전히 다른 것이다"고 말했다. ciokr@idg.co.kr



2017.06.28

패치 없이 CMS 보안을 강화하는 방법

Peter Sayer | IDG News Service
해커가 오픈소스 콘텐츠 관리 시스템(CMS)용 소프트웨어 패치를 리버스 엔지니어링해 보안 취약점을 만드는 데는 단 4시간이면 된다. 이렇게 만든 보안 취약점을 악용하면 웹사이트 수백만 개를 스팸 메일과 악성코드 호스트로 바꾸거나 디도스 공격에 악용할 수 있다.



독일 단체인 'CMS 가든(CMS Garden)' 회원인 데이빗 자딘은 "이런 상황에서 일반적인 사이트 관리자는 CMS를 업데이트해 대응할 수 있는 시간이 부족하다"고 말했다. CMS 가든은 더 많은 사용자가 두루팔(Drupal), 줌라(Joomla), 워드프레스 같은 오픈소스 CMS 소프트웨어를 활용할 수 있도록 지원하는 단체다.

CMS 가든은 일반 사용자가 패치를 더 빠르게 설치할 수 있도록 정부 프로젝트인 '스위코스(Secure Websites and Content Management Systems)'에 참여하고 있다. 스위코스는 독일 내 중소기업의 웹사이트 보안을 강화하는 데 주력하고 있다.

자딘에 따르면, 현재 스위코스의 활동은 크게 3가지다. 먼저 보훔대 연구자 등이 참여해 스캐닝 엔진을 개발하고 있다. 이를 이용하면 기업 사용자가 기업 웹사이트의 잠재적 보안 문제를 확인할 수 있다. 잘못된 SSL 설정이나 크로스 사이트 스크립팅 공격에 악용될 수 있는 보안취약점 등이 대표적이다. 두 번째로 다양한 CMS용 플러그인을 개발하고 있다. CMS 관리 인터페이스 내에서 보안 정보를 제공해 사이트 운영자가 즉시 조처할 수 있도록 하는 플러그인이다.

세 번째는 자딘이 가장 흥미롭게 생각하는 것으로, 해커의 공격이 보안 취약점을 가진 CMS에 도달하기 전에 웹 호스팅 업체가 이를 걸러낼 수 있도록 돕는 것이다. 자딘은 이 프로젝트를 M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group) 회의 공식 의제로 제안한 상태다. M3AAWG는 인터넷 인프라스트럭처 해킹에 대응하기 위해 만들어진 조직이다.

자딘에 따르면 CMS 가든이 보급하는 오픈소스 CMS에는 태생적인 보안취약점이 없다. 문제는 이를 사용하는 사이트 운영자가 시스템을 최신 상태로 유지 관리할 시간이 없다는 점이다. 그래서 대안으로 찾은 것이 호스팅 업체를 통한 조치다. 그는 "웹 호스팅 업체와 직접 논의하면 해당 호스팅 업체를 통해 사이트를 운영하는 관리자가 보안 관련 업무에서 다소 벗어날 수 있다"고 말했다.


구체적인 방법을 보면, 웹 호스팅 업체가 사용자를 위해 고객 CMS를 패치하는 형식이 아니다. 대신 패치가 배포됨과 동시에 미리 만들어 놓은 웹 호스팅 업체의 웹 애플리케이션 방화벽용 필터 정책을 제공한다. 이 필터 정책을 적용하면 패치하려는 보안 취약점을 해커가 악용하기 힘들어진다. 그는 "웹 호스팅 업체가 이 필터 정책을 바로 적용하면 최종 사용자가 새 보안 패치를 설치할 시간을 더 벌 수 있다"고 말했다.

스위코스는 이러한 방식을 오랜 기간 테스트해 왔다. 테스트 규모가 크지는 않았지만 줌라 프로젝트를 포함해 다양한 독일 웹 호스팅 업체와 함께 진행했다. 실제로 최근 한 보안 사고가 발생했을 때 이 필터를 적용한 한 독일 호스팅 업체는 줌라 패치가 나온 첫날에만 시간당 15만 번에 달하는 사이버 공격을 차단할 수 있었다.

물론 호스팅 업체는 이런 필터를 스스로 만들 수 있다. 그러나 이를 위해서는 호스팅 업체가 직접 보안 패치를 리버스 엔지니어링해야 한다. 더 빠르고 안전하게 대응하려면 CMS 가든 같은 조직의 도움을 받는 것이 더 효율적이다. 자딘은 "CMS 커뮤니티는 자신의 개발한 시스템에 대해 잘 알고 있으므로 필터를 만드는 것은 큰일이 아니다. 부작용을 최소화하면서 필터를 제작할 수 있고 웹 호스팅 업체는 이를 무료로 이용할 수 있다"고 말했다.

스위코스 프로젝트는 독일 정부의 재정 지원을 받고 있고, 현재는 주로 독일 중소기업 웹사이트 보안을 높이는 데 집중하고 있다. 그러나 인터넷 트래픽에는 국경이 없다. 자딘은 "독일 기업이라고 해도 회사 사이트는 전 세계를 대상으로 서비스한다. 우리는 가능한 많은 사람과 논의해 더 많은 지역에서 이를 사용하도록 노력하는 것도 이 때문이다"고 말했다.

스위코스의 스캐닝 시스템은 모듈러 API(Application Programming Interface)를 이용한다. 현재는 클로즈드 베타 상태지만 늦어도 오는 9월에는 첫 플러그인을 일반에 공개할 예정이다. 현재 개발하는 모듈 중에는 CSP(Content Security Policy) 등 보안 관련된 HTTP 헤더를 스캔하는 툴도 포함돼 있다.

자딘은 "CSP 헤더는 필터 정책을 만드는 데 있어 매우 중요하다. 이를 이용하면 사이트가 악성코드에 감염돼도 이가 실행되는 것을 막을 수 있기 때문이다. 이들은 서버 설정에서 SSL과 TLS 인증서를 검증하고 HTML 코드 내 악성코드를 확인하는 스캐너 역할도 할 수 있다"고 말했다.

자딘은 이와 함께 웹 호스팅 서비스와 프라이빗 메일링 리스트를 9월 중에 함께 제공할 예정이다. 프라이빗 형태로 운영하는 것은 CMS를 해킹할 수 있는 보안 취약점을 패치하기 전에 해커에게 추가 정보가 넘어가는 것을 막기 위해서다. 그는 "방화벽 룰이 노출되면 숙련된 해커가 보안 취약점을 더 만들기 쉽다. 우리가 메일링 리스트 가입자에 일정한 제한을 두는 것도 이 때문이다"고 말했다.

한편 스위코스의 웹 앱 방화벽 정책 개발은 현재 워드프레스가 일부 웹 호스팅 업체와 함께 작업하는 것과 비슷해 보인다. 이에 대해 스위코스는 다양한 CMS 프로젝트와 협업하고 있고 더 많은 웹 호스팅 업체에 이를 제공하는 것으로 차별화할 예정이다. 그는 "우리 프로젝트의 강점은 모든 CMS에 대한 정보를 한 곳에서 확인할 수 있다는 것이다"고 말했다.

이 무료 서비스가 본격화되면 상용 웹 애플리케이션 방화벽 업체에 타격이 될 수 있다는 지적도 있다. 이에 대해 자딘은 오히려 상용 방화벽 업체가 얻을 것이 더 많아진다고 반박했다.

그는 "이들 업체는 각 CMS를 속속들이 알지 못하고 관련 보안 문제에 대한 어떤 선행 정보도 갖고 있지 않다. 이는 방화벽 업체가 적절한 방화벽 룰을 만드는 데 최소 24~48시간이 걸린다는 것을 의미한다. 이처럼 보안 문제가 발생한 초기에 우리는 관련 정보를 업체에 제공할 예정이다. 이는 기존 서비스와 완전히 다른 것이다"고 말했다. ciokr@idg.co.kr

X