2021.11.24

“클라우드가 컴퓨터인 세상, 웹 앱과 API 보안의 현실 직시하라” 퀄시스

Adrian Bridgwater | IDG Connect
클라우드와 웹이 ‘컴퓨터’인 세상이다. 이 새로운 세상에서 시스템 보안이 어디에 어떻게 강구되어야 하는지에 대한 이해가 요구되고 있다. 보안 및 컴플라이언스 기업 퀄시스(Qualys)가 현대 엔터프라이즈를 위한 보안 전략에 대해 제시했다. 

엘비스(Elvis) 뿐 아니라 이제 애플리케이션도 건물을 떠났다. 이제 극장에서 나올 때라는 첫 알림음이 울려 퍼지고 있다. 지금은 앙코르나 다른 배우들의 무대 인사를 보기 위해 남아 있을 때가 아니라는 것이다.

그 알림의 두 번째 부분은 이제 엔터프라이즈 소프트웨어 자산 중 많은 수가 그 자체로 인터넷을 형성하는 더 광범위한 웹의 일부로 존재한다는 사실이다. 그런데 자명하면서도 중요한 이 말에는 함축하는 바가 있다.

웹 애플리케이션이 등장하고 웹 애플리케이션의 여러 시냅스를 결합하는 API가 등장하면서 예전에는 상상할 수 없던 수준의 유연성과 운영 민첩성이 가능해지고 있다. 그러나 유연성에는 대가나 희생이 따르기 마련이다. 즉, 취약점이 존재한다.

API 초고속도로는 통행량이 매우 많다. 2018년 10월 아카마이(Akamai) 트래픽 리뷰에 따르면, 전체 웹 트래픽에서 API 호출이 차지하는 비율이 83%였다. 지금은 85%나 90%에 가까울 수 있겠다. 컨텐츠 전송 네트워크 전문업체 아카마이는 API 트래픽의 대부분은 디지털 서비스와 클라우드 기반 애플리케이션 배치의 결과물인 맞춤형 애플리케이션용이라고 밝혔다.

웹 앱, 해킹 벡터로 부상했다
퀄시스(Qualsys) 웹 애플리케이션 보안 제품 관리 책임자 존 델라로더리는 이러한 현실의 문제점을 공론화했다. 그는 특정 취약점이 파악되어 해결된 후에도 웹 상의 다른 시스템(콘텐츠 관리 시스템(CMS) 등)에서는 해당 취약점이 패치 되지 않은 형태로 존재하는 점을 지적했다. 그 결과 보안 문제가 자꾸만 생기는 영화 ‘사랑의 블랙홀’과 같은 상황을 겪게 될 우려가 있다는 진단이다.

이러한 지적은 (오픈소스인 경우가 많은) CMS의 보안 완성도에 대한 것이 아니다. 웹 중심의 엔터프라이즈 소프트웨어 아키텍처가 어떻게 구축되고 있으며 우리가 엘비스의 소재지를 어디에서 찾고 있는지에 대한 것이다.

델라로더리는 퀄시스 보안 컨퍼런스 2021에서 웹 애플리케이션이 현대 기업들에게 가장 많은 해킹 벡터이자 가장 많은 데이터 유출 패턴이라고 말했다.

그는 “여기에는 이유가 있다. 웹 애플리케이션이 어디에나 있고 널리 보급된 데다가 약점을 파헤치기도 용이하기 때문이다”라고 설명했다. 중요하지 않아 보이는 웹 애플리케이션이나 API에 작은 취약점 하나만 있어도 기업 네트워크 내부로 침입하는 입구 역할을 할 가능성이 있는 것이다.

보유하는 웹 앱의 이름을 파악할 것
기술 분야의 많은 모범 사례가 그러하듯, 웹 애플리케이션 및 API 보안을 관리하는 첫 걸음은 내부에 무엇이 있는지 파악하는 것이다. 즉, 회사 내부적으로 부서 사이 및 부서 내부를 잇는 통로 역할을 하는 연결이 무엇인지, 더 나아가 스택의 어떤 부분이 외부적으로 인터넷에 접하는지 파악하는 것을 의미한다.

퀄시스의 델라로더리는 인식 감사(auditing awareness)의 필요성을 추가로 설명하는 과정에서, 최신 스택의 일부분은 회사 데이터센터 내 프라이빗 클라우드에 상주하고 다른 부분은 퍼블릭 클라우드에 상주하게 될 것이라는 사실을 강조했다. 

그에 따르면 퍼블릭 클라우드 부분에서 클라우드 서비스 제공업체(CSP)들은 애플리케이션 코드 보안에 책임을 지지 않을 수도 있기 때문에 그러한 점을 고려한 프로비저닝이 관건이다. 결국에는 항상 각 개별 애플리케이션과 관련된 비즈니스 위험의 문제로 귀결될 것이기 때문이다.

미션 크리티컬한 웹 애플리케이션의 상당 부분을 활용하는 회사들(솔직히 말하면 웹 앱이 있는 모든 회사들)이 해야 할 일은 배치한 웹 앱을 빠짐없이 기록한 현황 목록과 함께 해당하는 API ‘메뉴’ 목록을 갖추는 것이다.

퀄시스는 나름대로 이 작업에 도움을 주기 위해 퀄시스 웹 애플리케이션 스캐닝(WAS) 제품을 제공하고 있지만, 회사들이 자체적으로 해결해야 할 문화적인 문제들이 존재하고 그는 설명했다.

또 다른 ‘VM’인 취약점 관리
정보 기술 분야 중에서 VM이 가상 머신(Virtual Machine)의 약자로 알려져 있다. 그러나 취약점 관리(Vulnerability Management)의 약자이기도 하다. 퀄시스는 모르고 있거나 최신 현황 목록에서 빠져 있는 웹 앱 또는 API를 찾아내기 위해 웹 애플리케이션 보안(WAS) 카탈로그를 제공하고 있다.

델라로더리는 더 나아가 보안 테스트를 조기에 실시하고 그 과정을 자동화하는 것의 중요성을 강조했다. 동적 스캐너인 퀄시스 WAS는 웹 앱 또는 API의 실행 인스턴스만 있으면 웹 앱이나 API에 취약점이 없는지 검사할 수 있다. CTO들과 CIO들은 이러한 스캔 기능을 CI/CD 파이프라인 내에 구축할 방법을 찾아야 하는데 퀄시스는 플러그인이라는 통합 기능을 통해 이를 가능하게 해 준다.

이 시점에서 역할 기반 접근 통제(RBAC)와 네트워크 내부에 누가 무엇을 하는지 관리하는 보안 팀의 역할에 대한 논의가 시작된다. 보다 자세한 설명을 위해 퀄시스는 WAS 셀프 서비스 모델 백서를 발간했다.

델라로더리는 컨퍼런스 기조연설을 통해 이 전체 주제를 강조하는 한편 탐지와 대응의 다음 향방을 중심으로 웹 애플리케이션 보안에 대해 이야기했다. 그는 많은 회사들의 웹 앱 프로그램은 미성숙한 것, 성장 중인 것, 애플리케이션 스캐닝이 보다 발전한 보다 성숙한 것 등이 뒤섞여 있게 될 것임을 시사했다.

그에 따르면 퀄시스 플랫폼은 취약점이 발견되면 알려 주는 커스텀 설계된 규칙 기반 알림을 약속한다. 즉, 각 조직은 취약점이 즉시 드러나 조치를 취할 수 있는 맞춤식 알림을 받을 수 있게 된다. 패치 적용 속도가 빨라질 수록 확실히 취약점 해결이 더욱 개선된다.

애플리케이션과 웹 앱은 어떻게 다른가?
델라로더리에 따르면 이제 기업 최고위급 IT 관리자들은 한 발 물러서서 중요한 질문을 해야 한다. 애플리케이션과 웹 애플리케이션은 어떻게 다른가? 다를 게 없기도 하고 완전히 다르기도 하다. 

다를 게 없는 이유는 ‘정상’ 최신 소프트웨어 애플리케이션에 존재하는 구성요소와 메커니즘이 대부분 웹 앱에서 충분히 존재할 수 있기 때문이다.

완전히 다른 이유는 웹 애플리케이션의 모든 내부 구성요소는 악성 행위자의 공격 표면이 될 가능성이 있기 때문이다. 웹 앱과 API는 근본적으로 HTTP 또는 HTTPS를 통해 기능하는 서비스들이다. 즉, 코드의 모든 줄, 모든 API, 모든 IP 주소 연결, 모든 입출력 채널, 심지어는 모든 웹페이지 사용자 인터페이스(UI) 명령까지 웹 연결을 통해 새로운 방식으로 노출된다는 뜻이다.

웹 앱은 매우 좋지만 클라우드 서비스 취약점과 구성 오류 분석이 결합된 앱 보안은 항상 더 좋아야 한다고 델라로더리는 강조했다. ciokr@idg.co.kr



2021.11.24

“클라우드가 컴퓨터인 세상, 웹 앱과 API 보안의 현실 직시하라” 퀄시스

Adrian Bridgwater | IDG Connect
클라우드와 웹이 ‘컴퓨터’인 세상이다. 이 새로운 세상에서 시스템 보안이 어디에 어떻게 강구되어야 하는지에 대한 이해가 요구되고 있다. 보안 및 컴플라이언스 기업 퀄시스(Qualys)가 현대 엔터프라이즈를 위한 보안 전략에 대해 제시했다. 

엘비스(Elvis) 뿐 아니라 이제 애플리케이션도 건물을 떠났다. 이제 극장에서 나올 때라는 첫 알림음이 울려 퍼지고 있다. 지금은 앙코르나 다른 배우들의 무대 인사를 보기 위해 남아 있을 때가 아니라는 것이다.

그 알림의 두 번째 부분은 이제 엔터프라이즈 소프트웨어 자산 중 많은 수가 그 자체로 인터넷을 형성하는 더 광범위한 웹의 일부로 존재한다는 사실이다. 그런데 자명하면서도 중요한 이 말에는 함축하는 바가 있다.

웹 애플리케이션이 등장하고 웹 애플리케이션의 여러 시냅스를 결합하는 API가 등장하면서 예전에는 상상할 수 없던 수준의 유연성과 운영 민첩성이 가능해지고 있다. 그러나 유연성에는 대가나 희생이 따르기 마련이다. 즉, 취약점이 존재한다.

API 초고속도로는 통행량이 매우 많다. 2018년 10월 아카마이(Akamai) 트래픽 리뷰에 따르면, 전체 웹 트래픽에서 API 호출이 차지하는 비율이 83%였다. 지금은 85%나 90%에 가까울 수 있겠다. 컨텐츠 전송 네트워크 전문업체 아카마이는 API 트래픽의 대부분은 디지털 서비스와 클라우드 기반 애플리케이션 배치의 결과물인 맞춤형 애플리케이션용이라고 밝혔다.

웹 앱, 해킹 벡터로 부상했다
퀄시스(Qualsys) 웹 애플리케이션 보안 제품 관리 책임자 존 델라로더리는 이러한 현실의 문제점을 공론화했다. 그는 특정 취약점이 파악되어 해결된 후에도 웹 상의 다른 시스템(콘텐츠 관리 시스템(CMS) 등)에서는 해당 취약점이 패치 되지 않은 형태로 존재하는 점을 지적했다. 그 결과 보안 문제가 자꾸만 생기는 영화 ‘사랑의 블랙홀’과 같은 상황을 겪게 될 우려가 있다는 진단이다.

이러한 지적은 (오픈소스인 경우가 많은) CMS의 보안 완성도에 대한 것이 아니다. 웹 중심의 엔터프라이즈 소프트웨어 아키텍처가 어떻게 구축되고 있으며 우리가 엘비스의 소재지를 어디에서 찾고 있는지에 대한 것이다.

델라로더리는 퀄시스 보안 컨퍼런스 2021에서 웹 애플리케이션이 현대 기업들에게 가장 많은 해킹 벡터이자 가장 많은 데이터 유출 패턴이라고 말했다.

그는 “여기에는 이유가 있다. 웹 애플리케이션이 어디에나 있고 널리 보급된 데다가 약점을 파헤치기도 용이하기 때문이다”라고 설명했다. 중요하지 않아 보이는 웹 애플리케이션이나 API에 작은 취약점 하나만 있어도 기업 네트워크 내부로 침입하는 입구 역할을 할 가능성이 있는 것이다.

보유하는 웹 앱의 이름을 파악할 것
기술 분야의 많은 모범 사례가 그러하듯, 웹 애플리케이션 및 API 보안을 관리하는 첫 걸음은 내부에 무엇이 있는지 파악하는 것이다. 즉, 회사 내부적으로 부서 사이 및 부서 내부를 잇는 통로 역할을 하는 연결이 무엇인지, 더 나아가 스택의 어떤 부분이 외부적으로 인터넷에 접하는지 파악하는 것을 의미한다.

퀄시스의 델라로더리는 인식 감사(auditing awareness)의 필요성을 추가로 설명하는 과정에서, 최신 스택의 일부분은 회사 데이터센터 내 프라이빗 클라우드에 상주하고 다른 부분은 퍼블릭 클라우드에 상주하게 될 것이라는 사실을 강조했다. 

그에 따르면 퍼블릭 클라우드 부분에서 클라우드 서비스 제공업체(CSP)들은 애플리케이션 코드 보안에 책임을 지지 않을 수도 있기 때문에 그러한 점을 고려한 프로비저닝이 관건이다. 결국에는 항상 각 개별 애플리케이션과 관련된 비즈니스 위험의 문제로 귀결될 것이기 때문이다.

미션 크리티컬한 웹 애플리케이션의 상당 부분을 활용하는 회사들(솔직히 말하면 웹 앱이 있는 모든 회사들)이 해야 할 일은 배치한 웹 앱을 빠짐없이 기록한 현황 목록과 함께 해당하는 API ‘메뉴’ 목록을 갖추는 것이다.

퀄시스는 나름대로 이 작업에 도움을 주기 위해 퀄시스 웹 애플리케이션 스캐닝(WAS) 제품을 제공하고 있지만, 회사들이 자체적으로 해결해야 할 문화적인 문제들이 존재하고 그는 설명했다.

또 다른 ‘VM’인 취약점 관리
정보 기술 분야 중에서 VM이 가상 머신(Virtual Machine)의 약자로 알려져 있다. 그러나 취약점 관리(Vulnerability Management)의 약자이기도 하다. 퀄시스는 모르고 있거나 최신 현황 목록에서 빠져 있는 웹 앱 또는 API를 찾아내기 위해 웹 애플리케이션 보안(WAS) 카탈로그를 제공하고 있다.

델라로더리는 더 나아가 보안 테스트를 조기에 실시하고 그 과정을 자동화하는 것의 중요성을 강조했다. 동적 스캐너인 퀄시스 WAS는 웹 앱 또는 API의 실행 인스턴스만 있으면 웹 앱이나 API에 취약점이 없는지 검사할 수 있다. CTO들과 CIO들은 이러한 스캔 기능을 CI/CD 파이프라인 내에 구축할 방법을 찾아야 하는데 퀄시스는 플러그인이라는 통합 기능을 통해 이를 가능하게 해 준다.

이 시점에서 역할 기반 접근 통제(RBAC)와 네트워크 내부에 누가 무엇을 하는지 관리하는 보안 팀의 역할에 대한 논의가 시작된다. 보다 자세한 설명을 위해 퀄시스는 WAS 셀프 서비스 모델 백서를 발간했다.

델라로더리는 컨퍼런스 기조연설을 통해 이 전체 주제를 강조하는 한편 탐지와 대응의 다음 향방을 중심으로 웹 애플리케이션 보안에 대해 이야기했다. 그는 많은 회사들의 웹 앱 프로그램은 미성숙한 것, 성장 중인 것, 애플리케이션 스캐닝이 보다 발전한 보다 성숙한 것 등이 뒤섞여 있게 될 것임을 시사했다.

그에 따르면 퀄시스 플랫폼은 취약점이 발견되면 알려 주는 커스텀 설계된 규칙 기반 알림을 약속한다. 즉, 각 조직은 취약점이 즉시 드러나 조치를 취할 수 있는 맞춤식 알림을 받을 수 있게 된다. 패치 적용 속도가 빨라질 수록 확실히 취약점 해결이 더욱 개선된다.

애플리케이션과 웹 앱은 어떻게 다른가?
델라로더리에 따르면 이제 기업 최고위급 IT 관리자들은 한 발 물러서서 중요한 질문을 해야 한다. 애플리케이션과 웹 애플리케이션은 어떻게 다른가? 다를 게 없기도 하고 완전히 다르기도 하다. 

다를 게 없는 이유는 ‘정상’ 최신 소프트웨어 애플리케이션에 존재하는 구성요소와 메커니즘이 대부분 웹 앱에서 충분히 존재할 수 있기 때문이다.

완전히 다른 이유는 웹 애플리케이션의 모든 내부 구성요소는 악성 행위자의 공격 표면이 될 가능성이 있기 때문이다. 웹 앱과 API는 근본적으로 HTTP 또는 HTTPS를 통해 기능하는 서비스들이다. 즉, 코드의 모든 줄, 모든 API, 모든 IP 주소 연결, 모든 입출력 채널, 심지어는 모든 웹페이지 사용자 인터페이스(UI) 명령까지 웹 연결을 통해 새로운 방식으로 노출된다는 뜻이다.

웹 앱은 매우 좋지만 클라우드 서비스 취약점과 구성 오류 분석이 결합된 앱 보안은 항상 더 좋아야 한다고 델라로더리는 강조했다. ciokr@idg.co.kr

X