Offcanvas

검색|인터넷 / 블록체인 / 신기술|미래

잊혀진 보안 허점부터 과도한 복잡성까지... ‘연합 웹’의 어두운 비밀 9가지

2022.11.02 Peter Wayner  |  InfoWorld
중앙집중식 제어(Centralized control)와 월드 가든(Walled garden)이 없는 ‘연합 웹(Federated web)’은 첨단기술을 기반으로 하는 이상적인 개념이다. 이 개념을 실현하는 것이 왜 어려울까? 

미국의 시인 로버트 프로스트는 ‘좋은 울타리가 좋은 이웃을 만든다(Good fences make good neighbors)’라고 말했다. 오늘날 많은 개발자가 인터넷에서 이러한 생각을 한다. 웹사이트 및 서버가 서로 얽히지 않고 별도의 공간에 사는 세상을 갈망하고 있는 것. 많은 사람이 ‘연합 웹(Federated web)’이라는 아이디어에 관심을 보이고 있다. 
 
ⓒGetty Images Bank

‘연합’이라는 용어는 미국의 정치 구조를 이끄는 철학인 연방주의(Federalism)를 암시한다. 미국의 각 주는 주권을 유지하며, 국가 전체는 이러한 독립으로부터 이익을 얻는다. 인터넷도 유사하게 작동한다. 이상적으로 보면 인터넷은 회복탄력성, 유연성, (자유를 소중히 여기는 이를 위한) 분산된 권력의 조합이다. 

실제로 오늘날의 웹은 독립적인 섬 그리고 긴밀하게 통합된 사일로가 혼합돼 있다. 연합 웹 디자인을 구현하면서 서로 멀리 떨어져 함께 작동하는 사이트의 예가 많다. 또 중앙 관리자가 모든 상호작용을 지배하는 월드 가든은 통제를 운영 방법(modus operandi)으로 구현한다. 

하지만 (비유하자면) 독립적인 영지와 공국으로 이뤄진 세계의 장점을 갖췄음에도 연합 웹에는 단점이 있다. 여기서는 연합 웹의 어두운 비밀, 즉 대다수가 외면하는 숨겨진 문제를 살펴본다. 물론 이러한 문제는 이 비전을 포기할 충분한 이유가 되진 않으며, 오히려 더 균형 있는 기술 솔루션 개발에 기여할 수 있다. 

규모의 경제는 없다
많은 합병 및 롤업은 규모의 경제에 의해 주도된다. 수백 혹은 수천 개의 독립적인 웹사이트는 계정, 로그 및 기타 오버헤드로 가득 찬 수백 또는 수천 개의 데이터베이스를 의미한다. 각 사이트는 별도의 시스템 관리자, 데이터베이스 관리자 혹은 데브옵스 팀이 필요하다. 그 숫자가 수백만 또는 수십억에 이르기 시작하면 모든 것을 한 지붕 아래로 끌어내리려는 경제적 압력이 상당하다. 드루팔(Drupal), 워드프레스(WordPress) 등의 오픈소스 플랫폼은 각 사이트가 독립성을 유지하면서 개발 복잡성 및 오버헤드의 상당 부분을 더 큰 시스템으로 넘길 수 있는 솔루션을 제공한다. 

더 많은 로깅
연합 웹에서 2개 이상의 사이트가 협력한다면 데이터 패킷을 교환해 권한을 확인하는 것부터 시작한다. 이 모든 정보는 대역폭 요금과 로그 저장 비용을 증가시킨다. 여기서 데이터 스토리지는 저렴하고, (작은 패킷용) 대역폭 요금도 나쁘진 않지만 권한 승인 및 조정이 끊임없이 늘어난다. 

몇몇 개발자는 한 걸음 더 나아가 블록체인 등의 기술을 사용하여 끊임없는 트랜잭션 및 이벤트를 추적하길 원한다. 이러한 이벤트를 수집하고 블록체인으로 보증하는 작업은 특히 계산 부하가 큰 작업증명 합의 알고리즘을 사용할 때 더 많은 오버헤드를 의미한다. 지분증명 혹은 관리형 블록체인 등의 경량화된 알고리즘도 기록 관리 부담을 가중시킨다. 

도처에 있는 디지털 서명
암호 과학은 연합 웹의 모든 상호작용을 인증할 수 있는 훌륭한 알고리즘을 많이 제공했다. 이 수학은 완벽하진 않지만 데이터 패킷의 신뢰성을 크게 향상시킬 수 있다. 연합 웹과 관련한 희소식은 몇몇 기업이 내부 네트워크에 이와 동일한 보안 조치를 배포하기 시작했다는 점이다. 비록 데이터베이스와 서버가 모두 같은 기업에서 실행되더라도 많은 보안 전문가는 각 시스템이 모든 패킷을 조사해야 한다고 주장하는 제로 트러스트 아키텍처를 채택하고 있다. 

복잡한 캐싱
인터넷 속도는 대부분 스마트 캐싱 정책에 의존한다. 연합 아키텍처에는 캐싱과 관련해 법적 및 실질적 번거로움을 겪을 수 있다는 단점이 있다. (예를 들면) 한 사용자는 온라인 상점용 결제 시스템을 다시 만드는 데 수개월을 보냈다. 신용카드 프로세서에 캐싱 규칙이 있었고, 이로 인해 큰 성능 문제가 발생했다. 

연합 사이트는 정보를 공유할 수 있지만 상호작용으로 유지할 수 있는 데이터의 양에 엄격한 규칙을 갖추고 있을 수 있다. 아마도 이러한 사이트는 보안을 걱정하거나, (사용자가) 더 이상 필요하지 않을 만큼 충분한 데이터를 캐싱할 수 있다는 점을 우려할 수 있다. 어떤 경우이든 연합사이트에서 캐싱은 번거로운 작업이다. 

잊혀진 보안 허점
사이트에서 연합 관계를 단순화하는 한 가지 방법은 권한을 저장하고, 몇 달 혹은 몇 년 동안 계속 실행하는 것이다. 사용자는 권한 재부여에 드는 시간을 절약할 수 있다는 점을 마음에 들어 한다. 한편으로는 사용자가 몇몇 원격 서버에 권한을 부여했다는 점을 잊어 보안 허점이 생길 수 있다. 간단한 해결책은 없다. 사용자에게 권한 부여를 너무 자주 요청하는 것은 번거롭고 시간 낭비다. 하지만 자주 요청하지 않으면 보안 허점이 생긴다. 일부 사이트는 몇 개월마다 한 번씩 메시지를 보내 승인된 연결을 검토하도록 요청한다. 권한 재부여를 유도하기 위한 부드러운 방법이다. 

계단식 보안 장애
이상적으로 보면 연합 아키텍처는 특히 보안 장애에 탄력적이다. 하지만 시스템은 서로에게 영향을 미치기 때문에, 한 시스템에서 발생한 문제로 나머지 시스템이 모두 중단될 수 있다. 일례로 다수의 연합된 사이트가 권한 부여 혹은 식별을 위해 한 파트너에 의존할 경우 이 파트너는 잠재적으로 취약한 고리가 된다. 한 사이트에서 장애가 발생해 다수의 보안 장애로 이어지는 일은 흔하다.  
 
취약한 종속성
자바 개발자를 겁주고 싶다면 오픈소스 로깅 프레임워크 로그4j(Log4j)를 언급하면 된다. 거의 모든 자바 애플리케이션에서 사용되는 이 프레임워크에서 보안 취약점이 발견되자 전 세계 개발자는 존재조차 알지 못했던 취약점을 패치하느라 고군분투했다. 개발자는 자신의 라이브러리가 안전하다고 신뢰할 필요가 있지만 모든 코드 라인을 테스트하지 않고는 코드 안전성을 인증할 방법이 없다. 

연합 웹은 유사한 종류의 위험을 초래한다. 코드는 깨끗할 수 있다. 하지만 파트너 관계를 맺은 다른 웹사이트 혹은 파트너에 대해 무엇을 알고 있는가? 연합 웹 이상주의자는 필요에 따라 공개되거나 익명화될 수 있는 상호 연결된 사이트의 거대하고 풍부한 컬렉션을 상상하곤 한다. 문제는 이러한 시스템 내의 실질적인 책임이다. 책임을 지지 않는 팀이 (자신의) 코드를 검사하는 것을 그 누구도 원치 않는다. 연합 웹의 웹사이트도 마찬가지다.  
 
여전히 지배적인 ‘모놀리스’
아마존, 이베이 등의 모놀리식 기업은 사실상 수백만 개에 달하는 소규모 회사의 집합이다. 사용자에게는 하나의 거대한 시스템으로 보일 수 있으나 내부에는 꽤 많은 연합이 있다. 차이는 권력의 집중에 있다. 중앙 기업이 의사결정을 하고, 작은 회사는 이를 따른다. 문제는 연합 웹을 유지하는 데 필요한 모든 작업이 완료돼야 하며, 이러한 작업을 수행하는 주체가 불가피하게 중앙집중식 권력을 갖게 된다는 점이다. 
 
과도한 복잡성
결국 사용자와 엔지니어 모두 복잡성과 씨름한다. 사용자가 연합 웹을 저해하는 간단한 예는 암호를 재사용하는 것이다. 사람들은 수백 가지의 각기 다른 패스워드를 기억할 수 없기 때문에 같은 패스워드를 반복해 사용한다. 이론상 각 사이트는 독립된 보안 계층을 유지해야 하나 실제로는 사용자가 그렇게 복잡한 작업을 처리할 수 없다. 따라서 연합 웹의 보안은 지속적으로 저해된다. 

경쟁과 선택의 자유는 인터넷을 거부할 수 없게 만드는 옵션이다. 하지만 진정한 연방주의 관리는 실제 사람과 (구축한) 실제 시스템이 관리할 수 없을 정도의 복잡성을 가져온다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.