보안강화와 성능 유지…병행하기 어려운 길, 왜?
인터넷에서 서비스를 하는 기업들의 고민은 어떻게 하면 날로 진화하는 사이버 공격과 다양한 환경에 있는 수많은 사용자들에게 성능 저하없이 콘텐츠를 원활하게 서비스하느냐이다.

보안 측면에서 보면 서비스의 원천인 웹서버를 외부와 완벽하게 차단하는 것이 정답이다. 그러나 웹서버를 차단하면 인터넷 서비스를 포기해야 한다. 그러므로 웹서버는 늘 외부의 접점이 돼야 한다. 하지만 바로 이런 이유로 공격자의 가장 쉬운 표적의 대상이다. 가장 많이, 그리고 쉽게 발생하고 있는 웹서버 공격이 DDoS공격이다. 웹사이트를 다운시키고 비즈니스를 중단시키며 서버, 네트워크 리소스를 고갈시켜 국내 뿐만 아니라 세계적으로도 크고 작은 피해를 일으키며 악명이 높다. DDoS공격은 데이터 또는 시스템 유출을 교묘하게 은폐하기도 한다.

2017년 4분기 아카마이 인터넷 보안 현황 보고서에 따르면 지난 2017년 4분기 전세계 디도스(DDoS) 공격은 4,364건 발생해 2016년 같은 기간에 비해 14% 증가했으며 전체 디도스 공격의 79%가 게임업계를 대상으로 이뤄졌다고 한다. 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(33%), DNS(19%), CLDAP(10%) 순으로 나타났다고 한다.

인터넷 서비스 기업을 괴롭히는 또 다른 웹서버 공격은 웹 애플리케이션 공격이다. 애플리케이션 취약점을 표적으로 삼아 데이터를 유출하거나 시스템을 감염시킨다. 웹 애플리케이션 공격은 DDoS 공격보다 훨씬 더 일반적으로 발생하며 공격자들은 인터넷을 스캔하여 취약한 웹사이트를 찾고 있다. 2017년 4분기 아카마이 인터넷 보안 현황 보고서에 따르면 웹 애플리케이션 공격 건수도 작년 동기 대비 10% 증가했으며 SQLi, LFI, XSS가 전체 웹 애플리케이션 공격 기법의 약 94%를 차지했다고 한다.

최근 사이버 공격자들의 공격 목적은 금전적인 경우가 가장 많다. 랜섬웨어가 빈번하게 등장하는 것도 바로 그 이유다. 랜섬웨어 외에 암호 화폐 마이닝을 위한 좀비PC 혹은 서버 확보를 위한 공격도 증가하고 있다. 많은 기업들이 DDoS와 웹애플리케이션 공격에 대비하고 있지만 최근에는 공격의 양상이 빠르고 예측 불허로 진행되고 있어 서비스 중단 사태가 일어나곤 한다. 이제는 공격의 규모와 상관없는 근본적인 방어 전략이 절실해졌다.

웹애플리케이션 공격 방어는 알려진 모든 취약점에 대한 공격을 모니터링 할 수 있는 정책을 설정하면 한층 강력한 방어 체계를 구축할 수 있다. 그러나 하지만 많은 기업들은 보안 정책 강화가 쉽지 않은 일이다. 모든 웹트래픽을 모닝터링 하면 그만큼 속도가 느려질 뿐만 아니라 한정된 용량으로 감당키 어렵기 때문이다. 많은 기업들이 갑자기 트래픽이 늘어나면 웹어플리케이션 공격에 대한 모니터링을 강화하기 보다는 오히려 약화시킨다고 한다. 웹애플리케이션 보안 정책이 강화되면 속도가 느려져 위험을 감수하고라도 속도를 희생하려 하지 않는 것이다. 만약 보안 정책 때문에 쇼핑몰에서 대박 찬스를 놓칠 수는 없는 것이다.

클라우드 보안강화와 성능 유지, 두 마리 토끼잡는 아카마이 WAF
보안 강화와 성능 유지는 보완의 관계보다는 상충된다. 둘 중 하나를 포기할 수밖에 없는 난감한 상황이다. 특히 현재 날로 성장하고 있는 클라우드 서비스에서는 보안강화와 성능 유지를 동시에 해결해야 한다. 바로 이런 상황에 최적의 해결사가 아카마이 WAF(Web Application Firewall)이다. 아카마이는 CDN(컨텐츠 딜리버리 네트워크) 개념을 최초로 만든 회사로 전세계 CDN시장 점유율 1위이다. 아카마이 CDN은 아카마이 클라우드 서비스에서 제공되며 전세계적으로 약 24만대 이상의 클라우드 서버를 운영하고 있다.

아카마이는 모든 클라우드 서버에 WAF(Web Application Firewall, 이하 )을 탑재하여 운영하고 있다. 아카마이 서비스는 전세계 24만대 이상의 웹서버를 통해 기업이 원하는 서비스가 제공 된다. 이 모든 웹서버에는 WAF가 운영돼 공격 모니터링도 이루어진다. 만약 IDC가 24만대의 WAP를 운영할 수 있다면 아마 모든 트래픽에 대한 상세한 모니터링과 서비스 성능에도 영향을 받을 수 있을 것이다. 하지만 기존 IDC에서는 현실 불가능하다. 그러나 아카마이 서비스를 이용하면 직접 24만대를 직접 운영하는 것과 동일한 효과를 얻을 수 있다.

아카마이 서비스를 이용하면 직접 24만대를 직접 운영하는 것과 동일한 효과
아카마이 서비스를 이용하면 직접 24만대를 직접 운영하는 것과 동일한 효과

WAF(Web Application Firewall)을 기업 서비스 상황에 맞게 적용하려면 정책을 세밀하게 조정하여 적용하고 지속적으로 보안 관련 위협을 확인해 새로운 정책을 만드는 시간, 예산 그리고 전문적인 보안 인력이 필요하다. 그러나 이런 환경을 갖춘 기업들은 많지 않다.

아카마이 WAP 서비스는 이런 어려움에 처한 기업에게 최적의 해결사이다. 기업은 관리자 포털에서 직접 셀프서비스로 전문 보안 인력들이 만들어 놓은 정책을 선택적으로 적용할 수 있고 적용된 정책 업데이트도 자동으로 진행된다.

현재 전세계 약 30%의 인터넷 트래픽이 아카마이 플랫폼으로 제공돼 아카마이는 모든 산업 분야에 걸쳐 정상 트래픽과 악성 트래픽에 대한 가장 많은 데이터를 확보하고 있다. 이런 데이터를 시큐리티 인텔리전스 빅데이터(Security Intelligence Big Data)분석으로 악성 트래픽을 차단 하고 정상 트래픽을 원활하게 통과 시킬 수 있는 정책을 작성한다.

아카마이 WAP서비스는 아카마이 클라우드 플랫폼위에서 만들어져 기본적인 캐싱 및 인터넷 경로상의 가속 서비스로 웹사이트에 대한 성능 개선 효과도 동시에 맛 볼 수 있다. 또한 WAP는 애플리케이션 새로운 보안 정책을 자동으로 설정에 추가하고 기존 정책을 업데이트한다. 정책 적용은 아래와 같이 위저드 방식으로 쉽게 설정할 수 있다.

1단계, 보안적용이 필요한 Host 정보 및 Event 발생시 확인을 위한 운영자 Mail 정보 등록
1단계, 보안적용이 필요한 Host 정보 및 Event 발생시 확인을 위한 운영자 Mail 정보 등록

2단계, 기본으로 제공되는 보안 정책 확인 및 선택
2단계, 기본으로 제공되는 보안 정책 확인 및 선택

3단계, 보안 정책 설정 완료
3단계, 보안 정책 설정 완료

기본 정책 외에도 아래와 같이 고객이 정책을 별도로 쉽게 설정할 수 있다.

WAP의 주요 기능은 다음과 같다.

① Web 서비스 보안 기능
• Protection from Application Layer DDoS attacks : DDOS 공격 방어
• IP/Geo Blocking : IP 혹은 지역단위의 액세스 컨트롤 지원
• Rate Controls : 웹서버에 전달 되는 Request 기반의 대한 트래픽 제어
• Network Layer Controls : HTTP/S 이외의 트래픽에 대한 자동 방어
• New rule set updates : 사용자 간섭 없는 자동화된 보안 Update 지원

② Web 서비스 성능 지원
• 아카마이의 Dynamic Site Accelerator 주요 기능 기본 제공 (웹서버 부하 감소 및 속도 개선)
• SureRoute 기능으로 최적의 네트워크로 접근 유도 (최적에 BGP경로 할당으로 글로벌 속도 개선)

③ Web 방화벽 기능
• SQL Injection, Cross-Site Scripting, Local File Inclusion, Remote File Inclusion
• Commend Injection, Web DoS Attack 에 대한 정책 지원
• Rule Group Scoring 기반 오탐 최소화 룰 적용
• 예외 처리 기능으로 오탐에 대응 정상 서비스 구분

④ DDoS 방어
• 아카마이 플랫폼은 Port 80/443(HTTP/HTTPS) 만을 외부에 연결을 허용하고 80/443외의 DDoS 공격은 자동으로 차단
• WAP는 아카마이 인텔리전트 플랫폼상에서 동작. 공격자 가까이에서 위협적인 어플리케이션 단의 공격 및 네트워크 트래픽을 차단
• UDP Fragments, ICMP Floods, SYN Floods, ACK Floods, RESET Floods, UDP Floods

⑤ Rate Control 기능
• 지정된 요청 수 또는 대역폭의 이상의 요청을 발생시키는 client IP, client IP + Agent, SessionID, X-Forwarded-For 에 대해 허용, 알람, 또는 차단(NAT 사용자 및 실사용자 구분 가능)
• Burst Threshold – 5초 동안의 요청에 대한 Control
• Average Threshold – 2분 동안의 요청에 대한 Control
• 오탐 최소화를 위해 Burst/Average 조합하여 작동
• Request type – client request, client response, forward request, forward response
• IP/CIDRs, 도메인, 경로, 확장자, HTTP method, HTTP user agent, HTTP request header, HTTP Query parameter, HTTP POST Parameter, Cookie 등 조건 기능

⑥ 모니터링 기능
- 보안 정책에 따른 Event에 따른 위험 수준별 Alert 메일 발송 기능
• Rules Triggered, Requests Warned, Requests Denied

- 보안관련 데이터 확인 및 필터 기능으로 정탐과 오탐 실시간 구분 가능
• Date / Time, Client IP, Geographic location, URL, Method, Status Code 등
• Sample Raw Data를 통해 Detect된 보안룰과 문자열로 Attack 분석 가능
• IPs, GEO NetworkList 차단 원클릭 프로덕션 배포

이상과 같이 인터넷 서비스에서 고민되는 클라우드 보안강화와 성능유지 문제를 아카마이 WAF로 해결할 수 있게 됐다. 이미 국내외에 사용하고 있어 다양한 성공 사례를 만들고 있다.

이러한 성공 사례를 공유하기 위해 전자신문인터넷은 오는 5월 17일 오후 2시부터 3시까지 ‘클라우드 성능과 보안, 두 마리 토끼를 한번에 잡기’ 온라인 세미나를 무료로 개최한다. 이 세미나에서는 인터넷 상의 콘텐츠를 전달할 때 왜 웹 성능과 웹 보안 두 개의 성과지표(KPI)가 모두 중요한지 상황별 설명과 함께 이를 극복하기 위한 아카마이의 다양한 기술이 소개된다.

온라인 세미나 참석을 원한다면 전자신문 웹비나 전문방송 allshow TV ‘클라우드 보안과 성능, 한 번에 두 마리 토끼를 잡자’ 신청페이지에서 등록하면 된다.

이향선기자 hslee@nextdaily.co.kr

저작권자 © 넥스트데일리 무단전재 및 재배포 금지