해결해야 할 웹 보안 문제

좋은 의미로든 나쁜 의미로든 웹이 거대한 공공 기관에 맞먹는 존재가 됐다는 사실은 거의 틀림없다. 웹에는 의료 기록에서부터 금융 투자에 이르기까지 가장 민감하며 중요한 소비자 정보와 서비스가 저장돼 있다.

웹 기반 서비스는 눈부신 속도로 기존의 데스크톱 소프트웨어를 밀어내면서 수테라바이트에 달하는 개인 데이터를 처리하고 있다. 이메일 저장 공간이 무제한으로 커지고 웹 2.0 스타일 창업 기업들이 나타나면서 이 추세는 훨씬 더 빨라질 것이다.   ==>more

하지만 꼭 필요한 이 거대한 리소스에 접근하는 권한은 일반적으로 영리를 추구하는 소수의 대기업에서 관리한다. 마이크로소프트(MS), 구글, 야후, 아메리카 온라인(AOL) 그리고 그 외의 주요 기업들이 많은 사람들이 일상 생활 중에 사용하는 서비스를 구축하면서 우리의 가장 중요한 정보를 지키는 관리인 역할을 차지했기 때문이다.

이로 인해 “이래도 괜찮은가?”라는 질문을 안할 수 없게 된다. 역사를 보면 알 수 있지만 가장 우려할 만한 대답은 선택의 여지가 별로 없을지 모른다는 것이다.

이 상황에 대해 우려하는 이유는 여러 가지가 있겠지만, 가장 큰 문제는 이 산업계가 기본적으로 발전해 나가면서 웹 보안을 구축하고 있다는 사실이다.

MS, 구글, 야후 등의 보안 담당 중역들이 증언하는 것처럼, 이 회사들은 대체로 표준 데스크톱 보안 기술을 새로운 웹 애플리케이션에 맞춰 수정하고 있다. 그렇게 하는 것이 때때로 효과가 있기는 하지만, 그렇지 않은 경우도 있다.

웹 보안 전문업체인 SPI 다이내믹스(Dynamics)의 수석 연구자인 빌리 호프먼은 “지금은 데이터를 온라인상에서 언제든지 사용할 수 있다. 그러니 공격 대상이 되지 않을 수 없다”고 말했다.

호프먼의 직업은 웹 보안이 어디서 무너지는지 찾아내는 것이다. 그가 파악한 바에 의하면 3대 웹 기업은 적어도 서버 측에서는 보안 문제를 상당히 잘 처리하고 있다. 변수는 데이터가 구글플렉스를 떠나 네트워크상에서 이동해 사용자의 데스크톱에 도달하는 과정에서 발생하는 일이다.    ==>more

컴퓨터 서비스 기업인 CSC 및 그 외의 자료에 의하면, 1999년 이후 모든 문서의 90% 이상이 디지털 형태로 제작됐고, 미국의 모든 인터넷 사용자의 42% 이상이 웹 기반 뱅킹 서비스를 이용한다.

그리고 매일 1600억통 이상의 이메일 메시지가 전송된다. 데이터가 쌓이면서 서버와 데스크톱 웹 애플리케이션 사이에서 이동하는 정보 비트를 보호하는 것은 더 어려워지고 있으며, 매시업이나 그 외의 웹 2.0 기술은 더 복잡해지고 있다. 동시에 공격은 증가하고 있다.

간단하게 말해서, 많은 사람들이 점점 더 많은 수의 비교적 새로운 애플리케이션, 그것도 아직도 개발 중인 기술을 사용하는 애플리케이션을 사용해 전세계에 있는 여러 대의 서버와 네트워크에 분산돼 있는 엄청난 양의 개인 데이터를 처리하는 미지의 세계로 진입하고 있는 것이다.

이런 상황 및 기업에서 이 문제를 통제하는 것을 염려할 수밖에 없으므로 어떤 형태로든 외부의 감독이 필요한 것은 피할 수 없는 일이다.

호프먼은 “보안 관행에 대한 정보는 충분하다. 문제는 웹 2.0 애플리케이션이나 그 외의 애플리케이션을 만들 때 이런 것을 어떻게 적용해야 하는지를 지시하는 중개 기구가 없다는 점이다.

표준을 만들려고 시도하는 비영리 단체나 그 외의 어떤 단체가 나올 것인가? 아마 그럴 것이다. 분명히 좋은 정보를 교환하는 중앙 통제소가 필요하다. 나쁜 정보도 많이 나돌고 있기 때문”이라고 말했다.

현재 대부분의 웹 보안을 관리하고 있는 기업들의 일부 경영진들도 더 많은 산업 협력이 필요하다는 사실에 동의한다.

‘야후 보안 책임자(Chief Paranoid Yahoo)’인 아르투로 베자르는 “보안은 이 산업계 전체에서 가장 중요한 것이다. 우리는 커뮤니티에 돌려줄 지식이나 툴을 공유할 수 있는 방법을 평가하고 있다”고 말했다.

정부가 개입하지 않는 상태에서 가야 할 분명한 길은 독점이나 카르텔이 형성되지 않도록 고안된 형태로 업계 전체가 협력하는 것으로 보인다. 물론 이 방식은 말처럼 쉽지가 않다. 이미 다른 디지털 기술의 경우에 여러 차례 시도한 바 있지만, 혼란만 더 심해지거나 주요 이해 관계자나 일단의 이해 관계자들이 실질적인 통제권을 쥐게 됐을 뿐이다.  ==>more

간단한 예로 윈도우를 들 수 있다. 10년 이상 소송을 벌이고 막대한 금액의 혈세를 투입하고서도 전세계 개인용 컴퓨터 사용자의 90% 이상이 매일 사용하는 이 운영 체제에 대한 MS의 권한을 거의 약화시키지 못했다.

웹의 초창기에 탄생한 월드와이드웹 컨소시엄(World Wide Web Consortium)이라고 하는 비영리 단체는 이 매체의 이익을 위해 필요하다면 모든 이해 관계자들이 협력하고 양보할 수 있다는 이타주의적인 개념에 근거한 것이었다.

소위 W3C라고 하는 이 단체는 아무 것도 없는 상태에서 웹 표준을 정의하고 황량한 서부와 같은 인터넷 초창기에 신뢰받는 기구 역할을 하면서 많은 일을 했다. 하지만 W3C의 많은 활동은 대부분 걸음마 시절부터 이익을 본 바로 그 회사들이 정한 표준에 초점을 맞추었다.

W3C는 근본적으로 다른 사람들이 사용한 도구를 정의하는 일을 하기 때문에 어떤 식으로든 웹 보안을 감독할 임무를 수행할 기관으로는 적합하지 않을 것이다. 보안 위반에는 일반적으로 그런 기술을 사용하는 방법이 관련된 것이지 그 툴 자체와는 반드시 관계가 있는 것이 아니기 때문이다.

호프먼은 “표준 단체들은 좋은 기준선을 설정하는 매우 명확한 표준을 만드는 데 집중해야 한다. 이 세상에서 가장 나쁜 표준은 모호한 것이기 때문이다. 하지만 현재 나와 있는 많은 표준이 사실은 모호하다”고 지적했다.

웹 애플리케이션 보안 컨소시엄(Web Application Security Consortium)과 같은 단체들은 애플리케이션을 개발하는 가장 안전한 방법을 정의하려고 시도하고 있다.

뿐만 아니라, 이 업계 전체의 웹 개발자들은 XSSed.org와 같은 사이트를 통해 연구 및 보안과 관련해 더 많은 “최상의 관행”을 공유하고 있다. XSSed.org는 새로운 크로스 사이트 스크립팅 취약점 및 그 취약점을 시정하는 방법에 대한 정보를 공개하는 사이트이다.   ==>more

하지만 그런 노력으로는 별로 큰 성과를 거둘 수 없다. 웹 분야의 대기업들은 보안 문제를 무릅쓰고 여러 해 동안 자산을 구축했으며, 거의 매일 증가하는 새로운 버그로 인해 계속 고통을 겪고 있다.

예를 들어 MS는 웹 보안과 전반적인 디지털 보안 분야에 뒤늦게 뛰어들었다. 1990년대가 한참 지나고 있는 시점이 돼서야, 지속적인 네트워크 연결 상태를 염두에 두고 설계한 것이 아닌 윈도우에서 나중에 보완한 요소가 바로 보안이었다.

하지만 일단 이 문제의 중요성을 충분히 인식한 MS는 클라이언트 및 서버 소프트웨어 보호에 수십억달러를 쏟아 부었다. 그리고 MS가 “라이브” 이니셔티브를 시작해 웹 서비스 분야로 더 깊숙이 들어가면서 이런 노력은 확대돼 웹 보안을 포함하게 됐다.

“라이브” 이니셔티브는 MS의 새로운 온라인 상품을 마케팅할 때 사용하는 표현이며, PC의 하드 드라이브에 있는 소프트웨어를 보완하는 온라인 서비스인 윈도우 라이브를 포함한다.

MS가 웹 보안과 같은 중요한 문제를 다루는 방법을 가장 잘 안다고 생각하는 이유는 이해할 만하다. MS는 세계 최대의 소프트웨어 회사일 뿐만 아니라, 그곳에 있는 많은 베테랑들은 자기들이 이 문제를 이미 오래 전에 예견했다고 생각하기 때문이다. 그들은 그 당시에는 이것을 데스크톱 보안이라고 했다고 말한다.

MSN 및 윈도우 라이브 보안 담당 선임 이사인 피트 보든도 오래된 많은 중역들의 견해를 그대로 표현한다. 그는 많은 애플리케이션 보안 문제는 동일한 근본적인 원인으로 귀결된다고 주장한다.

바로 데이터 입력, 즉 사람들이 애플리케이션에 입력하는 내용이다. 입력할 수 있는 것 또는 입력할 수 없는 것을 철저하게 통제하면, 또는 업계 용어로 표현해 “검증”하면, 보안 위반을 범할 수 있는 주요 액세스 지점을 없앨 수 있다는 것이다.

보든은 “웹 취약점을 분류해 어떤 형태로든 입력 검증과 관련된 것을 전부 골라내면, 취약점이 거의 남지 않을 것이라고 생각한다. 내 주장은 현재 나타난 취약점의 80%는 입력 검증 오류라는 것”이라고 말했다.

그렇기 때문에 보든은 경쟁에서 한 걸음 앞서 있다고 생각하며, MS가 소프트웨어 분야에서 지닌 오랜 역사와 ‘신뢰할 수 있는 컴퓨팅(Trustworthy Computing)’ 프로젝트에서 쌓은 경험 덕분에 웹 보안 문제를 빠른 속도로 파악하고 있다고 생각한다.     ==>more

주요 경쟁업체들처럼, MS는 개발자들이 버그를 없애고 코드의 품질을 테스트하는 데 도움이 되는 툴을 만들었다. 예를 들면, 크로스 사이트 스크립팅 취약점을 찾아내는 안티-XSS라고 하는 프로그램이 있다.

보든은 “그것은 일부 다른 분야에서처럼 겁나는 것이 아니었다. 오르막도 있고 극복해야 할 학습 곡선도 있지만, 이미 대응 프로세스에 투자한 것과 회사 전체의 보안 프로그램 덕분에 우리의 학습은 빠르게 효과를 나타내고 있다고 생각한다”고 말했다.

하지만 아직도 의문의 여지는 남아 있다. 무엇보다도 MS는 과거 1990년대 중반에 인터넷의 중요성을 잘못 판단했고 나중에 인터넷 검색과 디지털 음악의 가치를 과소평가한 바로 그 회사이기 때문이다.

MS는 웹 보안 문제를 제대로 처리할 것인가? 그럴 가능성은 충분히 있다. 왜냐하면 비즈니스가 점점 더 웹으로 발전하면서 이 회사의 이익이 너무 많이 관련될 것이기 때문이다. 게다가, MS가 사업을 아무리 잘한다 해도, 수백만명의 소비자와 개발자들은 보안 구멍을 틀어막으라고 MS에 계속 압력을 가할 것이기 때문이다.

웹 보안 문제와 맞서고 있는 다른 사람들도 별로 낙관적이지 않다. 예를 들어, 구글은 이 모든 상황을 어디 숨어 있는지도 모르는 지뢰가 잔뜩 깔려 있는 낯선 공간으로 본다.

구글의 엔지니어링 담당 부사장인 더글러스 메릴은 이렇게 혼란스러운 환경에서는 분산 사격(scatter-shot) 방식이 종종 가장 좋은 선택이라고 말한다. 메릴은 개인 정보 보호와 관련해 자신의 사무실에 있는 맥 시스템보다도 회사의 서버를 더 신뢰한다. 구글이 각 컴퓨터보다는 데이터 센터에 더 많은 보안 레이어를 구축하고 있기 때문이다.

메릴은 “분명히 각 모델에는 가서는 안되는 막다른 곳이 있다. 우리는 클라우드를 안전하게 보호하는데 막대한 리소스를 투입하고 있다.”라고 말했다.    ==>more

아마 그럴 수도 있겠지만, 어떤 시스템도 안전하지 않다. 구글, MS, 야후 등은 모두 자사 서버가 공격을 막아낼 수 있을 정도로 튼튼하다고 주장했지만, 이메일 웜 바이러스, 피슁 공격, 그리고 그 외의 공격은 아직도 일상적인 일이다.

바로 그것 때문에 야후의 베자르 최고보안책임자는 더 많은 업계 공동 작업이 필요하다고 주장한다. 그는 야후가 이베이 및 페이팔과 파트너십을 맺은 것을 성공적인 기업 협정의 예로 들며, MSN과 구글, 그리고 그 외의 업계 그룹들에 더 많은 도움을 요청하고 싶어한다.

보안을 강화해야 하는 곳은 웹 사이트나 온라인 애플리케이션만이 아니라고 베자르는 주장한다. 더 강력한 브라우저 보안과 같은 다른 요소들도 엄청난 차이를 만들 수 있다는 것이다.

단지 한 가지 문제가 있다면, 야후가 브라우저를 통제할 수 없다는 점이다. 베자르는 “브라우저 보안 모델로 인해 제기된 문제가 있으며, 우리는 하나의 산업계로서 이 문제에 대해 함께 협력해야 한다”고 말했다.

구글은 웹 브라우저를 더 안전하게 만들 수 있는 일부 기술을 인수해 그 문제를 타개하려고 시도하고 있다. MS는 인터넷 익스플로러 7에서 “신뢰할 수 있는” 웹 사이트를 알려주는 초록색 막대와 같은 기능을 개발했다. 이것은 KDE, 모질라, 오페라 소프트웨어, 그리고 그 외의 브라우저 제조사들도 참여하고 있는 이니셔티브의 일환이다.

이 모든 것은 좋은 출발이지만, 그에 대한 반작용도 만만치 않다. 따라서 이 3대 기업에 근무하는 보안 전문가들은 소프트웨어 개발의 출발 단계에서 더 많은 일을 해야 한다고 생각한다. 즉 대학교에서부터 새로 이 분야로 진출하는 사람들에게 가능한 한 빨리 보안에 대해 가르쳐야 한다는 것이다.

대학교는 애플리케이션이 해야 하는 것과 할 수 있는 것 사이의 간격을 연결하는 더 많은 과정을 마련해야 한다. 이것은 요즘 널리 사용되지 않고 있는 기술 교육법이다.   ==>more

간단하게 말해서 “우리 모두 상황을 동일한 시각으로 보아야 한다”고 베자르는 말한다

             출처 : 정보보안.네트워크.IT자격증 정보공유사이트