2023-02-04 18:45 (토)
[기고] 기업용 애플리케이션의 강력한 보안 환경 운영
상태바
[기고] 기업용 애플리케이션의 강력한 보안 환경 운영
  • 길민권 기자
  • 승인 2021.08.15 09:00
이 기사를 공유합니다

에릭 헬머 리미니스트리트 CTO
에릭 헬머 리미니스트리트 CTO

강력한 보안 정책은 항상 중요했지만, 연결성이 더욱 강력해진 글로벌 비즈니스 환경으로 인해 알려지지 않은 제로데이 공격이 폭증하는 등 IT 담당자들은 그 어느 때보다도 보안 위협을 많이 우려하고 있다.

현재 많은 기업들이 매년 기업용 애플리케이션의 유지 보수 비용을 지불하면서, 지속적으로 소프트웨어 패치를 적용하는 것 외에는 대안이 없다고 생각한다. 그러나 이러한 방법은 최신 보안 위협 환경의 특징을 정확히 파악하지 못하고 있는 것이다. 기존 엔터프라이즈 솔루션 기업들은 소프트웨어 패치를 제공하여 단순하게 버그를 수정하는 방식이다.

제로데이 공격이 만연한 상황에서 보안 패치를 얼마나 오래 기다릴 수 있을까?

일반적으로 솔루션 공급업체는 버그를 검토하여 유효성과 중요도를 판단하는데, 이는 복잡하고 긴 프로세스가 될 수 있다. 공급업체는 영향을 받는 라이브러리 또는 코드 베이스가 사용된 가능한 영역, 영향을 받는 플랫폼 및 라이브러리 기록을 모두 식별해야 한다. 종종 이러한 버그는 꽤 오랫동안, 혹은 20년, 30년까지 존재해왔다는 것을 알아낼 수 있다. 사실, 몇 년이 지난 후에도 같은 문제가 반복될 여지가 많다. 작은 오류 지점을 정확히 찾지 못하는 상황이 빈번하다.

무한 반복되는 업데이트 패치 설치

이러한 버그는 검토 이후에 최종적으로 패치가 출시되고, 여기서부터 기업들은 시스템에 보안 패치를 적용하기 위해 많은 노력을 해야 하는 상황을 맞이한다. 전사 시스템에 패치 적용은 일반적으로 매우 길고 복잡한 프로세스이며, 특히 패치 작동이 예상대로 이루어지지 않는 일이 자주 발생한다. 대기업 플랫폼의 경우 시스템 내외부에 산재하여 복잡성이 높아 이런 일이 자주 발생한다. 결국에는 매달 패치를 다운로드하여 설치, 테스트한 후 최종적으로 프로덕션에 투입할 때까지 1년이 걸리는 일을 계속 반복하고 있는 상황이다.

기업은 패치를 엄격한 적용 테스트를 거쳐 품질보증(Quality Assurance)를 실행하고, 최종 사용자 테스트를 진행하고, 사내 모든 데이터베이스 또는 애플리케이션 인스턴스와 함께 복구해야 한다.

이 모든 작업은 막대한 시간과 리스크, 운영 중단 및 비용이 소요된다. 그리나 솔루션 공급업체가 업데이트 패치를 발표하면, 비슷한 과정을 무한 반복할 수 밖에 없는 상황이다.

예를 들어 지난 2017년에 발생한 1억 4,500만 명이 넘는 미국인의 개인 정보가 유출된 미국 신용평가사 에퀴팩스(Equifax) 데이터 침해 보안 위반 사건은 서버에서 실행되는 Apache Struts 취약점으로 인해 발생한 것이다. 현재 대부분의 기업용 애플리케이션에 적용되어 있는 역직렬화 결함(Deserialization flaw (CWE-502, one of many further CWE:20, Improper Input Validation flaws, 부적절한 입력 유효성 검사 결함 중 하나로 인해 발생했다.

그러나 이 문제를 해결하기 위해 릴리스된 패치는 여전히 CWE-502 또는 CWE-20의 취약점을 해결하지 못하고 한 가지 노출(CVE-2017-5638)만 해결하며, 비슷한 시기에 동일한 유형의 취약점(CVE-2017-9805)을 해결하기 위한 또 다른 패치가 릴리스되었다. 이처럼 보안 해제 문제를 해결하기 위해 수백 개 패치가 릴리스되었다.

패치가 적용되었다고 하지만 이후 수년 동안 Marriott, Target, AdultFriendFinder, eBay 등이 겪은 주요 보안 취약점 공격 사건에서, 솔루션 공급업체가 제공한 패치로 해결된 사례는 한 건도 없다. 이러한 보안 침해 사건을 겪은 기업들은 취약한 시스템 구성, 내부자 위협, 느슨한 보안 관리 조치, 시행되지 않은 정책 등의 요인으로 선제적인 보안 환경 구축과 대응이 어려웠을 가능성이 높다.

물론 성실히 공급업체 제공하는 패치를 잘 적용했다고 하더라도, 모든 보안 취약점을 방어할 수는 없기 때문에, 한계가 있다는 점도 직시해야 한다.

이처럼 소프트웨어 공급업체 패칭으로는 시의적절하게 여러 알려진 취약성을 해결할 수 없는 데다 심지어 이런 패치는 최신 릴리스에만 제공되는 경우가 많다. 설상가상으로 수백 개의 인스턴스에 패치를 적용하는 작업은 시간이 오래 걸리고, 리소스가 많이 소모되며 큰 비용이 필요하게 된다.

종합적이고 전체적인 "계층적" 애플리케이션 및 데이터베이스 보안 전략을 갖추고 끝없이 진화하는 위협 동향에서 알려진 취약성과 알려지지 않은 취약성을 보호해야 한다.

최신 보안 솔루션은 개별 노출 지점뿐만 아니라 적용 가능한 거의 모든 공통 취약점을 해결한다.. 예를 들어, 기존에는 단일 SQL 인젝션 문제를 분해하고 개별 구문 취약점(벤더 패치 전략)을 파악했다면, 최신 솔루션은 SQL 인젝션 약점을 전체적으로 완화시킨다.

오늘날 CISO는 인메모리 데이터베이스 보호 또는 미들웨어 및 애플리케이션에 대한 실시간 자체 보호와 같은 현대적이고 보다 비용 효율적인 보안 전략을 통해 다운타임과 비즈니스 중단을 대폭 줄일 수 있다. CISO는 패치 적용이 너무 비실용적이거나 불필요할 경우 보안 감사자의 기대치를 충족하거나 초과하기 위해 적용 가능한 공통 제어 또는 보상 제어(common control or compensating control)로 이러한 기술을 활용할 수 있다.

[글. 리미니스트리트 에릭 헬머(Eric Helmer) CTO]

★정보보안 대표 미디어 데일리시큐!★