기업들의 스마트 기기 도입이 늘어나면서 자연스럽게 웹 의존도가 높아지고 있다. 웹을 활용해 정보를 공유하는 근무 방식이 확산되고 있기 때문이다. 웹 보안을 위해 기업들은 웹 애플리케이션 방화벽(WAF, 이하 웹방화벽)을 도입하고 있다. 그러나 웹방화벽 하나만으로는 다양하고 고도화된 공격기법을 방어하는데 한계가 있다. 대표적인 예로 HTTP나 HTTPS 등 전문적인 웹 프로토콜에 대한 보안 기능이 미흡하다. 따라서 웹 보안 고도화를 위해서는 추가적인 웹 보안 장치 도입이 필요하다.

인프라 보호에 초점이 맞춰진 웹 방화벽은 보안소켓계층(SSL) 방어능력이 미흡해 자동화된 정책을 구현하기 힘들다. 최근 기업들의 IT 환경을 고려하면 웹 방화벽뿐만 아니라 보안웹게이트웨이(SWG)가 필요하다. 단순 방어가 아니라 패턴 기반의 방어, 공격자 자동학습·차단 기능과 주요 통신 프로토콜인 HTTP, HTTPS 등 전문적인 웹 프로토콜에 대한 보안 기능이 필수적이다.

모니터랩은 다양한 위협에 선제적으로 대응할 수 있는 보안 웹게이트웨이인 ‘애플리케이션 인사이트 보안 웹 게이트웨이(AI SWG)’를 서비스하고 있다. AI SWG는 다양한 위협의 선제 대응에 중점을 둔다.

AI SWG는 머신러닝(ML)으로 카테고리 데이터베이스(DB)를 자동으로 분류하고, 명령제어(C&C) 서버 정보와 시그니처 기반의 악성코드를 탐지한다. 이렇게 모은 위협 인텔리전스에 대한 상세한 분석과 결과를 제공한다.

‘애플리케이션 인사이트 클라우드 센터(AICC)’는 그동안 수집한 데이터와 레퍼런스를 바탕으로 보안위협 DB를 수집·분석하고, 이를 자사의 웹 방화벽인 AI SWG와 연동한다.

또 보안위협에 대한 각종 데이터베이스(DB)를 수집하고 이를 실시간으로 배포하고 업데이트한다. 이러한 기술의 근간에는 ‘애플리케이션 인사이트 클라우드 센터(AICC)’가 있다. AICC는 레퍼런스를 바탕으로 보안위협 DB를 수집·분석하고, 이를 자사의 웹 방화벽인 AI SWG와 연동한다. 모니터랩이 실시간 위협에 대응할 수 있다고 말한 이유다.

김무성 모니터랩 기술파트장은 최근 개최한 웹 보안 웨비나에서 웹서버 보호를 위한 방안을 제시하면서 “모니터랩의 웹 방화벽인 AI SWG는 AICC와 연결되어 최신 기법의 공격을 방어한다”며 “공격자 IP평판정보 등의 업데이트가 실시간으로 이뤄지는 것이 특징”이라고 설명했다.

웹사이트를 직접 방문해 인코딩이나 난독화 코드 등 행위기반의 분석을 수행한다. 이렇게 분석한 악성 URL은 AI SWG 시스템과의 실시간 통신을 통해 접근 탐지를 설정한다.

AICC는 웹사이트 내 콘텐츠를 파악하고 분석해 여러 종류의 카테고리 중에서 적절한 카테고리 군을 판단한 뒤, AI SWG 시스템과 실시간으로 카테고리 정보를 공유한다. 웹사이트를 직접 방문해 인코딩이나 난독화 코드 등 행위기반의 분석을 수행한다. 이렇게 분석한 악성 URL은 AI SWG 시스템과의 실시간 통신을 통해 접근 탐지를 설정한다.

AI SWG는 외부에서 서비스가 이뤄지는 웹사이트의 HTTP 2.0 버전도 제어할 수 있다. HTTP 2.0는 HTTP 1.1과 전혀 다른 구조의 프로토콜로 암호화 통신만 지원하는데, AI SWG는 HTTP 2.0에 보안 기능을 동일하게 적용한다.


AI SWG는 시큐레터 악성파일 분석 솔루션과 API연동 기능을 제공한다. AI SWG 사용자 인터페이스에서 웹을 통해 오가는 모든 파일을 분석하고 악성파일을 탐지한다.

이밖에도 AI SWG는 시그니처 기반의 본문(응답) 데이터에 존재하는 악성코드를 탐지하며, 사용자 인터페이스에서 웹을 통해 오가는 파일을 분석하고 악성파일을 탐지한다. 인증서 설치를 위한 인증서 자동 배포 기능을 제공해 편의성을 높였다.

AI SWG는 구축 시 기존 네트워크를 변경하지 않아도 되는 것이 장점이다. 김무성 파트장은 “인터페이스 변경없이 보안정책을 변경해, 빠르게 AI SWG를 구축할 수 있다”고 강조했다.

그렇다면 기업 내에서 비업무 사이트 접속 차단과 악성 사이트 제어는 어떻게 이뤄질까. 많은 기업들이 비업무·악성·우회 애플리케이션이나 상용 웹 메일 서비스 로깅·기능별 통제 등에 대한 고민이 많다.

관련해 이날 웨비나에 참여한 임진석 동훈아이텍 클라우드 사업부 이사는 “AI SWG는 AICC에서 머신러닝을 통해 모든 URL을 자동으로 분류하고 카테고리별로 데이터베이스화 한다”며 “이를 통해 국내외 URL 위협정보를 수집, 분석하고 실시간으로 AI SWG와 연동되어 위협차단을 할 수 있다”고 설명했다.

AI SWG는 금융, 포탈, 블로그 등 57개 카테고리 분류에 따라 비업무 트래픽을 통제한다. 조직이나 사용자에 따른 차등 정책 적용을 할 수 있다. 하드웨어 자체 바이패스 기능 모듈을 탑재해, 시스템 이상이 생기면 물리적 바이패스 기능을 제공한다. 프록시 서버의 중간 서버 역할인 ‘포워드 프록시 모드 구성’을 지원해 시스템 위치와 상관없이 AI SWG로 경유하도록 유도하는 것이 특징이다.

AI SWG 네트워크 구성방식 1

AI SWG 네트워크 구성방식 2

아울러 대부분 기업들이 보안을 위해 시스템 이중화를 실시한 가운데, AI SWG는 이때 발생하는 비동기 트래픽도 지원한다. 임진석 이사는 “AWS SWG 한 대로 이중화된 구성을 할 수 있다”며 “장비가 두 개 이상인 경우도 AI SWG에서 비동기 트래픽을 처리할 수 있도록 돕는다”고 강조했다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network



[온라인 컨퍼런스] 2022 이커머스 비즈니스 인사이트 가을

‘2022 이커머스 비즈니스 인사이트 가을’에서는 업계의 현재 상황과 최신 트렌드, 앞으로의 변화 방향에 대해 공유하고, 참가자들이 앞으로의 전략을 세울 수 있는 인사이트를 제공하고자 합니다.

일시 : 9월 28일~29일 오후 14시 ~ 17시
장소 : 온라인
문의 : byline@byline.network
자세히 보기