기업용 앱 보안은 많은 발전이 있었으나 1998년에 처음 발견된 SQL 주입과 같은 해킹은 아직도 위협입니다. 이를테면 BQE Software의 BillQuick Web Suite도 SQL 주입 공격을 당했습니다. 사실 2020년의 Edgescan Vulnerability Stats 보고서에 따르면 인터넷 기반 애플리케이션의 취약점 중 42%가 SQL 주입 오류로 인한 것이었습니다.

출처: PurpleSec

IT 보안은 지속적인 프로세스이며 실제 세계와 디지털 간의 경계선이 모호해지면서 기업용 앱의 100% 보안은 더욱 어려우면서 중요성이 높아졌습니다.

엔터프라이즈 애플리케이션 보안이란?

엔터프라이즈 애플리케이션 보안은 외부 공격과 해킹으로부터 기업용 애플리케이션을 보호하는 것입니다. 이는 조직이 소유한 공개, 특수, 내부, 고객 관련 등 데이터에 대해 외부로부터의 접근, 탈취, 악용을 방지하는 것이 목적이며 완전한 엔터프라이즈 애플리케이션 보안은 앱 자체의 보안뿐 아니라 조직이 이용하는 하드웨어, 가상머신, 운영체제, 서드파티 앱 등의 다른 IT 요소들도 지켜야 합니다.

엔터프라이즈 애플리케이션 보안이 중요한 이유는 간단합니다. 오늘날 거의 모든 기업들은 업무 환경에 호스팅 되는 애플리케이션과 클라우드로 업무를 영위합니다. 데이터가 이 앱들과 플랫폼에서 이동하면서 각 요소가 취약점이 됩니다. Comparitech의 2021년 사이버보안 취약점 보고서에 따르면 2018년 17,252건, 2019년 17,382건, 그리고 2020년에는 18,362건의 취약점들이 발표되었다는 점이 이를 입증합니다.

그 외에 데이터 자체가 매우 개인적이 되었다는 점도 중요한 요소입니다. 소비자들은 대화, 교통, 접속, 금융거래, 구매 등 거의 모든 일상 활동을 디지털로 수행하므로 오늘날 공격에 취약한 데이터는 극히 개인적이면서 기밀성이 높습니다.

브랜드의 명성도 중요한 요인입니다. BillQuick Web Suite와 MCH Group의 경우 영원히 해킹 대상으로 기억될 것이며 이는 씻어내기 매우 어려운 오점입니다.

즉 엔터프라이즈 애플리케이션 보안은 취약점이 증가하고 데이터가 개인화되며 가치가 상승하기 때문에 극히 중요합니다. 개방되고 상호 연결된 세계에서 조직은 단 한 번이라도 명성을 훼손할 수 없습니다.

본 글에서 완전한 엔터프라이즈 애플리케이션 보안을 위해 제거해야 하는 여러 취약점과 그 방법을 소개합니다.

엔터프라이즈 애플리케이션 보안의 위협

1. 디바이스 별 위협

대부분 조직은 직원들이 개인용 디바이스(BYOD)를 사용하여 업무를 하거나 그러한 디바이스로 업무용 망에 접속하도록 허용합니다. 이 덕분에 해당 디바이스가 자동으로 위협 지점이 됩니다.

비보호 애플리케이션과 OS 취약점 – 디바이스에 비보호 애플리케이션이 설치되고 사용자가 부지불식간에 이 앱에 무제한 접근을 허용할 시, 또는 OS가 업데이트되지 않은 경우 조직의 네트워크에 위협이 될 수 있습니다. 공격자는 이 경우 비보호 앱을 이용하여 사용자의 보안 크리덴셜을 수집하여 네트워크에 침투하고 맬웨어를 주입할 수 있습니다.

가장 널리 쓰이는 앱이 취약할 수도 있습니다. 사실 Techbeacon에 따르면 WhatsApp과 페이스북 메신저는 iOS용 앱 중에서도 최상위 블랙리스트 앱들입니다.

이러한 위험에 대해 교육하면 도움이 되지만 동시에 접근 제어를 통해 업무용이 아닌 앱이 업무용 네트워크에 접근하지 못하도록 직접 통제해야 합니다.

2. 네트워크별 위협

Wi-Fi와 같은 비보호 네트워크는 그 자체 뿐 아니라 그에 연결된 디바이스들도 취약하게 만듭니다. 이는 특히 재택근무자들이 공용망을 통해 원격으로 기업 네트워크에 접속하는 경우에 해당합니다.

VPN 등으로 IP를 숨기고 위험을 일부 완화할 수는 있지만 맬웨어 방지 및 네트워크 모니터링 시스템 등의 적극적 조치가 필요합니다.

3. 사용자별 위협

출처: Varonis

일부 사이버공격은 악의적 및 태만한 임직원 등 조직 내부의 악성 행위자에 의해 일어납니다.

BBC 보도에 따르면 전 세계 근무자 중 약 81%가 직장의 전체 또는 부분 폐쇄를 겪었습니다. 이로 인해 많은 이들이 실직했으며 동시에 조직 IT 시스템의 취약점이 증가하면서 악성 공격자들이 사이버 테러를 보복 수단으로 이용하기도 합니다.Christopher Dobbins 역시 의료기기 포장 업체에서 해고된 후 이 회사의 네트워크를 해킹하여 배송 정보를 삭제했습니다. 이로 인해 코로나19에 맞설 개인보호장구(PPE)의 배송이 장기간 지연되었습니다.

태만한 직원들의 경우 의도치 않게 기밀정보를 유출하거나 의심스러운 링크를 클릭하거나 피싱에 속는 등의 상황으로 인해 조직을 위험에 빠뜨리는 경우가 있습니다. 원격 근무하던 일부 트위터 임직원들도 2020년에 보이스피싱에 당하기도 했습니다. 이들은 본사 IT 부서에서 전화를 받았지만 사실 이는 해커들이었습니다. 이 해커들은 직원들에게서 기밀정보를 받아 관리자 콘솔에 로그인하여 버락 오바마, 조 바이든, 카니예 웨스트 등 130여 유명인들의 계정을 탈취, 조작하고 비트코인 사기에 악용하기도 했습니다. 이 사고로 트위터 주가가 4%나 하락했습니다.

4. 앱 별 위협

애플리케이션을 보유한 조직은 반드시 앱 별로 발생하는 위협을 인식해야 합니다.

출처: Positive Technologies

주입 결함 – MySQL, NoSQL, OS, LDAP 등 데이터베이스 시스템에 악성 쿼리를 주입하여 오염시키거나 정보를 탈취할 수 있습니다.

인증 문제 – 주로 데이터베이스를 통해 인증을 실시하는 시스템에 문제가 발생할 시 브루트 포스 공격에 취약할 수 있습니다.

민감성 데이터 노출 – 신용카드 정보나 인증 크리덴셜 등 민감성 데이터를 암호화하지 않고 전송할 시 공격을 받을 수 있습니다.

XML 외부 개체(XXE) – XXE는 앱이 XML 입력을 파싱하는 방식에 존재하는 취약점입니다. 이는 약하게 구성된 XML 파서가 공격자에 의해 주입된 무단 외부 개체 XML을 처리할 시에 발생합니다.

접근 제어 불량(BAC) – BAC는 접근 제어를 강제하는 시스템이 버그나 해킹으로 인해 적절히 기능하지 않을 시에 발생합니다. 이를 통해 접근이 제한된 자가 기밀에 접근할 수 있습니다.

보안 구성오류 – 비보호 기본 구성, 불완전 구성, 개방된 클라우드 저장소 등은 해킹을 유발하는 보안 구성오류에 해당합니다. 미국의 클라우드 및 컨테이너 환경 대상 보안 및 준수 자동화 솔루션 기업인 DivvyCloud의 연구에 따르면 2018년과 2019년의 클라우드 구성오류로 인해 전 세계 기업들이 가진 334억 건의 기록들이 노출되었으며 이로 인한 비용은 5조 달러로 추정됩니다.

비보호 역직렬화 – 애플리케이션이 역직렬화한다는 것은 데이터 바이트가 오브젝트로 변환되면서 악성 또는 신뢰할 수 없는 데이터가 발생함을 뜻하며 해당 시스템은 공격자가 주입한 직렬화된 악성 자바 오브젝트에 취약하게 됩니다.

구성요소 취약점 – 알려진 취약점이 존재하는 애플리케이션이나 디바이스를 사용하는 행위는 절대 금지해야 합니다. 이러한 취약점은 여러 랜섬웨어 공격으로 이어진 Citrix Netscaler 취약점 CVE-2020-19781의 경우와 같이 조직의 IT 인프라를 쉽게 노출시키고 공격 대상으로 만들게 됩니다.

강력한 엔터프라이즈 애플리케이션 보안을 위한 작업

1. 임직원 교육

사이버공격을 방지하는 첫 단계가 사람에 대한 것이라는 점이 기묘해 보일 수 있지만 실제로 많은 공격이 임직원들의 태만에 기인하며 이는 쉽게 개선할 수 있습니다. 

Cybintsolutions의 2020년 보고서에 따르면 사이버 침해 중 95%는 인적 오류가 원인이었습니다.

이는 애플리케이션과 하드웨어에 대한 공격이 인간의 본성을 공략하는 것만큼 쉽지 않기 때문에 어찌 보면 당연합니다.

IT 인원 뿐 아니라 모든 직원들에게 IT와 관련하여 해야 할 일과 하지 말아야 할 일을 교육하십시오.

2. 엄격한 접근 제어

마이크로소프트 액티브 디렉토리와 같은 조직용 도구를 이용하면 IT 관리자는 중앙에서 조직 전체의 접근을 통제할 수 있습니다. 회사용 및 개인용 디바이스, 네트워크, 사용자 통제도 가능합니다.

즉 접근 책임을 사용자에서 IT 팀을 통한 조직으로 이전하면 태만으로 인한 위협과 취약점을 크게 줄일 수 있습니다.

중앙화된 접근 제어는 감염된 앱과 디바이스를 신속히 차단하여 공격 중 위협 확산을 최소화할 수 있습니다.

3. 강력한 사용자 인증

2019년에 발표된 Verizon의 데이터 침해 조사보고서(DBIR)는 데이터 침해 중 80%가 약한 암호 및 크리덴셜로 인한 것이라고 밝혔습니다. 

앞서 언급한 점이지만 조직은 강력한 보안이 적용되고 복잡한 크리덴셜의 책임을 개별 임직원에서 IT 팀을 통해 회사로 이전해야 합니다.

즉 IT 팀은 접근 제어와 정책 도구를 이용하거나 이를 애플리케이션에서 적용함으로써 강력한 암호와 크리덴셜을 강제하고 정기적인 암호 변경 정책을 실시해야 합니다. 또한 보안을 위해 편의성을 포기해야 합니다. 이를테면 싱글 사인온(SSO)이 보다 편리하지만 2FA를 이용하는 OAuth 2.0과 달리 공격에 취약합니다.

4. 모든 데이터의 암호화

앞서 암호화되지 않은 데이터가 피싱, 추출, 악용될 수 있는 위험에 대해 말씀드렸습니다. 이는 애플리케이션을 통해 전송되는 크리덴셜이나 (역)직렬화된 데이터 등 사용자 기반 데이터가 될 수 있습니다.

이동 중 데이터의 보안은 256비트 암호화를 이용하는 SSL 등으로 가능합니다. 암호화 알고리즘과 데이터 암호화 솔루션을 통한 키 또는 내부적 보안을 이용하면 데이터가 탈취되더라도 복호화를 방지하는 데 도움이 됩니다.

또한 애플리케이션 차원 접근 제어와 암호화를 이용하여 저장된 데이터를 보호하는 것은 데이터 익스플로잇을 방지하는 좋은 방법입니다.

5. 적시 업데이트

펌웨어, 소프트웨어, 애플리케이션의 업데이트는 귀찮은 작업이며 패치를 통해 위협을 제거해야 하는 경우도 있지만 그 패치에 취약점이 존재할 경우 즉시 롤백해야 합니다.

이러한 업데이트는 시점이 중요하며 이를 담당하는 인원은 적절한 프로세스를 통해 업데이트를 실시해야 합니다. 체인지로그에서 업데이트를 확인하고 즉각적 업데이트가 필요한지 파악하며 먼저 시험 환경에서 업데이트를 적용하여 문제가 있는지 검사하고 최종적으로 조직 전체적으로 업데이트를 실시해야 합니다.

6. 전체 취약 지점의 파악

하드웨어, 애플리케이션, 기업 현장 및 클라우드 네트워크 요소 등 IT 생태계 내 모든 요소에 대한 문서를 작성하면 투명성이 높아지고 감시 및 추적이 강화됩니다.

이렇게 모든 요소를 기록하면 보안의 사각지대를 제거하고 전체 IT 요소를 보호할 수 있습니다.

운용 관리 프로그램을 이용하는 경우 IT 생태계의 모든 요소들을 통합하여 감시 및 추적을 실시한 후 취약점과 공격이 발생 가능한 각 종단점을 분석할 수 있습니다.

7. 감시, 추적, 공격

마이크로소프트의 시스템 센터 운용 관리자(SCOM) 및 DynaTrace 등의 시스템을 이용하여 하드웨어, 네트워크, 애플리케이션을 추적, 감시해야 합니다. 이러한 시스템은 사이버 위협을 파악하고 비정상적이거나 의심스러운 행동을 분석하며 잠재적 위협과 공격에 대해 알려줍니다.

또한 이를 이용하여 적극적으로 공격과 데이터 유출에 대응할 수 있습니다.

경영진 및 임직원 등 조직 전체에 걸쳐 모든 디바이스에 맬웨어 방지 및 안티바이러스 등의 보안 솔루션을 설치하도록 해야 합니다.

8. 보안의 업무 핵심화

보안 관련 분석, 시험, 문제 해결은 업무의 한 부분이어야 합니다. 정기적인 임직원 대상 연습과 교육 및 애플리케이션, 소프트웨어, 하드웨어 검사를 IT 인원에게 의무화해야 합니다.

지속적인 보안 확인과 개선 마인드를 장려하면 기업 내 모든 요소들을 보호하고 준비태세를 갖춰 위협이 실제로 발생할 시 대응하는 데 도움이 됩니다.

마무리하며

100% 보안과 0% 침해는 어리석은 생각입니다. 관련 기술은 항상 발전하고 있으며 발전에는 위험이 수반됩니다. 사물인터넷은 급속히 확산되고 있으며 온 세계가 초연결사회인 지금은 어느 때보다 큰 위험과 취약점에 노출된 상태입니다.

그럼에도 인공지능과 머신러닝 등 기술을 통제할 수 있는(동시에 위험도 일으키는) 최신 솔루션을 적극 활용해야 합니다. 한편으로 기술은 생산성을 기하급수적으로 높일 수 있으면서 아주 적은 위험이 수반될 수 있습니다.

조직들은 보안을 매출과 고객 SLA와 마찬가지로 업무상 목표로 인식하고 IT 팀의 KPI로 간주해야 함을 이해해야 합니다. 또한 보안은 기업과 임직원들의 공동 책임입니다. 마지막으로 보안은 안전을 위해 모든 조치를 취한 다음 전체 시스템을 모니터링하여 기업이 적극적이고 신속한 대응을 할 수 있음을 말합니다.