웹 보안이란 무엇일까요?

웹 보안은 인터넷 기반 사이버 공격으로부터 네트워크, 서버, 사용자, 디바이스, IT 시스템을 보호하는 분야입니다. 여기에는 멀웨어, 피싱, 데이터 유출을 초래할 수 있는 기타 공격 등 여러 공격 기법이 포함됩니다. 웹 보안에는 일반적으로 웹 애플리케이션 방화벽, 침입 방지 시스템(IPS), URL 필터링, 안티바이러스/안티멀웨어 솔루션 등 여러 레이어의 기술과 방어가 필요합니다. 웹 보안에는 웹 애플리케이션 및 API 보안뿐만 아니라 클라우드 환경을 보호하도록 설계된 클라우드 보안 솔루션도 포함될 수 있습니다.

웹 보안 솔루션은 온프레미스 또는 클라우드에 배포될 수 있습니다. 네트워크의 엔드포인트에서 들어오고 나가는 웹 트래픽은 모든 트래픽과 요청을 모니터링하고 검사해 잠재적인 위협을 검색하는 웹 보안 기술을 통해 전달됩니다. 웹 보안 솔루션에는 일반적으로 멀웨어 감염, 데이터 손실, 인증정보 도용, 보안 정책 위반에 대한 다중 레이어 보호 기능을 제공하는 다양한 툴이 포함됩니다. 승인된 트래픽은 목적지까지 계속 허용되며 의심스러운 트래픽은 차단, 격리 또는 플래그가 지정될 수 있습니다.

웹을 통해 전 세계와 시장이 고도로 상호 연결될 수 있습니다. 동시에 더 많은 데이터, 애플리케이션, 인프라를 공개적으로 노출함으로써 훨씬 더 광범위한 공격 표면이 생성되었습니다. 공격자들은 이러한 변화를 악용해 웹 애플리케이션, API, 리소스를 표적으로 삼아 방어 체계를 뚫을 수 있는 다양한 방법을 찾아냈습니다. 이러한 종류의 사이버 범죄가 방치되면 해커는 IT 생태계에 쉽게 접속해 자금을 훔치고, 데이터를 유출하고, 계정을 탈취하고, 무수히 많은 방법으로 비즈니스를 방해할 수 있습니다. 웹 보안 솔루션은 다양한 위협으로부터 기업 및 기업의 데이터와 사용자를 보호하고 매출, 생산성, 평판, 고객, 비즈니스 기회에 대한 손실로부터 보호합니다.

기업이 웹 보안 프로그램을 성공적으로 관리하면 몇 가지 중요한 장점을 누릴 수 있습니다.

• 데이터 보안. 웹 보안은 민감한 데이터에 접속하고 유출하도록 설계된 피싱, 멀웨어, 드라이브 바이 다운로드 등의 공격을 차단합니다. 웹 보안 기술은 악성 및 의도치 않은 유출을 방지하고 보안 인증정보, 재무 기록, 개인 식별 정보(PII) 및 기타 민감한 데이터를 보호하는 데도 도움이 될 수 있습니다.
• 비즈니스 연속성. 강력한 웹 보안을 갖춘 기업은 사이버 공격으로 인한 다운타임과 중단을 보다 성공적으로 방지할 수 있습니다.
• 규제 컴플라이언스. 강력한 웹 보안 프로그램은 기업이 GDPR, HIPAA, PCI DSS를 비롯한 다양한 규제 프레임워크를 준수할 수 있도록 지원합니다.
• 원격 근무자 지원. 웹 보안 솔루션은 원격 근무 인력과 재택근무하는 직원의 안전한 접속을 보장하는 데 매우 중요합니다. 웹에 연결된 모든 디바이스에 보안 정책을 적용하면 작업자가 어디를 가든 생산성을 유지할 수 있습니다.
• 브랜드 평판 보호. 웹 관련 사이버 공격에 굴복한 기업은 브랜드 이미지 실추를 겪을 수밖에 없습니다. 반면 강력한 보안을 갖춘 기업은 브랜드에 대한 신뢰도를 강화하고 고객 참여도를 높일 수 있습니다.
• 재정적 손실 방지. 웹 보안은 기업이 사이버 공격에 성공해 발생하는 심각한 재정적 손실을 방지하는 데 도움이 될 수 있습니다. 이러한 비용에는 공격 방어 및 피해 복구 비용, 규제 컴플라이언스 미준수로 인한 벌금, 사이버 공격으로 인한 중단 시 발생하는 생산성 손실 등이 포함됩니다.

웹 보안에 대한 위협은 몇 가지 주요 버킷으로 분류됩니다. 이러한 보안 위협의 대부분은 가장 위험한 위협 및 취약점 목록인 OWASP 상위 10대 목록에 포함됩니다.

• 멀웨어. 사이버 범죄자는 로그인 인증정보 도용, 서비스 거부 공격 실시, 계좌 송금 등 다양한 악성 활동을 수행하기 위해 사용자의 컴퓨터에 악성 소프트웨어 또는 멀웨어를 설치하는 경우가 많습니다. 랜섬웨어는 특히 위험한 멀웨어의 한 형태로, 컴퓨터와 서버의 파일을 암호화하여 공격자가 암호 해독 키를 대가로 랜섬(몸값, ransom)을 요구할 수 있습니다.
• 피싱 공격. 피싱 공격에서 해커는 가짜 웹사이트나 기타 형태의 속임수를 사용해 피해자를 속여 암호나 신용카드 정보와 같은 민감한 정보를 노출하도록 유도합니다.
• 페이지 탈취. 페이지 또는 브라우저 탈취에서 해커는 사용자가 무심코 가짜 웹사이트로 접속하도록 유도하거나, 브라우저가 키 입력 기록이나 정보 탈취와 같은 원치 않거나 악의적인 작업을 수행하도록 유도합니다.
• 지능형 지속 위협. 이러한 종류의 공격을 통해 해커는 기업의 IT 환경 내에서 장기간 탐지되지 않은 상태로 남아 데이터를 수집하고, 조치를 관찰하고, 기업의 보안 및 운영을 약화시킬 수 있습니다.
• 섀도 IT. 섀도 IT는 IT 부서의 승인을 받지 않은 상태에서 사용자가 도입하거나 다운로드하는 모든 솔루션입니다. 사용자들은 문제를 해결하거나, 새로운 기술을 시도하거나, 효율성을 개선하기 위해 섀도 IT를 이용하는 경우가 많습니다. 섀도 IT는 본질적으로 보안 제어로 보호되지 않기 때문에 웹 보안에 격차가 생겨 공격자가 쉽게 접근할 수 있습니다.
• 인젝션 공격. 공격자는 웹사이트나 웹 애플리케이션 내의 인풋 필드를 사용해 소프트웨어를 변경하거나 공격자가 시스템에 접속할 수 있도록 하는 악성 코드를 삽입할 수 있습니다. 해커는 온라인 양식의 SQL 인젝션(SQLi)을 통해 데이터베이스 내의 데이터와 권한을 변경할 수 있습니다.
• 서비스 거부(DoS). 서비스 거부 및 분산 서비스 거부(DDoS) 공격은 서버와 같은 IT 리소스에 악성 또는 가짜 요청이 유입되어 충돌을 일으키거나 속도를 늦춥니다. 따라서 이러한 IT 리소스는 정상적인 사용자와 애플리케이션에 서비스를 제공할 수 없습니다.
• 크로스 사이트 스크립팅(XSS) 공격. 이 공격 기법은 사용자 인풋의 유효성을 적절히 검증하지 않는 웹 페이지를 악용해 악성 코드가 사용자에게 반사될 수 있습니다. XSS 공격은 사용자 쿠키를 훔치거나 사용자를 대신해 작업을 수행하는 등 다양한 악성 작업을 수행하는 데 사용될 수 있습니다.
• 비밀번호 유출. 공격자는 도난당하거나 감염된 비밀번호를 사용해 웹사이트의 사용자 계정에 접속해 돈과 데이터를 훔치거나 계정을 탈취하거나 IT 환경에 접속할 수 있습니다.

보안팀은 인터넷 기반 공격을 방어하기 위해 다양한 웹 보안 솔루션을 배포할 수 있습니다.

• 애플리케이션 제어. 보안 관리자는 애플리케이션별 룰을 적용해 특정 애플리케이션과 그 안에 포함된 민감한 데이터의 사용을 제어할 수 있습니다.
• 데이터 유출 방지(DLP). DLP 솔루션은 기업이 가장 중요한 데이터 자산을 식별하고 이를 보호하기 위한 보안 정책을 정의하는 데 도움이 됩니다. 또한 DLP 기술은 트래픽을 모니터링해 민감한 데이터가 악의적이거나 의도치 않은 유출로 인해 기업에서 유출되는 것을 방지할 수 있습니다.
• 안티바이러스/안티멀웨어 소프트웨어. 웹 보안 솔루션은 기업에서 들어오고 나가는 모든 웹 트래픽을 검사해 알려진 멀웨어 및 바이러스와 관련된 코드가 포함된 패킷을 검색함으로써 바이러스와 멀웨어를 차단할 수 있습니다.
• URL 필터링. 기업은 URL 필터링을 배포해 위협 인텔리전스 피드를 기반으로 의심스럽거나 악성으로 알려진 웹사이트를 방문하지 못하도록 차단할 수 있습니다.
• 보안 웹 게이트웨이(SWG). SWG는 트래픽을 모니터링하고 정책을 적용해 원치 않는 트래픽을 차단하고 위협이 IT 환경에 유입되는 것을 방지합니다.
• 웹 애플리케이션 방화벽(WAF). 네트워킹 환경의 WAF는 악성 코드 인젝션을 차단하고 DDoS 공격을 방지하며 기업의 보안 체계를 강화합니다.
• DNS 제어. DNS 방화벽과 같은 DNS 제어는 사람이 읽을 수 있는 웹사이트 이름을 머신이 읽을 수 있는 주소로 변환하는 도메인 네임 시스템을 악용하는 공격을 탐지하고 방어하는 데 도움이 됩니다.
• 취약점 스캐너. 보안팀은 애플리케이션에서 알려진 취약점을 스캔해 공격자가 이를 발견하고 악용하기 전에 소프트웨어의 취약점을 식별하고 방어할 수 있습니다.
• VPN. 가상 프라이빗 네트워크는 원격 디바이스와 네트워크 간의 트래픽을 암호화해 데이터를 안전하게 보호하고 중간 머신 공격을 방지합니다.
• 보안 인식 교육. 기업은 공격자가 사용하는 일반적인 기법을 직원들에게 교육함으로써 인적 오류로 인한 공격을 방지할 수 있습니다.
• 침입 탐지 및 방어. 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)은 네트워크에 무단으로 접속하려는 의심스러운 시도를 탐지하고 차단합니다.

보안팀은 웹 보안을 강화하기 위해 다음과 같은 관행을 자주 도입합니다.

• HTTPS 배포. 하이퍼텍스트 전송 프로토콜 보안(HTTPS)은 데이터를 암호화해 전송 중에 공격자가 데이터를 가로채지 못하도록 함으로써 브라우저와 웹 서버 간의 통신을 보호합니다.
• 업데이트 및 패치. 정기적으로 소프트웨어를 업데이트하고 시스템을 패치하는 것은 해커가 다양한 공격에 사용하는 취약점을 제거하는 데 매우 중요합니다.
• 강력한 비밀번호. 사용자가 강력한 암호를 사용하고 암호를 재사용하지 않도록 권장하면 공격자가 계정 및 IT 네트워크에 접속하는 것을 방지할 수 있습니다.
• MFA(멀티팩터 인증): MFA 솔루션(https://www.akamai.com/ko/glossary/what-are-mfa-solutions 링크)은 사용자가 IT 리소스에 대한 접속 권한을 받으려면 두 가지 이상의 신원 정보를 제공해야 합니다.
• 빈번한 백업. 데이터베이스, 파일, 웹사이트 설정 데이터를 정기적으로 백업하는 것은 유출 또는 공격 발생 후 신속하게 운영을 복구하는 데 매우 중요합니다.