2017.01.17

웹 게이트웨이가 ”만능 방어막”이 아닌 5가지 이유

Ryan Francis | CSO
보안 위협이 진화한 것처럼, 웹 게이트웨이도 지난 몇 년간 진화를 거듭했다. 오늘날 웹 게이트웨이는 컴플라이언스나 HR 정책을 강제하는 것뿐만 아니라, 인터넷 발 위협을 차단하는 역할을 한다. 하지만 웹 게이트웨이가 10년 이상 존재하면서 진화했음에도 불구하고, 그들은 ‘방탄’이 아니며, 웹 게이트웨이에 과하게 의존하게 되면 데이터, 사용자, 고객, 기업, 평판 등을 위험에 빠트릴 수 있다.

파이어글래스(Fireglass)의 CEO이자 공동 창업자인 가이 거즈너가 이야기하는 웹 게이트웨이가 방탄이 아닌 이유를 살펴본다.

URL 필터링은 언제나 늦다
1초마다 571개의 새로운 웹사이트가 탄생하며, 도메인이 많아진 만큼 보안 통제를 잃을 기회가 증가한다. 여기에 공격 대상에 의해서만 발동되는 공격자들이 사용하는 많은 URL은 24시간 미만 동안만 존재하고 자주 변경되는데, 이것들은 고정적인 도메인보다 차단하기 어렵다.

분류되지 않은 웹사이트 차단은 답이 아니다
분류되지 않은 웹사이트를 차단하면 사용자의 생산성이 급감한다. 최종 사용자들이 불편할 뿐만 아니라, 보안 팀도 사용자들이 웹 게이트웨이를 통과하지 못했으나 정보를 위해 엑세스해야 하는 사이트에 대한 접속을 요청하는 티켓을 지원하는데 시달리게 된다. 이러한 설정은 “정책의 지옥”에 빠지게 하며, 보안 팀은 스스로 자꾸 증가하는 정책과 규칙을 관리하는데 너무 많은 시간을 쏟게 될 것이다.

“안전한” 웹사이트도 방문자를 감염시킬 수 있다
감염이 의심스럽거나 악성으로 분류된 웹사이트를 통해서만 감염된다는 믿음은 틀렸다. 보안 업체인 포스포인트(Forcepoint, 전 웹센스(Websense))는 일반적인 이런 믿음과 반대로 감염 중 85%가 합법적이고 안전한 웹사이트를 통해서 감염된다는 사실을 발견했다.

소위 안전하다고 여겨지는 웹사이트들은 통제가 안 되는 다른 소스에서 온 악성 콘텐츠가 포함되는 경우가 있다. 맬버타이징(malvertizing)이 대표적인 예인데, 맬버타이징은 보통 정상적인 온라인 광고 네트워크에 악성 광고를 실어서 퍼블리셔들이 이것이 악성 광고인지 알 수 없도록 한다.

다른 예는 공격자들이 사이트의 취약점을 활용해서 악성 콘텐츠를 싣는 경우다. 포브스의 한 위젯(Forbes Thought of the Day)이 미국 기반의 방위 산업체를 목표로 한 중국의 공격자들에게 악용됐던 사례가 이에 해당된다.

악성 파일은 웹 게이트웨이를 무사통과 해버린다
일부 웹 게이트웨이에는 안티바이러스 엔진과 기타 파일 스캔 서비스가 통합되어 있으나, 악성코드를 탐지하는 효과는 적다. 안티바이러스 스캐너는 전체 악성코드의 2~30%만 탐지한다. 샌드박스 활용도 효율적이지 못하다. 운영하고 파일을 분석하는 데 시간이 걸리기 때문이다. 사용자 경험에 피해를 주지 않기 위해서 백그라운드에서 샌드박스가 파일을 분석하는 사이, 게이트웨이가 파일을 통과시켜버린다. 생산성을 높이기 위한 것이지만, 기본적으로는 사용자를 공격에 노출시키게 된다.

웹 게이트웨이는 감염된 기기의 악성코드를 무력화시키지 못한다
게이트웨이는 정상적인 트래픽과 악성 트래픽을 구별하거나 감염된 기기의 악성코드를 탐지하거나 무력화시키질 못한다. 사실, 엔드포인트에 도달하면 위협이 몇 주 혹은 몇 달 동안 탐지되지 않는다는 것도 잘 알려져 있다. 게다가 최근 연구에 따르면, 웹 게이트웨이 중 80%가 악성 아웃바운드 트래픽을 차단하는데 실패했다. RAT(Remote Access Trojans)은 웹 게이트웨이가 악성 트래픽 탐지와 중단에 실패하는 것을 보여주는 대표적인 사례다. editor@itworld.co.kr


2017.01.17

웹 게이트웨이가 ”만능 방어막”이 아닌 5가지 이유

Ryan Francis | CSO
보안 위협이 진화한 것처럼, 웹 게이트웨이도 지난 몇 년간 진화를 거듭했다. 오늘날 웹 게이트웨이는 컴플라이언스나 HR 정책을 강제하는 것뿐만 아니라, 인터넷 발 위협을 차단하는 역할을 한다. 하지만 웹 게이트웨이가 10년 이상 존재하면서 진화했음에도 불구하고, 그들은 ‘방탄’이 아니며, 웹 게이트웨이에 과하게 의존하게 되면 데이터, 사용자, 고객, 기업, 평판 등을 위험에 빠트릴 수 있다.

파이어글래스(Fireglass)의 CEO이자 공동 창업자인 가이 거즈너가 이야기하는 웹 게이트웨이가 방탄이 아닌 이유를 살펴본다.

URL 필터링은 언제나 늦다
1초마다 571개의 새로운 웹사이트가 탄생하며, 도메인이 많아진 만큼 보안 통제를 잃을 기회가 증가한다. 여기에 공격 대상에 의해서만 발동되는 공격자들이 사용하는 많은 URL은 24시간 미만 동안만 존재하고 자주 변경되는데, 이것들은 고정적인 도메인보다 차단하기 어렵다.

분류되지 않은 웹사이트 차단은 답이 아니다
분류되지 않은 웹사이트를 차단하면 사용자의 생산성이 급감한다. 최종 사용자들이 불편할 뿐만 아니라, 보안 팀도 사용자들이 웹 게이트웨이를 통과하지 못했으나 정보를 위해 엑세스해야 하는 사이트에 대한 접속을 요청하는 티켓을 지원하는데 시달리게 된다. 이러한 설정은 “정책의 지옥”에 빠지게 하며, 보안 팀은 스스로 자꾸 증가하는 정책과 규칙을 관리하는데 너무 많은 시간을 쏟게 될 것이다.

“안전한” 웹사이트도 방문자를 감염시킬 수 있다
감염이 의심스럽거나 악성으로 분류된 웹사이트를 통해서만 감염된다는 믿음은 틀렸다. 보안 업체인 포스포인트(Forcepoint, 전 웹센스(Websense))는 일반적인 이런 믿음과 반대로 감염 중 85%가 합법적이고 안전한 웹사이트를 통해서 감염된다는 사실을 발견했다.

소위 안전하다고 여겨지는 웹사이트들은 통제가 안 되는 다른 소스에서 온 악성 콘텐츠가 포함되는 경우가 있다. 맬버타이징(malvertizing)이 대표적인 예인데, 맬버타이징은 보통 정상적인 온라인 광고 네트워크에 악성 광고를 실어서 퍼블리셔들이 이것이 악성 광고인지 알 수 없도록 한다.

다른 예는 공격자들이 사이트의 취약점을 활용해서 악성 콘텐츠를 싣는 경우다. 포브스의 한 위젯(Forbes Thought of the Day)이 미국 기반의 방위 산업체를 목표로 한 중국의 공격자들에게 악용됐던 사례가 이에 해당된다.

악성 파일은 웹 게이트웨이를 무사통과 해버린다
일부 웹 게이트웨이에는 안티바이러스 엔진과 기타 파일 스캔 서비스가 통합되어 있으나, 악성코드를 탐지하는 효과는 적다. 안티바이러스 스캐너는 전체 악성코드의 2~30%만 탐지한다. 샌드박스 활용도 효율적이지 못하다. 운영하고 파일을 분석하는 데 시간이 걸리기 때문이다. 사용자 경험에 피해를 주지 않기 위해서 백그라운드에서 샌드박스가 파일을 분석하는 사이, 게이트웨이가 파일을 통과시켜버린다. 생산성을 높이기 위한 것이지만, 기본적으로는 사용자를 공격에 노출시키게 된다.

웹 게이트웨이는 감염된 기기의 악성코드를 무력화시키지 못한다
게이트웨이는 정상적인 트래픽과 악성 트래픽을 구별하거나 감염된 기기의 악성코드를 탐지하거나 무력화시키질 못한다. 사실, 엔드포인트에 도달하면 위협이 몇 주 혹은 몇 달 동안 탐지되지 않는다는 것도 잘 알려져 있다. 게다가 최근 연구에 따르면, 웹 게이트웨이 중 80%가 악성 아웃바운드 트래픽을 차단하는데 실패했다. RAT(Remote Access Trojans)은 웹 게이트웨이가 악성 트래픽 탐지와 중단에 실패하는 것을 보여주는 대표적인 사례다. editor@itworld.co.kr


X