이 Web전성기 때 보안은 가장 중요-.

아무리 강조해도 왜 Web보안이 중요한지 그 본질까지 이해 받지 못하는 경우가 자주 있습니다.이번에도 이 자리를 빌어 Web보안의 소중함을 호소하고 싶습니다.

지금의 시대, 글로벌은 인터넷으로 모두 연결되고 인터넷을 매개로 모든 일이 소통하고 있다고 해도 과언이 아닙니다.에도 불구하고 Web의 보안에 대해서는 아무도 시선을 돌리지 않는다.그 이유는 "안전한 인터넷"은 무엇인지 잘 모르는 사람이 많기 때문이라고 생각합니다.

 

안전한 인터넷이란?

 

여러분이 잘 쓰는 말에, 사실은 그 뜻을 명료하게 모르고 쓰는 말이 예상외로 존재할까 합니다.이 IT분야에서 하면,"ICT보안"가 꼭 좋은 예입니다.
"ICT시대"라고 하면 그냥 수긍할지도 모르겠지만"ICT보안이란"라고 물어보시면,"저게 뭐였더라?"가 되는 사람도 많은 것은 아닐까."보안"은 중요하다는 것은 알면서도 무엇을 어떻게 해야 하는지 우리는 명료하게 파악할 수 있는 사람은 적다.실제 우리 개인만이 이 ICT시대의 보안 미아가 되는 것이 아니라 회사나 단체 등도 보안 미아가 되어 있다고 말할 수 있습니다.

하지만 이 사회는 방황하는 사람들 때문에 제대로 된 사회적 안전 조치를 마련하고 있습니다. 보안의 고민을 해소할 수 있는 "국제 표준"이 바로 그거예요.대표적인 것은 영국 BSI(British Standards Institute)가 제정한 BS 7799를 기반으로 구성된 보안 인증으로 체계이다"ISO 27001"을 들 수 있습니다.

그리고 보다 경영 중심의 성질이 강한 "ISMS(Information Security Management System)정보 보안 경영 시스템"도 중요한 기준입니다.이러한 프레임워크를 기준으로 기업 측의 보안 시스템을 구축하면 꽤나 안전한 ICT보안 정책을 구축할 수 있다는 것입니다.

예를 들어 한 기업이 ISO 27001체제의 평가 11항목의 모두에 안전이라는 판정을 받는 인증을 취득했다고 합니다.이는 ICT보안 위기에 대한 전사적으로 임하고 종합적으로 관리하고, 향후 지속적으로 개선하기 위한 시스템을 구축할 수 있었다는 것을 의미합니다.

물론, 인증을 취득하고 있으니까 100%안전하게 된 아니다"해당 안전이다"라는 것입니다.

 

안전한 Web사이트의 기준이 되는 국제 표준은?

 

국제적 비영리 NGO단체로서, 온라인 신뢰도 평가 기관인 "OTA(Online Trust Alliance)"는 매년 유명한 Web사이트를 대상으로 그 보안을 체크하고 그 결과를 더 안전한 인터넷 문화 형성에 노력한 Web사이트를 선정하는 "OTHR(Online Trust Honor Roll, 온라인 신뢰도 우수)"의 기업을 발표하고 있습니다.

OTHR은 정부, 언론, 금융, SNS등 여러 부문에 걸친 약 1,000이상의 세계적으로 저명한 Web사이트를 대상으로 합니다.2015년 선정 결과로서는 단골 약 46%가 보안 면에서 감점된 차지 못하고"가장 신뢰하는 Web사이트"로서 "Twitter"가 선정되었습니다.

 

OTA는 어떤 기준으로 OTHR을 선정하고 있는가.

 

기준은 여러가지 있는 가운데 여기서 주목할 점은 작년부터 "WAF(Web Application Firewall)의 채용"이 가산 항목이 되어 있다는 것입니다.WAF채용 여부는 OTHR의 선정 결과를 크게 좌우했습니다.

WAF는 Web어플리케이션의 보안으로 특화 개발된 솔루션입니다.외부로부터의 공격을 검출하는 차단함으로써 악성 코드를 Web서버에 삽입하려는 시도를 미연에 방지하고 그리고 시스템의 취약성을 외부에 누출되지 않도록 제어하는 등 Web보안에서 가장 핵심에서 중요한 부분을 대응하고 있습니다.

Web사이트의 보안은 시스템 전체에 미치는 영향이 크고 OTA는 앞으로도 WAF채용 여부에 따른 OTHR의 선정에 대한 영향을 강화하는 것을 밝혔습니다.

 

"그럼 WAF를 구입하면 좋다는 거야?그거 얼마야?"

 

WAF를 도입하면 보안 문제는 어떻게도 쉽게 해결이 될 것 같지만 그런 잘 얘기가 아닙니다. 또 생산성 없는 "보안"에 투자를 하는 것은 영리 단체인 기업 측에게 간단한 것도 아닙니다.첫째, WAF는 너무 고가는 아니지만 값싸지도 않습니다.

여기서 코스트 퍼포먼스를 고려하면 클라우드 형 WAF서비스의 차례가 됩니다.간단한 도입 절차이고 저렴한 서비스 가격으로 실제 WAF를 도입한 것과 동등한 수준의 보안을 확보할 수 있습니다.

단언하면 Web서비스 개시를 위한 몇번 클릭으로 전체의 ICT보안 위협의 90%를 차지하는 "Web해킹 공격"을 막을 수 있게 됩니다.이러한 클라우드 형의 WAF서비스의 경우 하드웨어를 가질 필요가 없다, 설치 작업은 발생하지 않고, 코딩 등 필요도 없어요.

실제 시스템의 실무자를 대상으로 Web보안에서 가장 중요한 것은?라고 물었는데"모니터링"이라는 응답이 많은 결과를 보였다고 합니다. Web공격의 트렌드 파악이나 미지의 공격을 예상하기보다는 지금 이 시간에 자사의 Web사이트가 겨냥되어 있는 현상을 알고 싶다는, 요구가 높을 것입니다. 이러한 관리자 때문에 필요한 것은 지속적이고 효과적으로 모니터링 할 수 있는 인터페이스가 중요합니다.시스템에서는 전문가인 관리자도 이것이 보안이 되면"이야기는 달라진다"가 되는 것도 잘 있는 이야기에요.

다양한 클라우드 형 WAF서비스가 출시되고있습니다만, 폐사에서는, 전문가가 아니더라도 쉽게 도입할 수 있는 사용자 친화적 인터페이스에 힘을 넣어 클라우드 브릭(cloudbric)을 제공하고 있습니다. 한번 시험 삼아 되는 것을 추천 드립니다.체험하면서 손해는 없습니다.

Web보안에서 Web어플리케이션에 특화된 보안으로서 우선 WAF의 도입을 검토하여 주세요.그리고, 그 시작으로서 클라우드형 WAF서비스는 매력적인 솔루션임을 다시금 기억하고 주시면 고맙구요.