waf

요즘은 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 아주 유명하고 거대한 클라우드 회사가 대신 맡아서 처리해 주고 있으니까 보안 문제도 아예 없을 거라고 믿는다. 하지만 이는 아주 심각한 오해다. 클라우드 서비스 제공자는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 어플리케이션 그리고 데이터 보안에 대한 책임은 순전히 서비스 사용자의 몫이다. 이는 컴컴한 비밀도 아니고 서비스 제품 설명서에 명백히 쓰여져 있는 사실이다.
뉴스를 보면 온갖 현란한 초첨단 무기들이 치열하게 성능을 경쟁하는 것 같지만 가장 많은 사상자를 내는 무기는 여전히 총이나 칼 등 아주 단순한 무기다. 단지 범행 동기 등 행태가 복잡해질 뿐. 웹 공격도 그러해, 'SQL 인젝션'이나 'XSS(Cross Site Scripting)' 등 아주 단순한 공격이 여전히 주된 공격 수법이다. 전에 썼던 SQL 인젝션 사고 글을 보면 그 허무할 정도로 단순한 그러나 강력한 공격 방법을 그려 볼 수 있다. 놀랍게도 이런 단순한 공격이 아직까지도 잘 통한다. 왜? 대비를 안 하니까,,
예전에는, 그러니까 인터넷 대중화 이전에 이런 사고가 발생하면 사회 전체가 분노로 끓어오르곤 했는데, 요즘은 하도 자주 일어나니까 아주 익숙해져버려 다들 그저 "뭐? 또?" 잠깐 짜증만 내고 금방 잊는다. 개인정보는 나만의 것이 아니라 아무나 막 가져다 쓰는 공공재가 되었다는 비웃음마저 흔히 들을 수 있다. 하지만 개인정보 유출사고는 그렇게 가볍게 여기며 대충대충 웃고 넘어갈 그런 일이 결코 아니다. 정말정말 위험천만한 일이기 때문이다.
"넷플릭스, 마지막 데이터센터 문 닫다." 딱 한 줄, 하지만 그 함의는 광대하다. 초거대 공룡 IT기업이 자체 데이터센터를 완전히 폐쇄하고 모든 시스템을 'AWS(Amazon Web Services, 아마존 웹 서비스)' 클라우드 환경으로 옮겼다. 그 이유는 무엇이고, 대이동에 왜 7년씩이나 걸렸으며, 클라우드는 넷플릭스마저 감당할 정도로 진짜 대세가 된 게 확실한 건지, 차례차례 알아보자.
"그딴 회사 애널리스트들보다 내가 훨씬 더 많이 알아!" 사내의 해당 부문 전문가가 애널리스트들보다 뛰어난 기술자일 수는 있지만, 그들처럼 업계 전반을 두루 살피지는 못하고 직접적으로 연결된 업계 내 인적 네트워크 때문에라도 종종 객관성을 잃게 마련이다. 간단히 말해, 대개의 경우 애널리스트들이 훨씬 더 똑똑하다. 불쾌하더라도 어쩔 수 없다. 그건 그들의 '일'이고 그들은 공히 인정 받는 전문가들이니, 만약 제대로 못한다면 오히려 더 이상한 일 아닌가.
대부분의 유명한 클라우드 호스팅 서비스들은 모두 충분히 믿을 만한 네트워크 보안 서비스를 제공한다. 필요에 따라 선택적으로 보안 서비스를 받을 수도 있다. 하지만 웹 컨텐츠 보호에 대해서는 특별한 방법을 따로 제공하지 않는다. 단지 기술적 문제 때문만은 아니고 웹 컨텐츠 레벨에서의 내용 검수 등 법적 적절성 문제까지도 얽혀 있어 굉장히 복잡한 문제인데 어쨌든 중요한 건, 클라우드 호스팅 서비스들의 보안성은 웹 컨텐츠 보호에서만큼은 매우 취약하다는 점이다. 이를 어쩌지?