2023년 12월 4일 월요일

Stop deploying web application firewalls

제목이 도발적이다. 정규표현식 떡칠로 성능도 구리고 오탐률도 높은 웹방화벽 쓰지 말자는 내용인데, 글쓴이는 무슨 사연이 있길래 이런 독설을 쏟아낼까? (정상 서비스 차단해놓고 영업 기밀이라 원인 규명 못한다고 뻗대던 모업체 떠오르네) 

그런데 보안 종사자들에게 별로 도움되는 글은 아닌 듯. 그렇게 따지면 사실상 모든 네트워크 보안장비 쓰지 말자는 얘기인데(..) 서툰 목수가 연장 탓한다는 말처럼 도구는 그저 쓰기 나름. 오히려 재미있는 건 댓글 반응. 몇 개만 추려보면,
People will stop deploying WAFs when the compliance standards are rewritten to not require them. Honestly AWS WAF is perfect for this. It's not a great WAF but it is ideal if you need "pretend to have a WAF" as a service so you can tick the box. 
(CC인증 등의) 규정 준수 표준이 WAF를 필요로 하지 않으면(보안장비 구축을 요구하지 않으면) 사람들은 WAF 배포를 중단할 것입니다. 솔직히 AWS WAF는 이에 완벽합니다. 훌륭한 WAF는 아니지만 WAF가 있는 척하는 서비스가 필요한 경우에 이상적입니다.

It's not a lie! The WAF is there, it's attached and it does absolutely nothing with unmatched performance and scalability. We tell the auditor this.
There's no audit checkbox for "WAF actually does something useful", so it's fine. 
WAF는 이미 설치되어 있으며, 탁월한 성능과 확장성으로 아무 일도 하지 않지만 WAF가 실제로 유용한 기능을 수행합니다라는 검증 항목이 없으니 괜찮습니다. (보안장비 구축 여부는 검증하지만, 얼마나 정확하게 운영하는지는 검증하지 못한다)

Here is a big lesson that I "learned": actual security does not matter for the purpose of avoiding risks and fines. What matters is the ability to say "we got hacked despite following the accepted best practice" or "we can shift the blame HERE". Having a paid-for WAF ticks both boxes. 
제가 배운 큰 교훈은 실제 보안은 위험과 벌금을 피하기 위한 목적에서는 중요하지 않다는 것입니다. 중요한 것은 모범 사례를 따랐음에도 불구하고 해킹을 당했다 또는 책임을 여기로 돌릴 수 있다고 말할 수 있는 능력입니다.

과거 IDS 오탐 문제를 고민하면서

미국 사례를 열심히 찾았었는데 고민 흔적은 많지만 뾰족한 해법은 없더라. 결국 패킷 데이터 전수 검사를 시도했는데 어쩌다(?) 적용한 데이터 정규화가 효과를 봤다.

특히 한글 자음으로 필드 구분자 중복 문제를 해결하면서 영어권은 같은 문제 해결이 쉽지 않겠다는 생각까지 들었다. 미국이 몰라서 못한다 생각할 때라 짜릿했음.

이후 같은 문제를 안고 있는 다른 현장들을 겪으면서 내 경험을 빨리 알려야겠다는 생각을 하게 됐는데 2013년 책 출간 후 반응은 좀 의외였다. 불가능한 이론? 불편한 진실? 현장 실무자들은 좋아하는 것 같은데(..) 

미국도 해결 못한 문제 해결할 수 있다는 데 이 어색한 분위기 뭐지? 그러다 2015년쯤 문득 그런 생각이 들었다. 보안 잘하면 뭐가 좋아지지?

우리 모두는 돈 주는 사람이 원하는 일을 해야 한다. 돈 안 되는 보안 잘 하면 경영진이 좋아할까? 결국 인증 취득 등 어필이 쉬운 업무에 집중할 수밖에 없다. IT 종주국 미국이 주도하는 이런 트렌드를 우리가 거부할 수 있을까?


정보보안 초창기부터 알려진 문제지만 미국이 해결하지 못하는 (사실은 안 하는) 데는 다 이유가 있었던 것. 
CC(Common Criteria)에 의하면 PP(침입탐지장치 보호 프로파일)는 구현 방법에 관계없이 특정 환경에 존재하는 위협에 대한 보안 요구 사항을 나타낸다... 침입탐지 장치에 대한 PP가 침입을 탐지하기 위한 기능을 전혀 요구하지 않는다 - 네트워크 보안 실무 (394 페이지)

그래미상 받은 후 대세가 된 방탄이나 아카데미상 받은 후 위상이 달라진 봉준호, 윤여정씨를 보면 알 수 있지만 세상의 기준은 미국. 하물며 컴퓨터도 미국이 만들었다. 안 따라갈 수가 없음.

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스