국방부의 웹사이트 보호 개선

상황

미국 연방 정부 기관에서는 가장 중요한 시스템과 데이터를 위험에 빠뜨리지 않고 보안 약점과 취약점을 어떻게 발견할까요? 그 해답은 Akamai의 서비스를 통해 업타임과 보안을 보장하면서, 취약점 발견 및 공개를 크라우드소싱하는 선도적인 기술 브랜드의 발자취를 따라가는 것입니다. 이것이 바로 미국 국방부의 DDS(Defense Digital Service)가 제안한 아이디어였습니다.

국방부의 기술 구축 및 적용 방식을 혁신하기 위해 애시 카터(Ash Carter) 미국 국방부 장관이 창설한 DDS는 민간 부문의 인재와 모범 사례를 활용하여 연방 정부의 가장 중요한 서비스를 개선하는 역할을 담당하고 있습니다. 2016년 초, 모호함을 통한 보안이 현실적이거나 실행 가능하지 않다는 것을 인식한 DDS는 국방부를 설득하여 첫 번째 버그 바운티 프로그램인 Hack the Pentagon을 시작했습니다. 국방부는 민간 부문의 혁신과 새로운 사고를 활용하여 내부 사이버 보안 전문가를 지원하고 시스템과 네트워크를 보다 효과적으로 보호할 수 있는 비용 효율적인 방법을 찾았습니다.

도전과제

버그 바운티는 민간 부문에서 흔히 볼 수 있는 행사였지만 이전까지 연방 정부는 이러한 접근 방식을 도입하지 않았습니다. 이 개념은 비교적 간단합니다. 조직은 외부 연구자, 즉 화이트햇 해커에게 네트워크 및 애플리케이션의 보안을 테스트하고 결과를 보고할 것을 요청하여 취약점을 처리할 수 있습니다. 이 경우 미국 연방 정부는 써드파티인 HackerOne을 고용하여 취약점을 발견할 "해커"를 조직하고 관리했습니다.

DDS는 이 프로그램의 성공을 보장하기 위해 DMA(Defense Media Activity)와 긴밀하게 협력했으며, DMA는 700여 개의 민간 대상 군 및 국방부 웹사이트용 웹 기반 콘텐츠 관리 시스템으로 구성된 국방부 전반의 클라우드 서비스를 제공합니다. DDS와 DMA는 모두 관련된 리스크를 이해했고 해커가 많이 참여할수록 국방부에서 더 많은 버그를 찾을 수 있다는 것을 깨달았습니다. 또한 노련한 연구자들과 초보 해커들에게 의미 있는 도전을 제공하기 위해 국방부 경계 밖의 일부 표적과 더불어 중요한 사이트를 프로그램에 포함시켜야 한다는 것을 알았습니다. 마지막으로, 전체 프로그램을 효과적으로 시작하고 관리하는 것 외에도 DDS와 DMA는 프로그램의 모든 측면에 대한 언론과의 모든 외부 커뮤니케이션을 관리해야 했습니다.

목표

DDS는 목표 달성을 위해 다음 두 가지 핵심 요구사항을 충족해야 했습니다.

• 인터넷 기반 공격의 차단: 국방부 관련 사이트는 가시성이 높은 표적이며, 이번 프로그램으로 인해 언론의 관심이 커지면 공격 가능성이 높아집니다.
• 가용성 보장: 해커톤에서 최대한의 가치를 얻기 위해 취약점 테스트용 사이트가 항상 온라인 상태를 유지해야 했습니다.

검증된 보호 기능 활용

DMA는 처음부터 defense.gov를 해커톤에 포함시킬 것을 권장했습니다. Akamai가 이 사이트를 이미 보호하고 있었기 때문입니다. DDS는 이벤트 중 위험한 활동을 막기 위해 다른 보안 조치도 마련했습니다.

이와 더불어 DMA는 Akamai의 Professional Services를 통해 프로그램을 준비했습니다. Akamai는 이미 버그 바운티 프로그램을 운영하고 있기 때문에 Akamai의 전문가들은 프로그램 전반에 걸쳐 매우 귀중한 통찰력과 제안을 제공했습니다. 또한 DMA는 Akamai의 Client Reputation 서비스를 추가 보안 레이어로 구현했습니다. Client Reputation은 고급 알고리즘을 활용하여 전체 Akamai 네트워크에서 관찰된 이전 행동을 기반으로 리스크 점수를 산정하고 공격, 클라이언트, 애플리케이션의 동작을 프로파일링합니다. Akamai는 이러한 정보를 바탕으로 각 클라이언트 IP 주소에 리스크 점수를 할당하고, DMA가 Akamai에서 수행하길 바라는 보안 서비스를 선택할 수 있게 합니다. DMA는 Client Reputation을 사용하여 프로그램 1일 차부터 defense.gov를 노리는 고유 클라이언트 IP 주소 약 54000개에 대해 실행 가능한 인텔리전스를 얻었습니다.

트래픽 급증 극복

프로그램은 단 세 개의 사이트로 시작됐으며 처음에는 http://www.defense.gov/만 Akamai의 보호를 받았습니다. 그러나 해커 커뮤니티에서 엄청난 관심을 보이며 1400명 이상의 해커가 등록하자 DDS는 범위를 넓혀야 했습니다. DMA는 기술이 부족한 해커들이 오래되고 제대로 구성되지 않은 웹 도메인에서 취약점을 찾을 수 있도록 사이트를 두 개 더 추가하여 다양성을 확보할 것을 제안했습니다.

총 5개 사이트 중 2곳만(defense.gov 및 dodlive.mil) 공격을 잘 이겨냈습니다. DMA가 Akamai의 상시가동형 웹 애플리케이션 방화벽(WAF), Site Shield, Client Reputation 서비스를 통해 보호 수준을 강화했기 때문입니다. 채 하루도 지나기 전에 세 번째 사이트의 트래픽이 폭주하자 DMA는 Akamai의 WAF를 통해 포괄적인 보호를 제공했습니다. WAF 솔루션은 DDoS(Distributed Denial of Service), SQL 인젝션, 크로스 사이트 스크립팅을 비롯한 애플리케이션 레이어 및 증폭 공격을 연중무휴 24시간 차단하도록 제작됐습니다. WAF가 배치되면서 사이트는 공격 및 테스트 트래픽의 맹공격을 이겨내고 최종 사용자가 다시 사용할 수 있게 됐습니다.

시험대에 오른 국방부의 사이버 보안

Hack the Pentagon 프로그램은 2016년 4월 18일부터 5월 12일까지 진행됐으며, 이 기간 동안 252명의 해커가 하나 이상의 취약점 보고서를 제출하며 총 1189건의 보고서가 제출됐습니다. 해커 보고서가 제출되면서 DDS는 HackerOne의 지원을 받아 실시간으로 문제를 해결했습니다. 시범 프로그램이 완료된 지 한 달이 조금 지난 후 DDS는 보고된 각 취약점을 해결했습니다.

138건의 보고서에 대해 보상금이 인정됐으며 1410명의 등록 해커 중 58명에게 100달러부터 15000달러까지 지급됐습니다. 보상금을 포함한 총 계약액은 약 150000달러였습니다. 국방부 장관의 추정에 따르면 국방부가 보안 감사 및 취약점 평가를 수행하기 위해 외부 회사를 고용하는 일반적인 프로세스를 거쳤다면 동일한 취약점을 발견하기 위해 100만 달러 이상을 지출했을 것입니다.

모든 잠재적 위협 차단

Akamai는 프로그램 전반에 걸쳐 참가 사이트 5개 중 3개를 중단 없이 제공하고 보호하면서, 2억 1300만 건의 히트와 10TB의 데이터를 처리하고 초당 약 2000 히트의 트래픽 급증을 흡수했습니다. 당연히 버그 바운티 프로그램은 악의적인 행위자들의 관심을 받았습니다. 예를 들어, Akamai는 1920만 건 이상의 악성 요청을 거부하며 55건의 정교한 공격으로부터 defense.gov를 방어했으며, 그러한 악성 요청에는 유명한 DNS 도메인 플러드 공격 2건과 83개국 250개 IP 주소에서 발생한 DDoS 공격이 포함됐습니다. DMA는 Akamai Client Reputation을 사용하여 100만 건 이상의 요청과 관련된 악의적인 의도도 예측했습니다. 이에 따라 DMA는 인터넷 엣지와 DMA의 웹 서버 인프라로부터 멀리 떨어진 곳에서 알려진 모든 높은 위협을 자동으로 거부할 수 있었습니다.

DMA는 문제가 발생하기 전, 발생 중, 발생한 후에 웹사이트 활동을 기준으로 Akamai가 보호하는 사이트에서 더 많은 스캔 및 연구 활동을 확인할 수 있었습니다.

프로그램 확장

프로그램을 기념하기 위해 HackerOne은 성공적인 해커들에게 Hack the Pentagon 도전 코인을 선물했습니다. 프로그램의 성공에 만족한 카터 장관은 버그 바운티 프로그램을 국방부의 다른 부분으로 확장시킬 세부 계획을 발표했습니다.

"이러한 유형의 보안 프로그램을 통해 많은 국방부 자산을 활용하여 간편하고 신속하게 취약점을 발견하는 동시에 내부 팀이 문제 해결에 집중할 수 있게 하려 합니다. 버그 바운티 프로그램을 확대하면서 취약점 관점에서 참가 사이트를 강화하여 의미 있는 도전이 되도록 해야 합니다. 이상적으로는 이러한 비전을 실현하는 데 도움이 되는 Akamai 같은 상용 솔루션을 보유하게 될 것입니다."라고 DDS의 디지털 보안 책임자 리사 위즈웰(Lisa Wiswell)은 결론지었습니다.

DMA(Defense Media Activity)는 전 세계 미군에게 뉴스 및 정보를 제공하는 직접적인 통신 수단입니다. DMA는 라디오, 텔레비전, 인터넷, 인쇄 미디어 및 새로운 미디어 기술을 포함한 다양한 미디어 플랫폼에 뉴스, 정보, 엔터테인먼트를 제공합니다. DMA는 미국 국내외에 있는 수백만 명의 현역군, 주 방위군, 예비군, 민간인 직원, 계약업체, 퇴역 장병 및 가족에게 정보를 제공합니다.