WAAP (Web Application and API Protection)
# 보안
# 공통
IT 트렌드 ·
현대의 디지털 환경은 날로 발전하고 있으며, 이에 따라 웹 애플리케이션과 API의 활용이 폭발적으로 증가하고 있습니다. 하지만 이러한 변화는 보안 위협을 동반하기 마련입니다. 해커들은 민감한 데이터가 저장된 API를 표적으로 삼아 데이터 유출이나 계정 탈취와 같은 다양한 공격을 감행하고 있습니다. 이러한 상황에서 기업들은 효과적인 보안 솔루션을 필요로 하며, 웹 애플리케이션 및 API 보호(WAAP)의 중요성이 더욱 부각되고 있습니다.
이 글에서는 WAAP의 필요성, 기능, 그리고 그것이 현대 보안 환경에서 어떻게 작용하는지 살펴보겠습니다. 이 글을 통해, WAAP가 제공하는 통합적인 보안 솔루션의 중요성을 이해하시는데 도움이 되길 바랍니다.
WAAP는 WAF의 기능을 포함하면서 더 넓은 범위의 보호를 제공합니다. WAAP는 웹 애플리케이션 뿐만 아니라 API도 보호합니다. 이는 모바일 앱, IoT 디바이스 및 다른 클라이언트와 상호 작용하는 애플리케이션에서 API가 중요한 역할을 하기 때문에 중요합니다. WAAP는 API 엔드포인트에서의 공격도 탐지하고 방지합니다. 가트너는 WAAP이 기존 웹 방화벽(WAF, Web Application Firewall)에서 발전된 것으로 정의하며, 주요 기능을 웹 방화벽(WAF), API 보안, 봇(Bot)완화, 디도스 방어로 정리합니다. [참고 : Critical Capabilities for Cloud Web Application and API Protection]
[WAPP의 기능]
이 글에서는 WAAP의 필요성, 기능, 그리고 그것이 현대 보안 환경에서 어떻게 작용하는지 살펴보겠습니다. 이 글을 통해, WAAP가 제공하는 통합적인 보안 솔루션의 중요성을 이해하시는데 도움이 되길 바랍니다.
[WAAP 필요성]
디지털 환경의 발전과 함께 웹 애플리케이션과 API의 활용이 증가하고 있습니다. API는 민감한 데이터가 저장된 백엔드 데이터베이스에 직접 연결되기 때문에 해커는 이를 노리고 API 기반 인프라 경로를 표적 삼아 데이터를 훔쳐냅니다. API 보안 사고는 데이터 유출, 데이터 스크래핑(Data Scraping), 액세스 노출, 최종 사용자 추적, 계정 탈취 등이 있으며, 기업의 상당수는 API 관련 문제를 겪고 있습니다. 특히 클라우드로의 전환, 마이크로서비스화 등 웹 환경이 더욱 복잡해지고, 웹 공격도 다양해지면서, 웹 보안 솔루션에서 전통적인 웹 방화벽 기능 이외에 API 취약점을 이용한 공격, 악성봇을 이용한 공격, DDoS 공격 등을 방어할 수 있는 다양한 기능의 필요성이 증가하고 있습니다. 이와 같은 상황에서 WAAP(Web Application and API Protection)의 중요성이 더욱 부각되고 있습니다.
1. 웹 방화벽의 고도화
초기의 웹 방화벽은 시그니처 기반 탐지 기법을 사용했습니다. 웹 공격을 막기 위해, 관리자가 웹 방화벽에 수천 건의 시그니처를 적용해야 했으며, 공격 패턴이 시그니처와 정확히 일치해야 탐지가 가능했습니다. 이러한 방식은 웹 환경이 점점 복잡해짐에 따라 사용이 불가능하게 되었습니다.
2. 웹 애플리케이션 및 API 사용의 증가
클라우드가 보편화되고 애플리케이션개발에서 컨테이너, 마이크로 서비스 아키텍처(MSA)와 같은 기술들이 확산되면서 API 사용도 폭발적으로 늘어가고 있습니다.
1. 웹 방화벽의 고도화
초기의 웹 방화벽은 시그니처 기반 탐지 기법을 사용했습니다. 웹 공격을 막기 위해, 관리자가 웹 방화벽에 수천 건의 시그니처를 적용해야 했으며, 공격 패턴이 시그니처와 정확히 일치해야 탐지가 가능했습니다. 이러한 방식은 웹 환경이 점점 복잡해짐에 따라 사용이 불가능하게 되었습니다.
2. 웹 애플리케이션 및 API 사용의 증가
클라우드가 보편화되고 애플리케이션개발에서 컨테이너, 마이크로 서비스 아키텍처(MSA)와 같은 기술들이 확산되면서 API 사용도 폭발적으로 늘어가고 있습니다.
[그림 1. 웹 애플리케이션 및 API 사용의 증가]
3. 다양한 보안 위협의 증가
클라우드는 어디에서나 접근할 수 있기 때문에 공격 표면이 매우 넓으며 복잡해진 기술과 더불어 공격 기법도 다양하게 진화하였습니다.
4. 웹 방화벽의 한계
일부 웹 방화벽에서도 API 트래픽 모니터링, API 인증 및 권한 관리, API 취약점 관리 등의 API 보안 기능을 일부 구현할 수 있지만, 복잡하며 처리하기 어려워졌습니다.
5. 봇(Bot) 완화
웹 사이트는 공개적으로 접근이 가능하기 때문에 전 세계의 네트워크 상에서 요청(Request)을 받습니다. 최근 인터넷에서 일어나는 요청 중에는 봇에 의한 요청이 상당 부분을 차지합니다. 공격자는애플리케이션 기능 마비, 스팸 또는 피싱 이메일 전송, 정상적인 봇의 데이터 분석 방해, 데이터 탈취 등 다양한 목적으로 봇의 기능을 사용하여 자동화된 공격을 수행합니다.
6. DDoS 방어
분산 서비스 거부(DDoS) 공격은 해킹 지식이 거의 필요하지 않기 때문에 전 세계적으로 가장 많이 사용되는 공격 방법 중 하나 입니다. 오늘날 봇넷은 빠른 속도로 확장되고 있으며, 봇넷 및 봇멀웨어가 저렴한 가격에 제공되므로 DDoS는 비 전문 해커도 쉽게 활용할 수 있는 공격 수단입니다.
클라우드는 어디에서나 접근할 수 있기 때문에 공격 표면이 매우 넓으며 복잡해진 기술과 더불어 공격 기법도 다양하게 진화하였습니다.
4. 웹 방화벽의 한계
일부 웹 방화벽에서도 API 트래픽 모니터링, API 인증 및 권한 관리, API 취약점 관리 등의 API 보안 기능을 일부 구현할 수 있지만, 복잡하며 처리하기 어려워졌습니다.
5. 봇(Bot) 완화
웹 사이트는 공개적으로 접근이 가능하기 때문에 전 세계의 네트워크 상에서 요청(Request)을 받습니다. 최근 인터넷에서 일어나는 요청 중에는 봇에 의한 요청이 상당 부분을 차지합니다. 공격자는애플리케이션 기능 마비, 스팸 또는 피싱 이메일 전송, 정상적인 봇의 데이터 분석 방해, 데이터 탈취 등 다양한 목적으로 봇의 기능을 사용하여 자동화된 공격을 수행합니다.
6. DDoS 방어
분산 서비스 거부(DDoS) 공격은 해킹 지식이 거의 필요하지 않기 때문에 전 세계적으로 가장 많이 사용되는 공격 방법 중 하나 입니다. 오늘날 봇넷은 빠른 속도로 확장되고 있으며, 봇넷 및 봇멀웨어가 저렴한 가격에 제공되므로 DDoS는 비 전문 해커도 쉽게 활용할 수 있는 공격 수단입니다.
[그림 2. 지속적이고 정교한 애플리케이션 공격]
[WAAP 정의]
웹 애플리케이션 및 API 보안 솔루션(Web Application and API Solution, WAAP)은 전통적인 웹 방화벽에서 진화 된 형태의 솔루션으로써, 기존의 웹 방화벽 기능 뿐만 아니라 웹 보안에 필요한 API 보안, Bot 완화, DDoS 방어 기능까지도 수행하는 고도화된 웹 보안 솔루션 입니다.
[WAAP의 시작 WAF(Web Application Firewall)]
[WAAP의 시작 WAF(Web Application Firewall)]
WAAP(Web Application and API Protection)의 시작 점에는 전통적인 웹 방화벽 WAF(Web Application Firewall)가 있습니다. WAF는 애플리케이션 보안에 초점을 맞추어 웹 애플리케이션을 대상으로 하는 공격에 대응하기 위해 설계된 특수화된 방화벽입니다. 일반적인 네트워크 방화벽(Firewall)이 내부망에 대한 외부의 침입을 감지하고 차단하는 역할을 한다면, WAF는 웹 애플리케이션과 인터넷 사이에 위치해 웹 트래픽을 감시하면서 잠재적인 악성 트래픽을 탐지 및 차단하는 등의 조치를 수행합니다. 기존의 웹 방화벽은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site scripting(XSS)등과 같은 Application Layer 기반의 외부 웹 공격을 탐지하고 차단하는 역할을 수행해 왔습니다.
[WAF vs WAAP 비교]
[WAF vs WAAP 비교]
WA는 주로 웹 애플리케이션에서 발생하는 공격을 감지하고 차단하는 데 중점을 둡니다. 주로 웹 어플리케이션의 OSI 7계층(Layer 7)에서 동작하며 HTTP 및 HTTPS 트래픽을 모니터링합니다. 주요 기능으로는 SQL Injection, Cross-Site scripting(XSS), 인증 및 세션 관리 등의 공격을 탐지 및 차단합니다.
[그림 3. WAF 기능_공격 탐지 및 차단]
WAAP는 WAF의 기능을 포함하면서 더 넓은 범위의 보호를 제공합니다. WAAP는 웹 애플리케이션 뿐만 아니라 API도 보호합니다. 이는 모바일 앱, IoT 디바이스 및 다른 클라이언트와 상호 작용하는 애플리케이션에서 API가 중요한 역할을 하기 때문에 중요합니다. WAAP는 API 엔드포인트에서의 공격도 탐지하고 방지합니다. 가트너는 WAAP이 기존 웹 방화벽(WAF, Web Application Firewall)에서 발전된 것으로 정의하며, 주요 기능을 웹 방화벽(WAF), API 보안, 봇(Bot)완화, 디도스 방어로 정리합니다. [참고 : Critical Capabilities for Cloud Web Application and API Protection]
[WAPP의 기능]
1. 웹 애플리케이션 보호
: WAAP은 기본적으로 WAF의 웹 애플리케이션 보안 기능을 포함하고 있습니다. HTTP/HTTPS 트래픽을 모니터링 및 분석하여 웹 애플리케이션을 공격하는 악의적인 트래픽과 요청(SQL Injection, Cross-Site scripting 등)을 차단하고 웹 애플리케이션의 취약점을 보호하여 안전한 웹 환경을 유지합니다. 웹 공격 대응, 정보 유출 방지, 부정 접근 방지, 웹 위변조 방지 등 웹 애플리케이션 계층에 대한 공격 탐지 및 차단 수행합니다.
2. API(Application Programming Interface) 보호
악의적인 요청이나 과도한 트래픽으로 인한 서비스 거부(DoS) 공격 등으로부터 API를 보호합니다. 또한 JSON, xml 등의 API 스키마 검증/보호, API 클라이언트와 서버가 각각 인증서를 통해 양방향 인증을 하는 양방향 TLS(mutual TLS, mTLS) 인증 지원 등을 통해 API 보안 기능을 수행합니다. 웹 애플리케이션 상의 API 통신을 보호하기 위해, 다양한 API 데이터형식의 구문 확인 및 유효성 검사를 하는 등 탐지 및 차단 수행합니다.
3. 봇(Bot) 관리
애플리케이션 기능 마비, 스팸 또는 피싱 이메일 전송, 정상적인 봇(Bot)의 데이터 분석 방해, 데이터 탈취 등의 공격을 수행하는 악성 봇을 탐지하고 자동화된 웹 트래픽을 식별/관리해 정상적인 사용자와 악의적인 봇을 구분하고 보호합니다. 무차별 대입공격(Brute force attack), 핑거프린팅(Fingerprinting), 크리덴셜 스터핑(Credential stuffing) 및 스크래핑(Scraping) 등 웹 애플리케이션을 공격하는 악성 봇을 식별하고 애플리케이션에 액세스하지 못하도록 차단합니다.
4. 디도스(DDoS) 방어
디도스(DDoS, 분산 서비스 거부) 공격은 웹 서버에 과도한 트래픽을 발생시켜 정상적인 서비스 제공을 방해합니다. WAAP은 이러한 종류의 공격을 탐지하고 여러 서버에 트래픽을 고르게 분산 시켜 대량의 트래픽을 1차로 거르고, 이후 애플리케이션 레이어 DoS 방어 기술을 통해 대부분 차단합니다.
[WAAP 보안_LG CNS]
: WAAP은 기본적으로 WAF의 웹 애플리케이션 보안 기능을 포함하고 있습니다. HTTP/HTTPS 트래픽을 모니터링 및 분석하여 웹 애플리케이션을 공격하는 악의적인 트래픽과 요청(SQL Injection, Cross-Site scripting 등)을 차단하고 웹 애플리케이션의 취약점을 보호하여 안전한 웹 환경을 유지합니다. 웹 공격 대응, 정보 유출 방지, 부정 접근 방지, 웹 위변조 방지 등 웹 애플리케이션 계층에 대한 공격 탐지 및 차단 수행합니다.
2. API(Application Programming Interface) 보호
악의적인 요청이나 과도한 트래픽으로 인한 서비스 거부(DoS) 공격 등으로부터 API를 보호합니다. 또한 JSON, xml 등의 API 스키마 검증/보호, API 클라이언트와 서버가 각각 인증서를 통해 양방향 인증을 하는 양방향 TLS(mutual TLS, mTLS) 인증 지원 등을 통해 API 보안 기능을 수행합니다. 웹 애플리케이션 상의 API 통신을 보호하기 위해, 다양한 API 데이터형식의 구문 확인 및 유효성 검사를 하는 등 탐지 및 차단 수행합니다.
3. 봇(Bot) 관리
애플리케이션 기능 마비, 스팸 또는 피싱 이메일 전송, 정상적인 봇(Bot)의 데이터 분석 방해, 데이터 탈취 등의 공격을 수행하는 악성 봇을 탐지하고 자동화된 웹 트래픽을 식별/관리해 정상적인 사용자와 악의적인 봇을 구분하고 보호합니다. 무차별 대입공격(Brute force attack), 핑거프린팅(Fingerprinting), 크리덴셜 스터핑(Credential stuffing) 및 스크래핑(Scraping) 등 웹 애플리케이션을 공격하는 악성 봇을 식별하고 애플리케이션에 액세스하지 못하도록 차단합니다.
4. 디도스(DDoS) 방어
디도스(DDoS, 분산 서비스 거부) 공격은 웹 서버에 과도한 트래픽을 발생시켜 정상적인 서비스 제공을 방해합니다. WAAP은 이러한 종류의 공격을 탐지하고 여러 서버에 트래픽을 고르게 분산 시켜 대량의 트래픽을 1차로 거르고, 이후 애플리케이션 레이어 DoS 방어 기술을 통해 대부분 차단합니다.
[WAAP 보안_LG CNS]
전통적인 방식의 웹 방화벽 기능으로는 API 보안에 한계가 있으며, 앞으로는 웹 애플리케이션 및 API 보안에 대해 API 보안, 봇 방어, DDoS 방어와 같은 통합적인 기능을 제공하는 WAAP 솔루션으로 대응이 필요합니다. 앞으로 WAAP는 클라우드 네이티브 보안 솔루션으로 자리잡을 것이며, 더욱 고도화된 AI 기반의 보안 기능이 통합될 것으로 예상됩니다. 또한, API 보안이 더욱 중요해짐에 따라 이 분야에서의 기술 발전이 지속될 것입니다.
[참고자료]
Akamai(WAAP(Web Application and API Protection)란 무엇일까요? | Akamai)
(WAAP(Web App and API Protection)란 무엇입니까? | F5)
WAF vs WAAP, API 보안의 중요성 | MONITORAPP
[웹 보안] 진화하는 웹 보안 WAAP (We.. : 네이버블로그 (naver.com)
[2022 API 보안리포트] 커지는 API 보안위협, 대응방안 집중탐구
o 그림 1 : 웹 애플리케이션 및 API의 증가 (출처: MONITORAPP)
o 그림 2 : 지속적이고 정교한 애플리케이션 공격 (출처: F5)
o 그림 3 : WAF 기능_공격 탐지 및 차단 (출처: MONITORAPP)
자료 열람을 위한 정보 입력
디지털 전환의 혁신을 이끄는
LG CNS의 유용한 소식을 받아 보시겠습니까?
뉴스레터
ESG 뉴스레터 'ESG 에브릿띵'과 함께 지속 가능한 비즈니스의 최신 트렌드와 인사이트를 받아보세요.
소식 구독을 위한 정보 입력
디지털 전환의 혁신을 이끄는
LG CNS의 유용한 소식을 받아 보시겠습니까?