멀티 클라우드 도입 조직 70%, 2024년까지 클라우드 WAAP 도입
[데이터넷] 웹 보안 솔루션이 클라우드 기반으로 빠르게 이동하는 가운데 가트너의 ‘2022년 클라우드 웹 애플리케이션 및 API 보호(WAAP) 분야 매직 쿼드런트’에서 어플라이언스 방식의 WAAP를 제외하고 클라우드로 서비스되는 WAAP를 조사해 주목된다.
가트너는 이전 보고서에서는 어플라이언스와 클라우드 WAAP 기술 벤더를 모두 다뤘으나 올해부터는 클라우드 기반 WAAP를 평가하며, 어플라이언스 중심 벤더는 제외했다고 가트너는 밝혔다. 그 이유로 어플라이언스 WAAP는 웹방화벽(WAF)에 가깝기 때문이며, WAF는 현재 웹 환경을 위협하는 API 취약점과 타깃 공격, 지능형 봇과 디도스 공격에 한계가 있다고 분석했다.
가트너는 2024년까지 프로덕션 환경에서 웹 애플리케이션을 위한 멀티 클라우드 전략을 구현하는 조직의 70%가 WAAP 어플라이언스나 IaaS 네이티브 WAAP보다 클라우드 기반 WAAP 서비스를 선호할 것이라고 예측했다. 2026년까지 40%의 조직이 고급 API 보호와 웹 애플리케이션 보안 기능을 기반으로 WAAP 공급자를 선택할 것이라고 전망했는데, 이는 올해 15% 미만에서 크게 늘어난 수치다.
현재 WAAP를 고민하는 많은 고객이 봇 완화 기능에 주목하고 있지만, 앞으로는 소비자를 대상으로 한 애플리케이션을 운영하는 조직의 40% 이상이 전문 공급업체로부터 추가 이상탐지 기술을 모색할 것이라고 전망했다.
API·봇 보안 기술 중요
가트너가 정의한 WAAP는 ▲WAF ▲디도스 방어 ▲봇 관리 ▲API 보호 기능이 통합된 클라우드 기반 서비스로, 광범위한 런타임 공격 완화와 OWASP 톱10 웹 애플리케이션 위협, 자동화된 위협, API에 대한 특수 공격에 대응하는 솔루션이다. WAAP에는 클라이언트 측 보호, 웹 방어, 취약성 검색, 모바일 앱 보안, DNS 서비스와 보안, CDN 등의 기능이 옵션으로 추가될 수 있다.
이번 보고서에서 가트너는 API 보안이 평가의 핵심으로, 기능 면에서 많은 개선이 진행됐으며, 여러 공급업체들이 API 검색 기능을 도입했다고 설명했다. 그러나 WAAP에 통합된 API 보안은 아직은 초기 버전으로 보이며, 탐색모듈 경고, 비즈니스 컨텍스트 지원 측면에서는 깊이가 부족하다고 평가했다.
봇 완화에 있어서는 상당한 개선이 있었는데, 머신러닝을 이용해 악성봇과 인증된 봇의 세분화된 분류, 사람이 조작하는 봇 특히 캡챠 우회 공격, 정상적인 행위와 비정상 행위를 구분하는 기술에서 상당한 진전이 있었다고 설명했다.
이 보고서에서 리더로 선정된 기업은 강력한 분산 인프라를 통해 클라우드 WAAP를 제공하며, 높은 수준의 보안과 웹 애플리케이션 환경의 원활한 통합을 보장한다. 고급 웹 애플리케이션 동작 학습과 다양한 웹 위협, 사용자 지정 웹 보안과 회피 기술 탐지, 실시간 모니터링 등을 지원한다고 가트너는 설명했다.
통합 플랫폼 경쟁력 강화
이 보고서에서 최상단에 위치한 아카마이의 경우, WAAP에 필요한 기능을 다시 패키징 해 플랫폼 기반 보안의 이점을 강화했다고 가트너는 설명했다. 아카마이는 계정탈취 공격(ATO) 방어, 적응형 보안 엔진 업데이트, 테라폼 배포 지원 방지 위한 계정 보호 기능을 새롭게 추가하면서 WAAP의 기능을 강화했다.
클라이언트 평판 분석, 위협 인텔리전스, 강력한 고객 지원, 고급 디도스 완화와 API에 대한 디도스 방어 기능도 좋은 평가를 받았다.
가트너 보고서의 평가에 대해 에릭 그레이엄(Eric Graham) 아카마이의 제품 관리 담당 부사장은 “공격자들은 보안을 피하고자 기존 공격을 재구성하거나 악용할 수 있는 새로운 취약점을 찾아내면서 끊임없이 진화하고 있다. 아카마이는 6년 연속 웹 보안·WAAP 분야 리더로 선정되면서 진화하는 위협에 앞서 대응하는 노력을 인정받았다”며 “아카마이는 전 세계 많은 공격의 표적이 되는 가치 있는 브랜드를 보호한다”고 밝혔다.
웹·애플리케이션 보안 전문기업 임퍼바도 이 보고서의 리더로 선정됐다. 임퍼바는 WAAP 게이트웨이, 데이터베이스 보안, DNS 보안, 런타임 애플리케이션 자가방어(RASP) 등으로 구성된 포트폴리오를 제공하고 있으며, CDN과 캐싱 기능 개선, HSM 지원, 지능형 봇 방어 서비스 등의 개선된 기능을 추가했다. 임퍼바 WAAP에 포함된 계정탈취방어(ATP) 모듈은 성공적인 로그인이나 로그인 실패 상황에서 악의적인 의도를 확인하도록 설계됐다.
