[데이터넷] 클라우드는 애플리케이션으로 개발돼 API로 연결되며 웹을 통해 제공된다. 웹, API, 애플리케이션 보안은 클라우드 보안의 핵심 기술이라고 할 수 있다. 클라우드 보호를 위한 통합 플랫폼 전략의 일환으로 웹·API 보안은 WAAP로 진화하고 있으며, 애플리케이션 보안은 데브옵스에 통합된 데브섹옵스로 발전해 클라우드 전체를 보호하고 있다.<편집자>

안랩이 2022년 상반기 탐지·차단한 공격 시도 중 41%가 웹 취약점 공격, SQL 인젝션 공격 등을 포함한 웹 기반 공격이었다고 발표했다. 웹 기반 공격은 대부분 잘 알려져있는 전통적인 공격이지만, 좀처럼 줄어들지 않고 있으며, 끊임없이 피해를 일으키고 있다.

웹을 통해 서비스가 제공되는 클라우드에서 웹 기반 공격은 더 높은 빈도로 발생하고 있으며, 웹 서비스와 웹 서버, 웹 애플리케이션에 숨은 취약점과 유출된 계정, 권한설정 오류, 외부에 오픈된 채 방치된 서비스 등을 이용한 공격이 일어나고 있다.

클라우드에서의 웹 보안 기술이 온프레미스와 크게 다르다고 할 수는 없으나 구축·운영 방법까지 같지는 않다. 예를 들어 웹방화벽은 웹서비스에 영향을 미칠 수 있기 때문에 새로운 룰이나 탐지 규칙을 업데이트하는 것이 조심스럽다. 클라우드에서는 웹 보안 정책을 제대로 관리하지 않으면 즉시 사고가 날 수 있으며, 비즈니스와 사용자에게 큰 피해를 준다. 공격자들은 접근 가능한 클라우드 서비스를 지속적으로 탐색하고 침투를 시도하기 때문에 쉽게 접근할 수 클라우드를 노리는 위협이 증가하는 것은 당연하다. 그래서 강력한 웹방화벽 정책을 적용했을 때 오탐으로 인해 비즈니스에 장애를 일으킬 수 있다.

그래서 클라우드를 위한 웹 보안은 클라우드의 강점과 특성을 보장하면서 강력한 보안이 적용될 수 있어야 한다. 실시간 최신 위협 정보를 적용하면서도 사용자 편의성을 해치지 않고 서비스 연속성에 영향을 주지 않아야 한다. 그래서 웹 보안 기능을 하나로 통합해 클라우드로 제공하는 웹 보안 및 API 보안 플랫폼(WAAP)이 대세로 떠오르고 있다.

2025년 웹 보안 기업 40%, WAAP 공급

WAAP는 웹 보안 기업들이 최근 경쟁적으로 출시하는 플랫폼으로, 가트너는 2025년까지 전체 웹 보안 기업의 40%가 WAAP를 공급할 것이라고 내다봤다. 또한 멀티 클라우드 전략을 구현하는 조직의 70% 클라우드 WAAP 서비스를 선호할 것이라고 내다봤다.

WAAP는 웹방화벽, API 보안, 디도스 방어, 지능형 봇 방어 기술을 통합 플랫폼에서 제공하는 솔루션으로, 온프레미스로 구축될 수 있지만, 대체로 클라우드로 제공된다. 하이브리드로 구축해 고객의 복잡한 환경과 규제준수 요건을 맞출 수 있도록 하는 솔루션도 있다.

가트너 WAAP 분야 매직쿼드런트에서 리더 그룹에 속한 아카마이는 국내를 포함한 전 세계 135개 국가에 설치된 4200개 이상 PoP과 2500곳 이상 데이터센터에 클라우드 엣지를 설치하고 여러 보안 기능을 통합 제공한다. 그 중 WAAP라고 할 수 있는 ‘앱·API 프로텍터’ 웹 애플리케이션 공격, 웹 Dos 공격, 웹 오리진 공격, 불필요한 봇 공격 등을 차단하는 기능을 갖췄다.

아카마이의 WAAP는 사용자와 가장 가까운 엣지 서버를 통해 애플리케이션과 API에 연결하도록 해 공격이 고객의 애플리케이션에 전혀 접근하지 못하게 한다. HTTP/S 가시성 기능이 포함된 리버스 프록시로 정상적인 웹 트래픽만 허용하며, 자동화된 보안 정책을 적용하도록 하고, 필요 시 매뉴얼 모드로 전환해 고객 환경에 맞춘 정책을 적용하도록 한다. 원클릭 업데이트로 쉽게 셀프 튜닝이 가능하며, 고객 환경에 따른 동적 보안을 적용해 비정상 트래픽을 차단한다.

아카마이는 기존의 웹방화벽, 디도스 보안 솔루션도 업그레이드해 제공하고 있으며, 아카마이가 모든 보안 관제 서비스를 제공하는 프롤렉식(Prolexic) 제품군도 제공한다.

하이브리드 환경 위한 WAAP 지원

가트너 WAAP 보고서에서 가장 앞선 자리에 위치한 임퍼바는 하이브리드 환경을 위한 통합 웹 보안을 제공한다고 강조한다. 웹방화벽, API 보안, 디도스 방어, 지능형 봇 차단 외에 계정탈취(ATO) 모듈에 크리덴셜 스터핑 탐지 기능을 추가하고, 정상 로그인 사용자의 악의적 행위를 포착하는 행위분석 기술도 탑재했다.

임퍼바는 강력한 성능과 안정성을 인정받는 웹 보안 솔루션의 강점을 어필하며 국내 금융시장을 집중 공략하고 있다. 특히 API를 의무적으로 사용하는 마이데이터 시장에 API 보안을 적극 설명하면서 API 보안 위협 대응과 가시성, 통제를 제공해 API를 통한 문제를 해결한다.

임퍼바는 자사 솔루션이 온프레미스와 하이브리드 환경에 최적화돼 제공될 수 있다는 것을 강조하며 시장에 다가가고 있다. 국내 기업은 전격적인 퍼블릭 클라우드를 사용하기 보다, 온프레미스와 함께 사용하는 하이브리드 환경을 선호하기 때문에 이에 가장 적합한 솔루션을 제안할 수 있을 것으로 기대하고 있다.

토종 웹 보안 기업 파이오링크도 웹방화벽 ‘웹프론트-K’에 API 보안과 봇 관리 기능을 추가한 WAAP를 선보였다. 웹프론트-K에는 API 보호를 위한 양방향 인증서 검증 기술인 mTLS를 포함한 핵심 보안 기술이 모두 적용됐다. 행위 기반 위협 탐지 기술로 진화한 봇과 자동화된 위협에 대응하면서 지속적으로 보안성을 높이고 있다.

이 솔루션에 적용된 mTLS는 API 보안을 위한 핵심 기술로, 개인정보 보호와 안전한 데이터 전송을 보장한다. 식별정보 클로킹, API 토큰 인증 및 무결성 검사, API별 허용 임계치 및 메소드 제한, JSON 응답 클로킹, JSON 요청 필드 검사 등이 탑재돼 웹과 API 보안을 강화했다.

더불어 악성봇 차단을 위해 사용자 행위 기반 탐지 기술을 적용했으며, 캡챠, 자바 스크립트 액션 기반 인증, 크리덴셜 스터핑 방지 기술 등이 탑재됐다.

클라우드 플랫폼 통한 웹 보안 지원

모니터랩은 탁월한 프록시 기술을 이용해 내부 애플리케이션을 보호하고 사용자의 외부 인터넷 및 원격접속 환경을 보호한다. 포워드·리버스 프록시를 모두 지원하는 모니터랩 기술은 웹방화벽, API 보안, 봇·디도스 완화를 결합한 웹 보안 솔루션은 온프레미스 혹은 클라우드로 제공한다. 클라우드로 제공되는 웹방화벽은 전 세계에 분산 운영중인 ‘아이온클라우드(AIONCLOUD)’를 통해 제공되는 AISASE에서 지원한다.

아이온클라우드는 전 세계 16개 지역 40개 데이터센터에 서비스 인프라를 보유하고 있으며, 사용자와 가까운 엣지를 통해 웹 보안 기술을 제공한다. 아이온클라우드는 SASE 아키텍처를 채택해 분산 업무환경의 네트워크·보안을 개선하고, 클라우드 비용을 줄이면서 최적의 비즈니스 효과를 낼 수 있게 한다.

아이온클라우드에서 제공하는 아이온클라우드 WAF는 적응형 프로파일링과 사이버 위협 인텔리전스를 연동해 알려지지 않은 위협에 대응하고, 풀 트랜스페어런트 프록시를 통해 업계 최고 수준의 성능을 보장한다. 사이버 위협 인텔리전스 AICC와 연동해 알려지지 않은 위협과 제로데이 공격에 선제 대응한다.

아이온클라우드 SWG는 사용자가 방문하려는 웹사이트의 유해여부를 탐지하고 의심스러운 링크가 있는지 확인해 안전한 웹사이트 접속만 허용하며 파일 업로·다운로드를 제어한다. 또한 원치않는 소프트웨어 및 악성 코드를 포함한 악성 사이트와 비업무 사이트의 접속을 차단해 기업 내부 사용자의 안전한 웹 환경과 업무 효율을 극대화한다.

또한 지능형 URL 카테고리 필터링을 통해 유해사이트와 비업무사이트 접근을 차단하고 요청·응답 웹 트래픽을 분석해 악성코드를 방어한다. 위협 인텔리전스 플랫폼 AICC와 통합돼 URL 카테고리 DB의 정확도를 향상시킨다. AICC는 의심스러운 URL 탐지(MUD)시스템을 통해 인터넷 환경에 존재하는 모든 웹 사이트를 고속 동적 방문하여, 새로운 웹 사이트나 악성사이트 정보를 실시간 업데이트 한다.

새로운 경쟁사 잇달아 진출

SWG 시장의 높은 점유율을 가진 수산아이앤티가 ‘이워커 SWG(eWalker SWG)’의 클라우드 서비스를 2022년 하반기 런칭한다고 밝혀 주목된다. 수산아이앤티는 공공기관 망분리, 행정안전부 지침 준수를 위한 DaaS 용 서비스, 국내외 다양한 환경에서 보안장비를 도입해야 하는 기업·금융권을 위한 온프레미스·SaaS 혼합 서비스 및 클라우드 환경만을 위한 SECaaS 용 보안 서비스까지 다양한 영역에서 필요로 하는 환경에 적합한 클라우드 서비스 기반의 보안 제품을 개발하고 있다.

이워커 SWG는 연속 공공기관 신규 도입 1위를 달성한 통합 인터넷 접속 관리 솔루션으로, 내부 인사정보와 연동되어 업무에 따라 인터넷 접속 관리, 유해 정보 사이트 및 비업무 사이트 접속을 차단해 업무 효율성을 높여주고 웹 보안 위협을 줄여 안전한 인터넷 접속 관리가 가능하다. 다른 보안장비의 형상 변경 없이 SSL/TLS 암호화 트래픽을 복호화 해 분석하며, 다른 보안장비의 차단 메시지 전달(MPT) 기능도 전달해 구성·운영상의 불편을 해소했다.

GS네오텍이 F5의 보안 기술을 이용한 매니지드 웹 보안 서비스 ‘사이트 디펜더(Site Defender)’ 제공에 나서 주목된다. 이 서비스는 웹방화벽, 봇·디도스 차단 서비스가 포함돼 있으며, GS네오텍의 CDN 네트워크를 통해 제공된다.

한편 F5는 분산형 SaaS 기반 WAF를 출시하고 WAAP 추세를 따라가고 있다. 여기에는 웹방화벽, 봇 방어, 디도스 완화, API 보안이 포함돼 있다. 또한 F5는 인수한 세이프 시큐리티 기술을 이용해 AI·머신러닝 기반 지능형 자동화 봇 차단 솔루션을 제공하고 있으며, 봇과 취약점 기반 웹 공격을을 방어한다.

아시아, API 보안사고로 연간 750억 달러 손실 발생

WAAP가 웹 보안의 차세대 모델로 부상하는 이유는 API 보안 필요가 높아지고 있기 때문이다. 통계에 따르면 클라우드를 사용하는 한 기업 당 평균 1000개의 API를 사용하는 것으로 파악되는데, 관리되지 않은 API를 고려하면 실제 사용량은 이보다 많을 것으로 예상된다.

많은 API를 효과적으로 관리하기 위해 API 게이트웨이가 사용되며, 통신 암호화, 권한관리, 비정상 행위 탐지 등의 보안 기능도 제공된다. 그러나 API 자체가 가진 설계 상 오류, 잘못 설정된 권한, 취약점 등은 API 게이트웨이에서 탐지하지 못한다. 임퍼바 조사에 따르면 13건의 보안 사고 중 1건이 API로 인해 발생하고 있다. 또한 아시아는 API 관련 보안사고 발생률이 16~20%에 이르며, 연간 410억~750억달러의 손실이 발생한다.

우리나라에서는 마이데이터 서비스에 반드시 API를 사용하게 해 API 보안에 더 많은 관심이 쏠렸으며, 금융·공공·통신·의료·쇼핑 등 마이데이터를 활용하는 전 사업에서 API 보안이 필요하게 됐다.

API 보안은 전문 솔루션이 많지 않으며, 웹방화벽의 API 보호 기능으로 대체할 수 있다고 여겨졌다. OWASP 톱10에서 API 공격 유형을 정리했는데, 대부분 웹방화벽을 이용해 대체할 수 있는 것이었다. 문제는 웹방화벽을 통한 문제 해결은 ‘대부분’이라는 것이지, 모든 위협에 대응할 수 있다는 뜻은 아니다. 특히 앞서 언급한 API에 내재된 취약점, 설계오류, 권한설정 잘못으로 인한 침투와 중요정보 탈취 등이 문제를 해결해야 한다는데 동의하고 있다.

독립적인 API 보안 기업은 그리 많지 않으며, 몇 몇 기업은 대기업에 인수돼 WAAP의 한 기능을 담당하고 있다. 현재 노네임시큐리티, 솔트시큐리티 등이 남아있으며, API 관리 플랫폼에서도 보안 기능을 제공한다.