[데이터넷] 클라우드는 공격표면이 넓기 때문에 어디서나 공격할 수 있다. 그 중에서도 사용자 접근성이 높은 웹은 언제나 공격의 중심이 된다. 그래서 웹 보안, 디도스 방어, API 보안, 봇 방어 솔루션의 진화가 필요하며, 이를 통합한 플랫폼의 수요도 요구된다. 더불어 DNS 보안과 SSL 인증서 관리도 웹 보안의 필수 요소다.<편집자>

조직 36%, 노출된 웹 서비스 취약점 있어

클라우드는 어디서나 접근할 수 있기 때문에 공격표면이 매우 넓다. 특히 클라우드에 노출된 웹 서비스 취약점은 공격자들이 언제나 침입할 수 있는 공격접점이 된다. 오르카 조사에 따르면 조직의 36%가 패치 적용되지 않은 웹 서비스가 인터넷에 노출돼 있어 공격자가 쉽게 액세스 할 수 있는 것으로 알려졌다. 오르카에서 탐지한 공격의 대부분이 알려진 취약점을 악용하는 것으로, 외부에서 액세스 할 수 있는 클라우드 웹 서비스 취약점의 위험을 훨씬 더 높다.

웹 취약점이나 웹을 타깃으로 하는 공격은 웹방화벽(WAF)을 통해 막고 있지만, 전통적인 웹방화벽은 클라우드의 민첩성을 지원하지 못한다. 전통적인 웹방화벽은 웹 서비스 안정성에 영향 미칠 것을 우려해 확실한 위협 행위가 아니면 차단하지 않는다. 지능적인 공격자들은 너무나 쉽게 클라우드 애플리케이션에 침투하고 확장해간다.

진화하는 클라우드 웹·애플리케이션 타깃 공격을 막기 위해 클라우드로 제공되는 웹·API 보호 플랫폼(WAAP)가 필요하다. WAAP는 웹방화벽, API 보안, 봇 방어, 디도스 보호 기능이 통합된 플랫폼이다.

WAAP의 이상을 가장 잘 구현한 솔루션이 아카마이의 ‘AAP(App & API Protector)’다. 지능적인 웹 타깃 위협으로부터 전체 웹과 API 자산 보호 기능을 단일 솔루션으로 통합했다. 아카마이의 위협 인텔리전스와 머신러닝 모델, 전문가 검증을 기반으로 한 적응형 보안 엔진으로 현재와 미래의 위협까지 방어한다. 자동 업데이트, 셀프 튜닝 조정 및 자동 API 검색은 보안 체계를 지속적으로 현대화하고 작업을 간소화한다.

AAP를 도입한 글로벌 제조사 A는 100GB~1TByte 단위로 주 평균 6-8시간씩 발생하는 디도스 공격을 막아야 했다. 아카마이 AAP는 37만 대 엣지 서버에서 이를 흡수해 성공적으로 방어하고 있다. 아카마이 SIA로 랜섬웨어와 악성 도메인 접근 금지 보안 정책을 적용해 보안을 더욱 강화했다.

아카마이는 WAAP의 API 보안을 강화하기 위해 API 보안 기업 네오섹 기술을 기반으로 한 ‘API 시큐리티’를 출시했다. 이 솔루션은 API 행위 분석으로 API 내부의 비즈니스 로직 남용을 탐지하고, API 공격을 차단한다. AAP를 보완해 전사적 가시성, API 활동에 대한 행동 분석, 공격·남용 방지를 결합해 포괄적인 글로벌 보호 기능을 제공한다.

아카마이는 디도스 방어 역량도 뛰어나다. 2023년 초 초당 900Gbps, 초당 1억5829만패킷에 달하는 디도스 공격을 성공적으로 막아냈는데, 이는 인터넷 역사상 최대 트래픽 방어 성공 기록으로 남았다.

이외에도 제로 트러스트 네트워크 액세스(ZTNA) 솔루션 ‘엔터프라이즈 애플리케이션 액세스(EAA)’, 사용자와 디바이스를 인터넷에 안전하게 연결시키는 ‘시큐어 인터넷 액세스(SIA)’, 클이언트 사이드 스크립트 취약점 공격에 대응하는 ‘페이지 인테그리티 매니저(PIM)’ 등 다양한 웹 보호 솔루션을 제공하고 있다.

고성능 웹 보안 인수한 탈레스, 시장 변화시킬까

글로벌 웹방화벽 시장 강자 임퍼바가 탈레스에 인수돼 웹 보안 시장 지형에 변화가 생길지 관심이 쏠린다. 탈레스는 임퍼바 인수로 웹 애플리케이션 보안을 디지털 신원·보안(DIS) 사업에 통합해 보안 역량을 크게 확장시킬 수 있으며, 2027년까지 7% 이상 매출 성장을 이룰 수 있다고 기대하고 있다.

임퍼바는 WAAP와 온프레미스 웹 방화벽, API 보안, 봇 방어, 디도스 방어, 데이터 보호 등의 솔루션을 공하고 있으며, 국내에서도 금융권과 엔터프라이즈를 중심으로 영업을 전개해왔다. 임퍼바 WAAP는 싱글스택 아키텍처로 보안 기능을 단순하지만 강력하게 운영할 수 있게 한다. 단일 라이선스 정책으로 예측 가능한 비용 투자를 하게 하며, AI/ML을 이용한 지능형 방어로 알려지지 않은 위협에도 대응한다.

임퍼바는 최근 국내에서 급증하고 있는 크리덴셜 스터핑과 계정탈취 공격을 막을 수 있는 ‘어드밴스드 봇 프로텍션(ABP)’과 ‘어카운트 테이크오버(ATO)’ 제품도 공급한다. 임퍼바 WAAP에 통합되거나 단독 솔루션으로도 공급 가능한 이 솔루션은 고급 회피형 봇과 기 유출된 계정을 이용하는 공격까지 대응할 수 있다.

클라우드 보안관제 결합시킨 WAAP 제공

국내 웹방화벽 기업들도 플랫폼을 WAAP로 진보시키기 위해 적극 노력하고 있다. 파이오링크의 경우 WAAP 솔루션 ‘웹프론트-KS’와 클라우드 보안관제 서비스를 결합해 복잡한 웹·애플리케이션 보안문제를 해결할 수 있도록 돕는다.

웹프론트-KS는 웹방화벽, API 보호, 봇 관리, 디도스 방어 기능이 통합됐으며, 2023년 OWASP API 10대 취약점에도 완벽 대응한다. API 보호를 위한 양방향 인증 검증 기술 mTLS가 적용됐으며, 행위 기반 위협 탐지 기술을 이용해 진화한 봇과 자동화된 위협에 대응하면서 지속적으로 보안을 높인다. 파이오링크는 소프트웨어형 웹프론트-KS 외에 고성능 하드웨어 어플라이언스인 웹프론트-K도 있어 사용자 환경에 적합한 설치 방식을 지원한다.

파이오링크는 ‘클라우드 보안관제 서비스’를 자체적으로 운영하고 있어, WAAP 구축에 필요한 취약점 진단부터 보안컨설팅, 장비운용까지 통합 보안 서비스를 제공한다. 국제 표준 4종 인증 ISO 27001, 27017, 27018, 27701을 모두 획득했으며, 전문 보안 요원과 빅데이터 기반의 보안관제시스템(ESM/SOC)을 활용해 고객별 특화된 관제 서비스를 제공하고 있다.

이와 함께 파이오링크 사이버 위협 인텔리전스(CTI) 서비스도 받을 수 있다. 다양한 위협 탐지 채널에서 수집한 방대한 데이터와 자사 사이버위협분석팀의 심도 있는 분석이 담긴 통찰력 있는 서비스를 통해 위협 예방과 신속한 정책 수립을 할 수 있다.

증가하는 API 위협, 전용 솔루션 필요

WAAP가 부상하고 있는 중요한 요인 중 하나가 API 위협 수준이 높아졌기 때문이다. 클라우드 사용이 늘어날수록 API가 증가하며, API의 설계상 오류, 논리 구조의 허점, API 취약점, 잘못된 권한설정 등을 악용한 공격이 빈번하게 발생하고 있다.

이에 OWASP는 2019년 API 보안위협 톱10을 발표한데 이어 2023년 초 이를 새롭게 개정해 발표했으며 ▲손상된 오브젝트 수준 권한(BOLA) ▲손상된 권한 ▲손상된 오브젝트 프로퍼티 수준 권한 ▲무제한 리소스 사용 ▲손상된 기능 수준 권한 ▲서버 측 요청 위조 ▲잘못된 보안 설정 ▲자동화된 위협을 방어하는 기능 부족 ▲부적절한 재고 관리 ▲안전하지 않은 API 사용 등을 들었다.

상위 5개 공격 중 4개가 권한과 관련된 문제를 지적하고 있어 API 권한 오남용과 권한탈취로 인한 위협이 심각하다는 사실을 보여준다. 아카마이가 2023년 상반기 발간한 인터넷 보안현황 보고서 제 9권 2호 ‘보안 격차의 허점: 애플리케이션 및 API 공격의 증가’에서 설명한 OWASP API 보안 1위인 BOLA의 경우, 정상적으로 전송된 오브젝트 ID를 조작해 권한없는 사용자가 민감 데이터에 접속할 수 있다. 이 공격으로 암호화 해제, 디도스, 크리덴셜 스터핑 등의 공격이 가능하다.

BOLA 공격은 쉽지만 정상 트래픽과 유사해 탐지가 어렵다. 애플리케이션 비즈니스 로직과 사용자가 접속할 수 있는 리소스에 대한 지식이 필요하며, 리소스와 사용자의 연결을 모두 구분할 수 있어야 한다. BOLA 공격은 규모가 작아 이벤트로는 확인하기 어려우며, 인젝션이나 서비스 거부 등의 비정상 행동을 의미하는 확실한 징후가 나타나지 않는다.

지금까지 API 보안 문제는 API 게이트웨이나 웹방화벽 등에서 담당해왔지만, API 자체에 내재된 취약점이나 논리적 구성오류는 API 게이트웨이와 웹방화벽이 탐지하지 못한다. 그래서 API 보안 전문 기술기업이 연이어 등장하고 있다.

API 보안 전문기업 노네임시큐리티가 국내 총판 엔시큐어를 통해 국내 시장 공략에 박차를 가하고 있다. 노네임 API 보안 플랫폼은 보안 취약점이나 잘못된 구성, 설계 결함으로부터 API 환경을 보호하며 자동화된 위협 탐지 및 대응을 통해 실시간으로 API 공격에 대응한다. API 표적 공격과 알려진 보안 취약점, 수백 가지의 위험을 탐지하고 데이터 유출, 권한 부여 문제, 데이터 오남용 및 손상으로부터 API를 자동으로 보호한다.

노네임 API 보안 플랫폼은 온프레미스와 클라우드, SaaS, 하이브리드 등 모든 환경을 지원하며 CI/CD 파이프라인과 통합돼 JWT 취약점, 인증, 권한 부여, 금지된 헤더 등을 탐지하고 보다 심층적인 가시성과 포괄적인 API 보안 기능을 제공한다.