기업의 웹 서버는 웹서비스의 특성상 항상 외부에 노출되어 운영됩니다.
이로 인해 해킹 사고의 약 80%가 웹 서버를 타겟으로 발생합니다.
그러나 방화벽, IPS(Intrusion Prevention System)와 같은 전통적인 보안 솔루션은
현대의 복잡한 네트워크 환경에서 분명한 한계점을 가지고 있습니다.
웹 서버는 http를 위해 80 포트와 https를 위해 443 포트는 항상 열어두어야 합니다.
때문에 방화벽은 해당 포트로 들어오는 모든 트래픽을
정상적인 통신으로 간주하게 되며 이는 보안 위험을 증가시킵니다.
또한 IPS는 세부적인 정책 설정을 제공하지 않고,
시스템 부하 등의 이유로 SSL 통신에 대한 방어 능력이 미흡합니다.
이런 상황에서 기업은 보다 세분화된 보안정책 설정이 가능하고, 개인정보 보호 규제 및 규정을 준수하는
보다 효과적인 보안 솔루션의 필요성이 커졌습니다.
이에 따라 WAF(Web Application Firewall)가 시장에 등장했습니다.
WAF는 웹 애플리케이션을 대상으로 하는 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 커맨드 인젝션 등
다양한 형태의 공격을 탐지하고 차단합니다.
WAF는 등장 이후 끊임없이 발전해 왔습니다.
초기에는 주로 블랙리스트와 화이트리스트 방식을 사용했지만,
이후 웹 트래픽 콘텐츠 분석과 같은 기법을 활용해 공격 유형에 따른 정책 관리를 강화했습니다.
그러나 기술의 발전과 함께 웹 애플리케이션도 진화하며
기존의 단일 아키텍처에서 벗어나 마이크로 서비스 아키텍처를 사용하게 되었습니다.
즉 실제로 Web Application은 여러 개의 작은 서비스들의 집합으로 구성되어 있고,
이 작은 서비스들은 API를 통해 서로가 연결되어 하나의 Application처럼 보입니다.
API(Application Programming Interface)는
각각의 애플리케이션 간의 데이터 교환을 가능하게 하는 메커니즘입니다.
단순한 수치 데이터에서부터, 민감한 정보들까지 API를 통해 전달되고 있습니다.
이렇듯 API의 사용이 증가하면서, 웹 보안의 초점은 단순한 웹 애플리케이션에서 API 보안까지 확장되었습니다.
이러한 변화에 따라 Gartner는 WAAP(Web Application and API Protection)를 정의했습니다.
WAAP는 기존 WAF의 기능을 넘어서 API 보안, 봇 공격 완화,
DDoS 방어 등을 포함하는 보다 포괄적인 보안 솔루션 입니다.
오늘은 이 중 API 보안에 관해 설명하겠습니다.
"API 보안"
API 보안은 WAAP의 핵심 요소로,
API를 다양한 형태의 공격으로부터 보호하는 프로세스입니다.
이를 위해서는 API 트래픽에 대한 가시성을 확보하는 것이 중요하며,
각 Endpoint에 대한 구체적인 정책을 수립할 수 있어야 합니다.
예를 들어, API를 DDoS 공격으로부터 보호하고,
잘못된 파라미터 값의 전달을 방지하는 정책이 필요합니다.
또한 인가되지 않은 사용자나 애플리케이션의 접근을 차단하는 정책도 중요합니다.
API로 전송되는 모든 입력 데이터는 검증되어야 합니다.
각 API Endpoint마다 필요한 파라미터의 형식이 다르기 때문에
잘못된 형식의 데이터나 SQL Injection, XSS 공격 구문 등이 전달될 경우에는 서비스에 큰 손실을 입힐 수 있습니다.
따라서 항상 전달되는 데이터의 값은 검증되어야 하며,
올바르지 않은 형식의 데이터가 전달되려 할 때 WAAP는 해당 트래픽을 웹 서버에 전달하지 않아야 합니다.
API의 과도한 사용은 결국 자원의 낭비로 이어지게 됩니다.
특히 DDoS 공격과 같은 악의적인 트래픽 증가는 API를 타겟으로 할 수 있습니다.
이러한 과도한 트래픽을 관리하기 위해 WAAP는 속도 제한과 같은 방법을 사용해야 합니다.
또한 인가되지 않은 사용자로부터의 API 요청을 차단하는 것이 중용합니다.
API는 데이터를 보내고 받는 요청을 모두 포함하므로,
인가되지 않은 사용자가 데이터를 받거나 보내는 것은 애플리케이션에 치명적일 수 있습니다.
따라서 API 통신 시에는 특정 인증 헤더 값이 포함되거나 token 등이 포함되어야 하며,
WAAP는 해당 값이 없는 요청을 막아야 합니다.
마지막으로 WAAP는 웹서버로 들어오는 트래픽 중, API 트래픽만을 구분해 사용 패턴을 모니터링하고,
비정상적인 활동이나 의심스러운 트래픽을 감지하기 위해 로그를 기록해야 합니다.
MONITORAPP의 AIWAF는 이러한 API 보안은 물론
봇 공격 완화, 디도스 방어 등을 포함하는 WAAP 솔루션 입니다.
MONITORAPP의 AIWAF는 Data Center 내부에 설치되는 전통적인 Physical Appliance 방식과
Public 또는 Private Cloud에 설치되는 가상머신을
배치/구성하는 방식인 Virtual Appliance 방식으로 구현 가능합니다.
Physical Appliance로 구성될 경우 '인라인 모드', '리버스 프록시 모드', '미러링 모드'로 구성 가능하며,
Virtual Appliance의 경우 '인라인 모드' 와 '리버스 프록시 모드'로 각각 구성 가능합니다.
다양한 구축 / 구성 환경을 모두 지원하는 MONITORAPP의 AIWAF/AIWAF-VE와 함께
기업의 웹 애플리케이션과 API를 보호해 보세요.