WAF vs WAAP, API 보안의 중요성 | Cloud-Based Platform AIONCLOUD

AIONCLOUD BLOG

Share information related to AIONCLOUD !

블로그 메인페이지로 돌아가기

WAF vs WAAP, API 보안의 중요성

 

WAF(WEB Application Firewall)는 웹 애플리케이션 보안을 강화하기 위한 대표적이고 전통적인 주요 도구 였습니다.

 

 

그러나 최근 웹 기술의 발전과 함께 API 사용율은 폭발적으로 증가 했고 API 위협 또한 비례해서 증가함에 따라,
기존 WAF만으로는 부족한 API 보안 영역을 포괄적으로 보호할수 있는 WAAP(Web Application and API Protection)의 필요성이 부각 되었습니다.

보안 업계에서는 이와 같은 시장 변화에 부응하기 위해,
기존 WAF 벤더들이 기존 웹 애플리케이션 방화벽 기능을 확장하여 API 보호 기능을 추가하거나,
모듈 타입 출시를 통해 기존 제품과 연동하는 등 자사의 제품 및 서비스 영역을 확장하여 WAAP(Web Application and API Protection) 솔루션을 제공하고 있습니다.

즉, WAAP는 전혀 새로운 솔루션이 아니라 기존 WAF 솔루션에 전문화 된 API 보안 기능이 추가 또는 확장된 솔루션 입니다.

 

API 보안 위협에 대해 검색하면 대표적으로 등장하는 키워드가 “인증”, “권한”, “인가” 등 입니다.
API 보안 위협의 근본적인 원인이 수없이 많은 API End-Point에 대한 가시성 확보 및 완전한 관리가 현실적으로 불가하다는 것이고,
매번 새로운 API End-Point가 생성 되거나 수정 될 때 마다 적절한 인증 및 권한 부여가 이루어 지지 못하기 때문입니다.

기존 WAF 솔루션이 대응하기 어려운(바꿔 표현하면 WAAP 솔루션에서 대응하는) 대표적인 API 보안 위협 예시로
"BOLA(Broken Object Level Authorization)" 사용자가 API를 통해 데이터 객체에 대한 권한을 우회하여 접근하는 것을 의미합니다.
이를 통해 공격자는 보호되지 않은 데이터에 접근하거나 조작할 수 있습니다.
BOLA 공격의 예시를 설명하기 위해 두 가지 시나리오를 살펴보겠습니다.

 

대표적인 API 보안 위협 BOLA 공격 예시

  • 계정 권한 오용: 예를 들어, 은행 애플리케이션에서 고객은 자신의 계정에 대한 정보를 조회하고 이체를 할 수 있습니다.
    그러나 공격자가 인증된 사용자로 로그인하여 API를 통해 다른 고객의 계정에 접근하고 이체를 시도할 수 있습니다.
    이를 통해 공격자는 제한되지 않은 권한을 이용하여 시스템을 공격하고 비정상적인 작업을 수행할 수 있습니다.
  • 데이터 조작: 소셜 미디어 플랫폼에서 사용자는 자신의 프로필을 수정하고 게시물을 작성할 수 있습니다.
    그러나 공격자가 API를 통해 사용자의 프로필을 조작하여 다른 사용자의 프로필 이미지를 변경하거나, 사용자가 작성하지 않은 게시물을 게시할 수 있습니다.
    이로 인해 사용자들 간에 혼란이 생기고, 허위 정보가 퍼지는 등의 문제가 발생할 수 있습니다.

위 예시에서 보듯이, API 보안 위협은 주로 권한 및 역할 관리, 데이터 무결성 등의 측면에서 발생하는 결함으로 인해 발생합니다.
따라서 이러한 측면을 강화하고 적절한 접근 제어 및 데이터 검증을 위해서는 API 보안에 전문화된 WAAP가 필요 합니다.

 

 

WAAP 솔루션 필요성

  • 웹 애플리케이션 및 API의 증가: 현대의 소프트웨어 개발은 점점 더 웹 기반 및 API 중심으로 이동하고 있습니다.
    이러한 트렌드는 클라우드 컴퓨팅, 모바일 애플리케이션, IoT(IoT) 및 마이크로서비스 아키텍처의 확산과 관련이 있습니다.
    따라서, 웹 애플리케이션 및 API는 많은 조직에서 핵심적인 역할을 하고 있으며, 이러한 시스템들의 보안은 절대적으로 중요합니다.
  • 보안 위협의 증가: 웹 애플리케이션 및 API는 해커들에게 매우 유용한 공격 대상입니다.
    SQL Injection, Cross-Site Scripting(XSS), 인증 및 세션 관리 문제, 그리고 API 스펙 변조 등의 공격은 심각한 보안 위협이 될 수 있습니다.
    이러한 공격은 조직의 데이터 노출, 서비스 중단 및 고객 신뢰 손상과 같은 심각한 결과를 초래할 수 있습니다.
  • 규정 준수 및 데이터 보호: 많은 산업 분야에서는 웹 애플리케이션 및 API의 보안을 강제하는 규정들이 도입되고 있습니다.
    예를 들어, 금융 서비스 업계의 경우 PCI DSS(PCI 데이터 보안 표준) 및 GDPR(일반 데이터 보호 규정)와 같은 규정을 준수해야 합니다.
    이러한 규정들은 데이터 보호 및 고객 개인 정보 보호를 강화하기 위해 웹 애플리케이션 및 API 보안을 강조하고 있습니다.
  • 비즈니스 연속성 보장: 웹 애플리케이션 및 API의 보안 문제로 인해 발생하는 공격 및 데이터 노출은 비즈니스 연속성에 직접적인 영향을 미칠 수 있습니다.
    서비스 중단, 데이터 유출, 그리고 고객 신뢰 손상은 조직의 신뢰성 및 평판에 영향을 미칠 수 있습니다.
    WAAP를 통해 웹 애플리케이션 및 API의 보안을 강화함으로써 비즈니스 연속성을 보장 합니다.

 

WAF(웹 애플리케이션 방화벽)와 WAAP(웹 애플리케이션 및 API 보호)은 모두 웹 애플리케이션과 API 보안을 강화하기 위한 도구입니다.
그러나 두 솔루션 간에는 몇 가지 중요한 차이점이 있습니다.

 

WAF vs WAAP

범위 및 기능:

  • WAF: 주로 웹 애플리케이션에서 발생하는 공격을 감지하고 차단하는 데 중점을 둡니다.
    주로 웹 어플리케이션의 OSI 7계층(Layer 7)에서 동작하며 HTTP 및 HTTPS 트래픽을 모니터링합니다.
    주요 기능으로는 SQL Injection, Cross-Site Scripting(XSS), 인증 및 세션 관리 등의 공격을 탐지 및 차단 합니다.
  • WAAP: WAF의 기능을 포함하면서 더 넓은 범위의 보호를 제공합니다. WAAP는 웹 애플리케이션뿐만 아니라 API도 보호합니다.
    이는 모바일 앱, IoT 디바이스 및 다른 클라이언트와 상호작용하는 애플리케이션에서 API가 중요한 역할을 하기 때문에 중요합니다.
    WAAP는 API 엔드포인트에서의 공격도 탐지하고 방지합니다.

 

API 보호:

  • WAF: API 보호에는 특별한 기능이 부족합니다. WAF는 API를 다룰 때 효율적이지 않을 수 있습니다.
    API는 일반적으로 REST 또는 GraphQL과 같은 다른 프로토콜을 사용하며, 이는 WAF에서 기본적으로 처리하기에는 복잡할 수 있습니다.
  • WAAP: API 보호는 WAAP의 핵심 기능 중 하나입니다.
    WAAP는 API의 트래픽을 모니터링하고 API 특정 공격 패턴을 식별하여 방지하는 기능을 제공합니다.

 

운영 대상:

  • WAF: 주로 웹 보안 전문가가 사용하고 관리합니다. 대부분의 경우, 웹 어플리케이션의 보안 전문가가 필요합니다.
  • WAAP: WAF에 비해 보다 특수화된 보안 기술이 필요합니다. API 보호 및 관리에 대한 이해가 필요하며, 일부 API 보안 전문가의 지식이 필요할 수 있습니다.

 

 

WAAP는 일반적으로 크게 어플라이언스(APPLIANCE) 타입과 구독형 보안 서비스(Security-as-a-Service) 타입으로 구분되며,
웹 애플리케이션 보안 및 API 보안 외에도 Bot 완화 및 DDoS 완화에 중점을 둡니다.
다만, 어플라이언스 타입은 DDoS에 대한 대응 영역을 Layer 7 HTTP(S)로,
구독형 보안 서비스 타입은 Layer 3~7 전반에 걸친 네트워크 및 HTTP(S) DDoS에 대응 하는 차이가 있습니다.

 

어플라이언스(APPLIANCE):

어플라이언스는 내부 네트워크에 직접 설치되므로, 네트워크 내의 트래픽을 실시간으로 모니터링하고 처리할 수 있습니다.
이는 더 빠른 응답과 낮은 대기 시간을 제공할 수 있으며, 조직 내부 인프라에 직접적으로 통합되어 있으므로, 보안에 대한 전반적인 제어를 제공합니다.

또한, 어플라이언스 타입은 사용자가 보안 정책을 커스터마이징할 수 있도록 풍부한 설정 옵션을 제공합니다.
이는 조직의 고유한 요구 사항에 맞춤화된 보안 솔루션을 구축하는 데 도움이 됩니다.

 

하드웨어 구매 및 유지 관리에 대한 초기 구매, 유지보수 비용이 높고, 모델/라인업 별로 정해진 처리 성능을 가지고 있으므로
대규모 트래픽 처리 능력을 갖추기 위해서는 추가 장비가 필요하는 등 확장성이 제한 됩니다.

 

 

구독형 보안 서비스(Security-as-a-Service):

구독형 서비스는 특별한 하드웨어 구매나 설치 없이도 즉시 이용할 수 있으므로, 초기 투자 및 유지 관리 비용이 낮습니다.
대개는 월별 또는 연간 구독료만 지불하면 즉시 구독이 가능하고 서비스가 부적절하다 판단되는 경우 손쉽게 구독 취소가 가능 합니다.

또한, 클라우드 기반 서비스는 필요에 따라 트래픽 처리 능력을 쉽게 확장할 수 있습니다.

 

어플라이언스와는 달리 클라우드 기반 서비스는 내부 인프라에 직접 접근할 수 없기 때문에, 보안 정책의 일부를 커스터마이징하거나 제어하는 데 제한이 있습니다.

 

 

이러한 장단점을 고려하여, 각 조직의 요구 사항과 운영 환경에 가장 적합한 타입을 선택하는 것이 중요합니다.
모니터랩은 APPLIANCE 타입의 AIWAF, 클라우드 Virtual Machine 기반에서 동작하는 Virtual APPLIANCE 타입의 AIWAF-VE,

 

그리고 클라우드 기반 구독형 보안 서비스 타입인 AIONCLOUD WAAP까지

On-premise 와 Cloud를 아우르는 WAAP 솔루션 벤더(또는 서비스 사업자) 로서,
보다 자세한 설명은 www.monitorapp.comwww.aioncloud.com 을 참고하세요.

Scroll Up