API 시대 웹 애플리케이션 보안 솔루션 ‘WAAP’
웹방화벽(WAF·Web Application Firewall)은 웹 보안 최전방에서 중요한 역할을 맡아왔다. 이름 때문에 혼동되곤 하지만 웹방화벽은 일반 네트워크 방화벽(Firewall)과 달리 웹 애플리케이션 보안에 특화된 솔루션이다. SQL인젝션이나 XSS(크로스사이트스크립팅 등 웹 공격을 탐지·차단하는 게 주요 임무이며, 그 여파로 발생하는 정보유출, 부정 로그인, 웹사이트 위변조 등 피해를 사전 예방하는 효과가 있다.
‘웹 API(응용프로그램 인터페이스)’ 시대가 도래했다. API는 여러 응용프로그램들 간에 각 프로그램 기능을 서로 제어할 수 있도록 하는 인터페이스를 뜻한다. ‘웹 API’란 웹서버 또는 웹브라우저를 위한 API로, 주로 HTTP 프로토콜 기반으로 여러 클라이언트가 자유로이 접근이 가능하도록 설계된다. 오늘날 대부분의 웹 기반 비즈니스는 웹 API를 통해 이뤄지며, 기존 웹 보안 도구로는 달라진 환경 변화에 충분히 대응하지 못한다는 문제가 제기됐다.
글로벌 IT리서치기업 가트너는 “API 시대 도래에 따라 확장된 웹애플리케이션 보안 요구사항을 충족하기 위해, 기존 WAF가 감당하던 범위보다 더욱 포괄적으로 웹 위협 동향 변화에 적응할 필요가 있다”고 했다. WAF 본연의 역할에 추가로 웹 API 보안, 악성 봇 공격 대응, 대규모 디도스(DDoS) 방어 등 기능을 보강한 ‘WAAP(웹애플리케이션·API보호)’ 솔루션 도입을 권고한다
김태균 펜타시큐리티 대표는 “WAAP가 온프레미스에서 클라우드로 이동하는 과도기의 보안이라는 의견에는 동의하지 않는다. 도식적으로 본다면 과도기라 할 수도 있겠지만, 언제까지 과도기인지가 문제”라며 “사업 성격에 따라 온프레미스 환경이 필수인 비즈니스도 있다. 클라우드로 갔다가 비용 문제, 운영 책임감 등 여러 가지 이유로 다시 온프레미스로 되돌아오는 복귀 현상도 무시할 수 없는 추세로 나타나고 있다”고 설명했다.
이어 “지금으로선 그 과도기가 영구적인 것으로 보는 게 일단은 합리적”이라며 “모든 클라우드는 누군가의 온프레미스다. 사업자가 있고 물리적 서버가 있다는 뜻이고, 그 서버에도 WAAP는 적용돼야 한다. WAAP는 클라우드와 상충하는 개념이 아니라 클라우드 환경에도 꼭 필요한 보안”이라고 부연했다.
새롭게 형성된 웹 보안 전선에서 격전지는 API 보안이다. 대표적 API 보안 조치는 크게 △API 디스커버리 △API 행위 관리 △API 실시간 위협 보호 등 세 가지로 구분된다. API로 연결되는 트래픽을 분석함으로써 사용되는 API 목록을 관리하는 API 디스커버리와, 보안정책을 적용해 API 접근을 통제하는 API 행위 관리는 ‘API 관리’에 해당한다. 그에 비해 API 형식을 검증하고 위협을 탐지하며 트래픽 조절 등을 통해 종합적으로 웹 공격을 방어하는 역할을 맡는 ‘API 실시간 위협 보호’는 실제 통신이 진행되는 과정과 그 내용에 대한 ‘API 보안’에 해당한다.
김 대표는 “여타 API 관리 솔루션에 비해 WAAP의 가장 두드러진 특징은 API 형식을 검증함으로써 외부 API를 통한 공격을 1차적으로 막아주는 역할을 한다는 점”이라며 “OWASP API 보안 톱10 항목 중에 API 형식 검증과 직접적으로 관계된, 이를테면 ‘비보호 형식 설계’를 노리는 공격을 형식 검증을 통해 선제적으로 차단하고 ‘인젝션’ 공격을 탐지하는 역할을 주로 수행한다”고 말했다.
또한 “보안 설정, 불충분한 암호화 통신 등 일반적인 위협에 대해서도 WAAP는 보안의 위치, 즉 공격이 차단되는 위치가 서버보다 앞 단계에 있기에 가장 먼저 보안 조치가 적용되는, 웹 애플리케이션 보안의 최전방이라는 점이 WAAP의 원초적 존재 가치라 할 수 있다”고 덧붙였다.
2005년 출시된 펜타시큐리티 ‘와플(WAPPLES)’은 그간 웹방화벽으로서 15년 간 국내 시장 1위 자리를 고수해온 웹 보안 솔루션이다. 자체 개발한 특허로 논리 분석 ‘COCEP’ 엔진 기반 고성능과 정확도 및 사용편의성을 갖췄다. 글로벌 시장조사기관 프로스트앤설리번이 선정하는 한국 WAF 부문 올해의 보안기업(South Korean Web Application Firewall Company of the Year)상도 수상한 바 있다.
이후 ‘와플’은 제품 정체성까지 바꾸는 혁신을 통해 WAAP 솔루션으로 거듭났다. 웹 공격에 대응하고 정보 유출, 부정 접근, 위변조를 방지하는 등 기존 웹방화벽의 웹 보안 역할에 더해 API 실시간 위협 보호 기능을 추가하고 봇 공격 대응과 DDoS 방어 기능 등도 보강했다. 최근 급증하는 웹 API 공격과 대용량 디도스 등 보다 다양해진 공격에 대응하는 방어력이 한층 더 강화됐다.
WAAP로서 ‘와플’의 특장점은 API를 통한 통신 내용의 위험성을 탐지·대응하는 실시간 API 형식 검증이다. 과거의 표준 XML과 현재 웹 API의 대다수를 차지하는 JSON 양식에 대응하는 고성능과 안전성을 강조한다. 최근 클라우드 환경의 스크립트 언어로 파이썬 활용도가 높아짐에 따라 점차 사용량이 늘어난 YAML 형식도 국내 최초로 검증할 수 있도록 했다.
‘와플’은 전통적 웹방화벽 형태였던 하드웨어 어플라이언스뿐 아니라 클라우드 가상화 환경에 대응하는 소프트웨어 어플라이언스 형태로도 제공된다. 웹 비즈니스 장비를 자체적으로 보유하지 않는 퍼블릭 클라우드 환경의 웹 보안 또한 펜타시큐리티로부터 분사한 클라우드브릭(Cloudbric)이 SaaS(서비스형 소프트웨어)로 제공하므로, 각 고객사 환경에 따라 최적의 형태를 선택해 간편하게 도입할 수 있다.
김 대표는 “‘와플’은 앞으로도 계속해서 기존 WAF 강점을 바탕에 두고 첨단 WAAP 기능과 성능을 지속적으로 강화해갈 예정”이라며 “데이터 보안과 인증 보안 등 다른 보안 솔루션과의 유연한 연동을 통해 보다 강력한 웹 보안, 나아가 펜타시큐리티의 기업정보보안 풀스택 라인업을 구축해갈 계획”이라고 밝혔다.
[기사 원문 보기 – 디지털타임스]