웹 애플리케이션 및 API 보안 솔루션(Web Application and API Solution, WAAP)은 전통적인 웹방화벽에서 진화된 형태의 솔루션으로써, 기존의 웹방화벽 기능 뿐만 아니라 웹보안에 필요한 API 보안, Bot 완화, DDoS 방어 기능까지도 수행하는 고도화된 웹보안 솔루션입니다.
기존의 웹방화벽은 그 이름에서도 알 수 있듯, SQL Injection, Cross-Site Scripting(XSS)등과 같은 Application Layer 기반의 외부 웹 공격을 탐지하고 차단하는 역할을 수행해 왔습니다.
하지만 클라우드로의 전환, 마이크로서비스화 등 웹 환경이 더욱 복잡해지고, 웹 공격도 다양해지면서, 웹보안 솔루션에서 전통적인 웹방화벽 기능 이외에 API 취약점을 이용한 공격, 악성 봇을 이용한 공격, DDoS 공격 등을 방어할 수 있는 다양한 기능의 필요성이 증가하고 있습니다.
웹방화벽은 사용자의 필요와 요청에 의해 꾸준히 발전해 왔습니다.
초기의 웹방화벽은 시그니처 기반 탐지 기법을 사용했습니다. 웹공격을 막기 위해, 관리자가 웹방화벽에 수천 건의 시그니처를 적용해야 했으며, 공격 패턴이 시그니처와 정확히 일치해야 탐지가 가능했습니다. 이러한 방식은 웹 환경이 점점 복잡해 짐에 따라 사용이 불가능해 졌습니다.
그 후 지능형 웹방화벽에서는 웹 공격 유형 별로 블랙리스트 탐지, 화이트리스트 탐지, 웹 트래픽 컨텐츠 분석 등의 기법들을 논리적으로 결합하여 공격을 탐지하는 방식을 사용하였습니다. 그 결과 특정 공격 유형의 새로운 변종 공격이 발생하였을 경우, 최소한의 시그니처 추가만으로 변종 공격의 방어가 가능해졌습니다.
특히 개별 시그니처 비교를 통한 탐지와 규칙 기반 탐지 방식이 결합된 논리 기반 탐지엔진이 등장하는 등 웹방화벽은 지속적으로 고도화 되어 왔습니다.
최근의 웹 애플리케이션은 단일 시스템으로는 거의 구축되지 않습니다. 개별적인 기능들이 마이크로서비스라고 하는 더 작은 애플리케이션에 내장되어 연결됩니다. 개발자들은 빠르게 변화하는 사용자의 요구사항을 충족시키기 위해, 기능별 수정 및 업그레이드가 용이한 이러한 분산 모델을 선호합니다. 따라서 사용자의 눈에 하나의 “애플리케이션”으로 보이는 부분은 실제로는 수백 개의 마이크로서비스의 조합으로 이루어져 있습니다.
API는 마이크로서비스를 서로 연결하는 백엔드의 중앙 인터페이스 역할을 함으로써 완벽하고 일관된 사용자 경험을 프런트엔드에서 제공합니다. 반면, 이러한 API의 역할을 감안하여 생각해 보았을 때, API 결함을 이용해 공격한다는 것은 다양한 서버에서 호스팅되는 수백 개의 마이크로서비스에 대한 무단 액세스 권한을 확보할 수 있다는 것을 의미합니다.
이러한 API 및 마이크로서비스를 보호하는 것은 WAAP 솔루션의 두번째 코어 기능입니다. JSON, XML 등의 API 스키마를 검증하거나 보호함으로써, 또는 API 클라이언트와 서버가 각각 인증서를 통해 양방향 인증을 하는 양방향 TLS(mutual TLS, mTLS) 인증을 지원함으로써, WAAP 솔루션은 API 보안 기능을 지원합니다.
웹 사이트는 공개적으로 접근이 가능하기 때문에 전 세계의 네트워크 상에서 요청(Request)을 받습니다. 최근 인터넷에서 일어나는 요청 중에는 봇에 의한 요청이 상당 부분을 차지합니다. 다양한 봇이 자동화된 문의 폼, 이메일 전달 서비스, 라이브 채팅과 같은 웹사이트 자동화에 사용됩니다.
한편 공격자는 이러한 봇의 기능을 사용하여 자동화된 공격을 수행합니다. 이를 통해 애플리케이션 기능 마비, 스팸 또는 피싱 이메일 전송, 정상적인 봇의 데이터 분석 방해, 데이터 탈취 등 다양한 목적을 달성합니다.
따라서 오늘날 이러한 악성 봇을 구분하는 것이 웹 애플리케이션 보안의 필수 요소가 되었습니다. WAAP 솔루션은 고도화된 탐지 기술 및 논리 탐지 엔진을 기반으로 대부분의 악성 봇을 탐지하고 방어합니다.
분산 서비스 거부(DDoS) 공격은 해킹 지식이 거의 필요하지 않기 때문에 전 세계적으로 가장 많이 사용되는 공격 방법 중 하나입니다. 오늘날 봇넷은 빠른 속도로 확장되고 있으며, 봇넷 및 봇멀웨어가 저렴한 가격에 제공되므로 DDoS는 비전문 해커도 쉽게 활용할 수 있는 공격 수단입니다.
악성 봇 완화 또는 DDoS 방어를 위해서는 유사한 메커니즘이 사용됩니다. 다만 DDoS 공격의 물결이 시작되었을 때 이를 한가지 방법으로 완벽히 차단하는 것이 어렵기 때문에, 로드 밸런서나 CDN 등의 솔루션을 사용함으로써 여러 서버에 트래픽을 고르게 분산시켜 대량의 트래픽으로부터 방어할 수 있습니다. 이렇게 1차적으로 걸러진 트래픽은 WAAP 솔루션의 애플리케이션 레이어 DoS 방어 기술을 통해 대부분 차단될 수 있습니다.
앞서 설명한 WAAP 솔루션 중 하나가 펜타시큐리티의 웹방화벽 제품인 WAPPLES입니다.
펜타시큐리티는 지능형 논리 분석 엔진인 COCEP(COntents Classification and Evaluation Processing)을 독자적으로 개발하였습니다. 이 특허 기반의 지능형 논리 엔진을 바탕으로 WAPPLES은 웹방화벽, API 보안, Bot 완화, DDoS 방어 등의 4가지 코어 기능을 고도화하고 발전시켜 나가고 있습니다.
WAPPLES는 15년 연속으로 시장 점유율 1위를 차지하며,
최고의 성능과 보안 수준을 자랑하는 WAAP(Web Application and API Protection) 솔루션입니다.
15년 연속 국내 웹방화벽 시장 점유율 1위
웹 애플리케이션 및 API 보안 솔루션