웹 애플리케이션 보안의 격차
서로 다른 보안으로 침해가 발생하는 원리
회사 A와 회사 B의 이야기
서로 다른 것처럼 보이는 웹 애플리케이션과 API 보안 접근 방식에 미묘하지만 중대한 결함을 공유하고 있는 회사 A와 회사 B의 이야기입니다. 이 결함으로 인해 두 회사에는 데이터 유출(관련된 모든 부정적인 결과 포함)이 발생했습니다.
회사 A는 가장 안전한 API 보호 기능을 갖추고 있습니다. 스키마 위반을 모두 차단하고 과도한 요청 속도를 제한하며 최신 위협 인텔리전스를 사용해 알려진 악성 IP 주소를 차단 목록에 추가합니다. 비밀번호 기반 API 인증을 mutual TLS로 대체한다면 더 안전할 수 있지만 아직 침해가 발생한 적은 없습니다.
하지만 이 회사의 API 보안, 위협 인텔리전스 피드, WAF는 모두 서로 다른 벤더의 제품입니다. 또한 벤더가 업데이트를 수행하면서, API 보안에 대한 정보를 제공하는 위협 인텔리전스가 계정 로그인 페이지를 보호하는 WAF와 호환되지 않게 되었습니다. 그 결과 공격자는 이 페이지에서 새로운 SQL 삽입 악용을 사용하여 합법적인 사용자의 이름과 비밀번호를 알아낼 수 있습니다. 이름과 비밀번호를 알아낸 공격자는 스키마 유효성이 검증되었으며 인증된 요청을 API로 전송하여 중요한 데이터를 상당량 획득합니다.
한편 회사 B의 웹 애플리케이션은 DDoS 공격으로부터 완벽하게 보호되고 있습니다. 회사 B는 회사 B의 애플리케이션과 통합하려는 유료 사용자에게 API를 공개하고 있기도 합니다.
공격자는 다크 웹에서 합법적인 유료 사용자의 API 키를 구매합니다. 공격자는 이 키를 이용하여 회사 B의 API 서버에 낮고 느린 DDoS 공격을 시작합니다. 공격자는 불규칙한 간격으로 요청을 전송하는 봇을 활성화합니다. 봇은 허용되는 API 키를 사용하여 각 API 요청을 전송하므로, API 서버에서는 이러한 요청을 합법적인 것으로 받아들입니다. 안타깝게도 회사 B의 백엔드 팀은 다른 모든 서버를 보호하고 있었지만, DDoS 완화 공급자를 통해 API 서버를 프록시하는 것을 잊었습니다.
요청이 서로 쌓이면서 API 서버에 과부하가 걸려 결국 회사 B의 다른 사용자에게 서비스를 제공할 수 없게 도비니다. 실망감을 느낀 많은 사용자들이 유료 계정을 취소합니다.
회사 A와 회사 B의 공통점은 무엇이었나요?
서로 다른 솔루션으로 인한 누락 및 격차 발생
이 예시에서 두 회사의 웹 애플리케이션과 API 보안 접근 방식은 여러 벤더의 솔루션을 여러 가지 짜깁기한 것이었습니다. 솔루션이 통합되지 않았으며 수동 오류가 발생하기 쉬웠습니다.
이것이 문제가 되는 이유를 이해하려면 웹 애플리케이션과 API 보안 프레임워크의 일반적인 구성 요소를 떠올려보세요.
WAF: 웹 애플리케이션과 웹 자산에 대한 공격 차단
봇 관리: 인증 질문이나 악의적으로 의심되는 봇 차단 대응
DDoS 완화: 볼류메트릭 공격이나 낮고 느린 공격 등 어떠한 종류의 DDoS 공격이 발생하더라도 웹 자산을 온라인 상태로 유지
API 보호: API 레이트 리미팅, 스키마 유효성 검사, 인증 등을 포함함
회사 A와 회사 B는 이러한 보호 기능을 모두 도입했습니다. 하지만 동급 최고의 웹 애플리케이션 보안 솔루션 제품이었는데도, 서로 달라 공격자가 악용할 수 있는 결함이 있었습니다.
회사 A의 경우 WAF와 API 보호를 통합하지 않고 계층화했기 때문에 공격을 겪고 이를 차단해야 했습니다. 한 쪽에서 차단할 수 있는 공격이 다른 쪽을 통해 빠져나갈 수 있었습니다. 회사 B의 DDoS 방어 기능은 API 인프라를 보호하지 못했고, 봇 관리는 봇에서 발생한 API 요청을 감지하지 못했으며, 인증이 취약하여 쉽게 손상되었습니다.
잠재적인 격차의 일부 예시에 불과합니다. 웹 애플리케이션 보안에는 다음과 같은 일반적인 격차가 있습니다.
제한된 위협 인텔리전스: 최신 위협 인텔리전스가 아니거나 올바른 위치에 있지 않거나 형식이 호환되지 않습니다. 이 격차는 회사 A에서 발생했습니다.
위협 인텔리전스 출처가 너무 많음: 긍정 오류, 중복, 기타 비효율성이 발생합니다.
봇 긍정 오류: 사용자를 실망시키고 서비스 속도가 느려지며 시행 조치가 느슨해질 수 있습니다.
경고 피로: 기업은 평균적으로 여러 벤더를 통해 45개의 사이버 보안 도구를 사용하며 이 도구는 모두 경고를 생성합니다. 서로 다른 제품이 너무 많으면 직원이 업무를 처리하려고 위협을 무시하게 될 수 있습니다.
불충분한 인증: 회사 A와 회사 B는 어떤 형태로든 자격 증명 도용에 취약했습니다.
확장 불가능한 위협 방어: 하드웨어 보안 장비는 대규모 공격이나 다양한 공격을 받는 경우 트래픽 병목 현상이 발생하고 과부하가 걸립니다.
사이버 공격이 복잡해지고 점점 더 정교해지면서 이러한 격차는 더 위험해지고 있습니다. McKinsey에 따르면, 오늘날의 공격자는 "인공 지능 및 머신 러닝과 함께 통합된 도구와 기능을 활용하는 고도로 정교한 조직이 포함된다"고 합니다. 요즘 공격자는 대상보다 더 빨리 움직이고 전술을 개선하는 경우가 많습니다.
API의 추가적인 위험
현대 조직의 웹 애플리케이션 인프라에서 API는 중요성이 더 커지고 있습니다. 현재 Cloudflare에서 처리하는 API 기반의 모든 동적 트래픽은 58%이며 그 비중은 계속 증가하고 있습니다. 실제로 많은 조직에서 API 우선을 내세우고 있습니다. 이와 더불어, Cloudflare에서는 웹 트래픽보다 많은 비율의 API 트래픽을 악성으로 차단하고 있습니다. 공격자가 API를 집중 공격한다는 점을 보여주고 있습니다.
API는 웹 애플리케이션에 깊이 내장되어 있는 경우가 많으므로 API 보안은 무엇보다 중요합니다. 하지만 내부 팀은 좋은 뜻에서, 보안 팀과 상의 없이 API를 빠르게 배포하는 경우가 많습니다. 그 결과, 미흡한 API 보안이 웹 애플리케이션의 침해 원인인 경우가 많습니다.
예를 들어 실시간 패키지 추적을 지원하는 API에 기본 인증이 미흡하여 USPS는 API 관련 유출을 겪었습니다. 로그인한 사용자는 데이터 집합의 모든 레코드를 표시하는 와일드카드 검색 매개변수를 사용해 다른 모든 사용자의 계정 정보를 쿼리할 수 있었습니다. 이로 인해 6천만 명의 USPS 계정 소유자가 위험에 처하게 되었습니다.
통합 솔루션
회사 A와 회사 B가 여러 보안 제품을 짜깁기하는 대신 모든 웹 애플리케이션과 API 보안 서비스를 하나의 통합 플랫폼으로 결합했다면 어땠을까요? 모든 서비스가 서로 통합되어 있었다면 어땠을까요? 회사의 인프라 상태를 알려주는 데이터가 한 장소에 표시되어 공격과 보안 상태를 신속하게 평가할 수 있었다면 어땠을까요?
회사 A는 모든 웹 애플리케이션과 API 보안 프레임워크 구성 요소에 최신 위협 인텔리전스가 포함되어 있는지 확인하고 공격이 시작되기 전에 차단할 수 있었을 겁니다. 모두 하나의 플랫폼에 있었기 때문입니다. 회사 B는 DDoS 방어 기능을 모든 서버로 더 쉽게 확장할 수 있었을 겁니다.
플랫폼을 사용하면 격차가 줄어들고 관리하기 더 쉬워집니다.
웹 애플리케이션 보안에 통합적으로 접근하려면 모든 유형의 트래픽을 프록시할 수 있는 확장성 높은 인프라가 필요합니다. 지난 수십 년 동안 조직에서는 최신 공격으로부터 방어하고 확장해야 할 때 장비를 구입했습니다. 하지만 클라우드 기반 서비스는 더 쉽게 확장할 수 있고 모든 유형의 인프라를 프록시할 수 있습니다. 통합 플랫폼이 공격을 모두 막을 것을 보장하지는 않지만 가상으로 예를 들었던 회사에 분명히 유용했을 겁니다.
사고 실험 그 이상: 늘어나는 WAAP의 중요성
단지 가��상의 사고 실험 예시가 아닙니다. Gartner는 이러한 통합 서비스를 '웹 애플리케이션 및 API 보호(WAAP)'라고 정의합니다. 2022년, Gartner는 "2024년까지 프로덕션 환경에서 웹 애플리케이션을 위한 멀티클라우드 전략을 구현하는 조직의 70%가 WAAP 애플리케이션 및 IaaS 네이티브 WAAP보다 클라우드 웹 애플리케이션 및 API 보호 플랫폼(WAAP) 서비스를 선호하게 될 것"이라고 예측했습니다.
WAAP는 그저 또 하나의 약어에 불과한 것이 아닙니다. WAF, 봇 관리, DDoS 방어, API 보안, 기타 서비스를 통합하는 것은 요즘 조직에서 점점 더 필수 요소가 되고 있습니다. 인터넷의 글로벌 특성으로 인해 웹 애플리케이션과 API는 여러 위치에서 다양한 수준의 규모와 복잡성을 가진 공격에 지속적으로 노출되고 있습니다. 2022년, 조사 대상 회사의 85%가 데이터 유출을 경험했으며 전 세계적으로 유출로 인한 비용은 평균 435만 달러, 미국에서는 평균 944만 달러의 비용이 발생했다는 IBM의 보고는 놀라운 소식이 아닙니다.
또 다른 고려 사항: 다차원적 인프라
오늘 회사 A와 회사 B가 애플리케이션과 API를 처음부터 새로 구축한다면 쉽게 배포할 수 있도록 호스팅 공급자 한 곳을 사용하여 전체를 클라우드에서 호스팅할 수도 있습니다. 하지만 실제로, 대부분의 조직에서는 레거시 온프레미스 데이터베이스 서버, 클라우드 기반 타사 API, 여러 클라우드에서 호스팅되는 애플리케이션 서버를 갖춘 하이브리드 인프라를 배포하고 있습니다. 이러한 배포 형태에는 이점이 많지만 자체적인 보안 문제도 있습니다.
예를 들어 특정 클라우드 공급자가 제공하는 기본 보안이 전체 인프라로 확장되지 않을 수 있습니다. 시작할 때 모든 인프라를 방어하기 위해 찾아서 매핑하는 것도 어려운 과제일 수 있습니다. 마지막으로, 기술 스택의 다른 솔루션과 각각의 보안 제품이 호환되지 않을 수 있습니다.
따라서 WAAP는 중요 웹 애플리케이션 보안 기능을 통합하는 것 외에도 인프라에 구애받지 않아야 합니다. 즉, 모든 유형의 인프라나 클라우드 배포 환경에 위치할 수 있어야 합니다.
인프라에 구애받지 않는 통합 웹 보안
Cloudflare는 클라우드 네이티브이며 인프라에 구애받지 않고 10년 이상 웹 앱 보안을 제공하고 있습니다. 모든 기능이 단일 제어판에서 하나의 통합 플랫폼으로 제공됩니다. 또한 Cloudflare는 인터넷 트래픽의 상당 부분을 확인하여 초당 7800만 건 이상의 HTTP 요청을 서비스하고, 매일 평균 ~2470억 건의 사이버 위협을 차단하는 이점을 제공합니다. Cloudflare는 이렇게 zero-day 위협과 신규 공격을 특유한 방식으로 확인합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
Gartner는 2022년 Gartner® Magic Quadrant™ 웹 애플리케이션 및 API 보호(WAAP) 부문에서 Cloudflare를 리더로 선정했습니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
서로 다른 보안 솔루션으로 보안 격차가 발생하는 원리
격차가 나타나는 방식을 보여주는 예시
Gartner가 인프라에 구애받지 않는 웹 애플리케이션 보안 플랫폼과의 통합을 권장하는 이유