웹 애플리케이션 및 API 보호(WAAP)란 무엇인가요?
WAAP(웹 애플리케이션 및 API 보호)는 오늘날의 복잡한 애플리케이션을 검색하고 보호하는 일련의 보안 도구에 대해 설명합니다. 오늘날 대부분의 웹 애플리케이션은 애플리케이션이 데이터를 공유할 수 있는 경량 소프트웨어 인터페이스인 API(애플리케이션 프로그래밍 인터페이스)를 통해 구축 및 실행됩니다. 그러나 이러한 상호 작용은 새로운 공격의 길을 열어주며, WAAP는 API가 기존 네트워크 보안에 뚫고 들어온 구멍을 막기 위해 특별히 설계되었습니다.
기존 WAF의 한계
WAAP 기능에 대해 자세히 알아보기 전에 해당 기능이 구축된 위협 환경에 대한 맥락을 파악하는 것이 좋습니다. API는 데이터를 빠르고 쉽게 공유할 수 있도록 설계되었습니다. 따라서 기존 네트워크 보안 플랫폼이 안전하게 유지하던 소프트웨어와는 크게 다릅니다. 웹 애플리케이션 방화벽(WAF)은 대부분 정적인 동작을 하는 웹 애플리케이션과 대부분 미리 정의된 방식으로 통신하는 사용자 기반을 보호하기 위해 구축되었습니다. 이는 규칙 기반 보안 정책을 위한 이상적인 환경입니다: WAF는 내부 정책에 따라 각 HTTP 통신을 검사하기만 하면 의심스러운 행동과 유사한 모든 것을 공격이 내부 사용자에게 도달하기 전에 차단할 수 있습니다.
WAF의 정책 기반 접근 방식이 왜 제한적인지 설명하기 위해 API 보안이 직면한 몇 가지 일반적인 위험을 평가해 보겠습니다:
올바른 사용자 인증
웹 앱과 상호 작용할 때 사용자는 해당 역할의 권한 수준에 해당하는 리소스에만 액세스할 수 있어야 합니다. 그러나 일부 API는 사용자 인증 검사를 수행하도록 코딩되어 있지 않은데, 이 취약점은 매우 흔해서 OWASP는 이를 깨진 객체 수준 인증이라는 이름을 붙였습니다. 이 작업을 수행하지 않는 API를 사용하면 공격자가 API 를 호출하고 사용자 매개변수에 잘못된 사용자 ID를 입력한 후 해당 사용자 또는 엔드포인트의 세부 정보에 액세스할 수 있습니다.
Token Theft
또는 사용자를 인증하는 API는 토큰 도난의 위험에 노출될 수 있습니다. 사용자 또는 엔드포인트가 API의 인증 서버에서 자신의 신원을 확인할 때마다 기본 API에 대한 액세스를 확인하는 토큰이 발급됩니다. 이러한 토큰은 정기적으로 만료되도록 설정해야 하지만 일부 개발자는 영구 토큰을 발행하기도 합니다. 예를 들어 중간자 공격을 통해 이 토큰이 도난당하면 공격자는 사용자의 계정에 무기한으로 액세스할 수 있습니다.
WAF 규칙 제한
WAF 규칙은 기본적으로 API 내에서 부적절한 액세스를 탐지할 수 없습니다. HTML 패턴을 탐지하기 위해 구축된 WAF는 API가 사용하는 복잡하고 중첩된 구조에 대해 엄청난 어려움을 겪습니다. 서명은 비즈니스 및 인증 프로세스를 안정적으로 인코딩하는 데 최적의 형식이 아닙니다.
더 심각한 문제는 API 컨텍스트에서 WAF 서명을 구현하려고 하면 많은 수의 오탐이 발생한다는 점입니다. 즉, WAF는 합법적인 API 사용에 대해 경고를 발행하고 심지어 차단할 수도 있습니다.
WAAP: 작동 방식 및 핵심 구성 요소
WAAP의 핵심은 웹 애플리케이션 방화벽이기 때문에 WAF가 쓸모없다고 선언하는 것은 아닙니다. WAAP 역시 사용자와 백엔드 서비스 사이에 위치하는 역방향 프록시라는 점에서 동일한 아키텍처 설계를 따릅니다.
그러나 WAAP는 WAF 기능에만 의존하지 않고 그 위에 몇 가지 추가 구성 요소를 추가하여 이점을 제공합니다. WAAP는 조직의 기존 네트워크 도구와의 통합뿐만 아니라 지속적으로 업데이트되는 위협 인텔리전스의 백본이 필요하기 때문에 Gartner에서는 클라우드 기반이라고 정의합니다.
웹 애플리케이션 방화벽(WAF)
WAF는 계속해서 효율적이고 확장성이 뛰어난 방어 계층 역할을 하고 있습니다. 웹 애플리케이션 보안의 기본 기준이 되는 애플리케이션과 사용자를 오가는 모든 HTTP/S 트래픽을 검사합니다. 고급 WAF 모듈은 지속적으로 업데이트되는 규칙 집합을 기반으로 하므로 위협이 새로 발견되면 가상 패치를 적용할 수 있습니다. 실시간 위협 피드는 제공업체의 광범위한 취약성 인텔리전스 피드를 통합하여 거의 실시간으로 보호할 수 있습니다.
이와 함께 고급 WAF는 심층 패킷 검사(DPI)를 제공할 수 있습니다. 기존 WAF는 사용자 요청의 패킷 헤더를 검사하여 패킷이 어디로 이동하고 있는지, 패킷이 어떻게 라우팅되는지 보여줍니다. DPI는 네트워크를 통과할 때 데이터 패킷의 전체 콘텐츠와 페이로드를 검사하여 이를 대체합니다.
이러한 심층 분석을 통해 WAF 엔진은 개별적으로 위험한 패킷뿐만 아니라 명령 및 제어 서버에 연결을 요청하기 시작하는 손상된 애플리케이션과 같은 더 복잡한 공격도 차단할 수 있습니다. 따라서 컨텍스트 기반 프로토콜은 사용자 신원, 위치, 시간, 디바이스, 요청 내에서 데이터가 표시되는 위치 등 각 요청의 광범위한 컨텍스트를 고려할 수 있습니다.
마지막으로, 이 모든 실시간 HTTPS 트래픽 데이터는 행동 분석 플랫폼으로 전송됩니다. 이를 통해 WAF는 시간이 지남에 따라 각 애플리케이션이 호출되는 방식과 다양한 사용자가 행동하는 방식에 대한 프로필을 구축할 수 있습니다.
API 게이트웨이
API 보안은 WAAP의 핵심 구성 요소입니다. API 게이트웨이로 설계된 WAAP는 각 요청을 적절한 백엔드 서비스로 라우팅하거나 요청된 백엔드 서비스를 호출하고 그 결과를 집계하기 전에 각 요청을 수집하는 단일 진입점 역할을 합니다.
보안 가시성 관점에서 보면 훨씬 더 나은 API 가시성을 확보할 수 있습니다. API WAAP 솔루션이 트래픽 및 관련 엔드포인트를 스캔하여 현재 사용 중인 API를 감지하므로 검색을 반자동으로 수행할 수 있습니다. 인벤토리에 추가되면 수동 검토가 수행되어 검증된 API는 기준 인벤토리로 이동하고, 예상치 못한 발견은 섀도 API로 플래그가 지정되어 추가 확인을 위해 나열됩니다.
이 프로세스에는 각 API가 준수하는 스키마의 유효성을 검사하는 것도 포함됩니다. 각 API가 발견되면 WAAP 도구는 샘플링된 요청 및 응답 데이터를 수집하여 내부 공통 스키마 목록과 대조합니다. 일반적이지 않은 스키마는 수동으로 확인할 수 있습니다. 스키마와 함께 이 WAAP 검색에는 각 API의 인증 요소가 포함됩니다.
학습 또는 가져온 API 스키마를 통해 수신 및 발신 요청에 유효성 검사를 적용할 수 있습니다. 따라서 타사 API도 OAuth 2.0 인증, 입력 위생 처리, 속도 제한과 같은 모범 사례를 준수하도록 보장합니다. 최신 WAAP 플랫폼은 실시간 트래픽 가시성 및 자동화된 API 인벤토리 관리를 위해 API 게이트웨이를 통합하는 경우가 많습니다.
봇 관리
API와 개별 사용자도 보안에 중요하지만 애플리케이션을 보호할 때 고려해야 할 또 다른 요소가 하나 더 있는데, 바로 봇입니다. 다행히도 봇은 실제 사용자 및 API 호출과 구별되는 방식으로 작동하는 경우가 많습니다. 예를 들어 사람은 마우스 포인터를 무작위적이고 유기적인 방식으로 움직이지만 봇은 기계적인 직선으로 마우스 움직임을 시뮬레이션하거나 전혀 움직이지 않습니다. WAAP는 디바이스, 브라우저, 네트워크와 같은 매개변수와 함께 클라이언트 측 활동을 수집합니다.
WAAP 모범 사례에 따르면 봇으로 의심되는 경우 자바스크립트나 캡차 등의 챌린지가 발생해야 합니다. 봇으로 확인되면 차단하거나 합리적인 속도 제한을 적용할 수 있습니다.
액세스 관리
앞서 보안 API 인증의 중요성에 대해 살펴봤습니다. WAAP는 조직의 기존 ID 및 액세스 관리(IAM) 제공업체와 통합하여 이에 대한 가시성과 시행 권한을 부여합니다.
통합이 완료되면 WAAP는 API 인증에서 발급된 모든 액세스 토큰을 캡처하고 유효성을 검사할 수 있으며, 각 API 호출이 만료되지 않은 유효한 자격 증명을 전달하는지 확인할 수 있습니다. 이는 조직이 도난당한 액세스 토큰을 감지하고 제거할 수 있는 프레임워크를 제공하는 동시에 활성 API 내에서 정기적인 토큰 갱신을 시행할 수 있도록 합니다.
최종 사용자의 관점에서 WAAP 도구는 페더레이션 ID 및 SSO 통합을 지원하므로 인증 프로세스를 더 빠르게 진행할 수 있습니다. 즉, 신뢰할 수 있는 디바이스에 대한 인증이 백그라운드에서 수행될 수 있습니다.
체크 포인트로 API 보안 극대화
Check Point offers transparent API discovery and schema enforcement: it then applies dual AI engines – one trained on vast volumes of malicious and benign traffic, the other continuously modeling the unique context of your applications – to automatically block threats with near-zero false positives.
Finally, Check Point collates all ongoing API and web application data into a unified dashboard. Reporting is made fast and efficient thanks to audit-ready logs, while Check Point’s global infrastructure provides local Points of Presence that keep latency low and maintain a high level of scalability.
Explore the Check Point dashboard for yourself with a demo and start unveiling the APIs within your organization.
