AWS 웹방화벽 API 보안 탐지율 비교

일상 속 API, 여러분은 API 공격으로부터 안전한가요?

by Insight

최근 몇 년간 API 보안은 사이버 보안 분야에서 주요 이슈로 부각되고 있습니다. 글로벌 IT 시장조사 전문기관 가트너(Gartner)는 API 보안의 중요성을 인지하고, 이를 반영한 새로운 웹 애플리케이션 보안 모델인 ‘웹 애플리케이션 및 API 보안(Web Application and API Security, WAAP)’을 제안한 바 있습니다. API(Application Programming Interface, 응용 프로그래밍 인터페이스)는 두 소프트웨어 구성요소가 일정한 정의와 프로토콜에 따라 상호 소통할 수 있도록 하는 메커니즘입니다. 일반적으로 API는 데이터와 서비스를 제공하여 개발자들이 기존 데이터와 기능을 활용해 새로운 애플리케이션과 도구를 개발할 수 있도록 합니다.

 

예를 들어, 새로운 음식 배달 앱에서 지역 내 식당 위치를 지도에 표시해야 할 경우, 개발자가 직접 지도를 만들고 모든 식당 데이터를 수집하는 것은 비효율적입니다. 대신 구글 지도(Google Maps)와 같은 기존 지도 API를 활용해 필요한 데이터를 가져오는 방식을 사용할 수 있습니다.

 

API는 다음과 같은 이유로 현대 소프트웨어 개발에 필수적인 요소가 되고 있습니다.

 

  • 상호운용성(Interoperability)

API는 서로 다른 소프트웨어 시스템 간의 상호운용성을 촉진합니다. 이를 통해 각기 다른 개발자가 만든 애플리케이션과 서비스가 함께 작동하고 데이터를 공유하며 통합 솔루션을 제공합니다.

  • 모듈화 개발(Modular Development)

API를 통해 복잡한 시스템을 더 작고 관리하기 쉬운 구성 요소로 나누어 소프트웨어 개발, 테스트, 유지보수가 용이해집니다. 개발자는 특정 기능 구축과 업데이트에 집중할 수 있습니다.

  • 크로스 플랫폼 통합(Cross-Platform Integration)

API는 서로 다른 기기 및 환경 간에 애플리케이션이 작동할 수 있도록 지원합니다.

  • 데이터 접근 및 공유(Data Access and Sharing)

API는 애플리케이션 간 데이터를 교환하는 구조화된 방식을 정의하며, 주로 JSON(JavaScript Object Notation)이나 XML(Extensible Markup Language) 형식을 사용합니다. 이러한 표준화 덕분에 요청하는 애플리케이션과 제공하는 시스템 모두 데이터를 쉽게 해석하고 처리할 수 있습니다.

 

하지만 이러한 장점에도 불구하고 모든 API가 보안 조치를 갖추고 있는 것은 아닙니다. API를 겨냥한 공격 사례가 점차 증가하여 서비스에 심각한 피해를 입히는 경우가 많아지고 있습니다. 대표적인 사례가 듀오링고(Duolingo)입니다. 듀오링고는 전 세계적으로 인기 있는 언어 학습 애플리케이션을 운영하는 기업으로, 2022년 1분기 말 기준 월간 활성 사용자 수가 약 4,920만 명에 달하는 것으로 추산됩니다. 방대한 사용자 데이터를 보유한 만큼 해커들의 주요 표적이 되었는데, 2023년 1월 다크웹 해킹 포럼 ‘Breached’에 듀오링고 사용자 260만 명의 개인정보가 유출되어 공개되었습니다. 유출된 데이터에는 이메일 주소, 이름, 사용자명, 기타 프로필 정보가 포함되어 있었습니다.

 

듀오링고 API 공격

screenshot courtesy of FalconFeedsio

 

해커는 듀오링고 API의 취약점을 통해 사용자 데이터를 탈취한 것으로 알려졌습니다. 당시 듀오링고 API는 이메일이나 사용자명만으로 사용자 정보에 접근할 수 있도록 설계되어 있었으며, 추가적인 인증 절차가 없었습니다. 따라서 요청이 실제 사용자로부터 온 것인지 확인하는 보안 조치가 전혀 없어 사용자 데이터에 대한 접근이 제한되지 않았습니다. 이 사건은 OWASP(Open Web Application Security Project, 웹 애플리케이션 보안에 중점을 둔 국제 비영리 단체)의 API Security Top 10 2023 중 다음 두 가지 취약점에 해당합니다.

 

  • API2:2023 – 인증 취약점(Broken Authentication)
  • API3:2023 – 객체 속성 권한 부여 취약점(Broken Object Property Level Authorization, BOLA)

 

API가 해커들의 주요 공격 대상이 됨에 따라, API 보안을 구축하는 것은 API를 제공하는 모든 조직과 기업에 있어 매우 중요한 과제가 되었습니다. 이미 시장에는 다양한 API 보안 솔루션이 존재하지만, 내가 속한 환경에 가장 적합한 솔루션은 무엇인지 선택하는 것이 중요합니다.

 

다양한 목적의 수많은 API가 존재하는 만큼, API 보안 솔루션도 여러 방향과 접근법을 취할 수 있습니다. 예를 들어, 일부 솔루션은 인젝션 공격(Injection)이나 인증 취약점(Broken Authentication)과 같은 특정 취약점에 집중하는 반면, 다른 솔루션은 API 탐지(API Discovery)에 중점을 두기도 하고, 또 다른 솔루션은 API 게이트웨이(API Gateway)에 집중할 수도 있습니다. 따라서 어떤 솔루션이 최고라고 단정하기 어렵고, 각 조직과 기업이 자신의 환경과 요구사항을 신중히 평가한 후 적합한 솔루션을 도입하는 것이 중요합니다.

 

 

클라우드브릭 매니지드 룰 – API 보안 (Cloudbric Managed Rules – API Protection)

펜타시큐리티는 API 보안을 위해 실제 API 공격과 취약점에 초점을 맞춘 서비스를 제공합니다. ‘Cloudbric Managed Rules – API Protection’은 AWS WAF용 관리형 규칙 그룹의 특성을 활용해 보안 벤더가 사전 정의한 보안 규칙을 제품 구독을 통해 간단히 적용할 수 있도록 하는 이점을 바탕으로, AWS WAF 사용자가 API 공격을 탐지하고 차단하는 빠르고 쉬운 서비스를 제공합니다. 펜타시큐리티 API 보안 서비스는 OWASP의 API 보안 상위 10대 위협에 대비하기 위해 설계되었습니다. 이를 위해 펜타시큐리티의 자체 사이버 위협 인텔리전스(CTI)를 통해 수집 및 분석된 API 공격 데이터를 활용해 알려진 API 공격에 대한 보안을 구축합니다. 또한 XML, JSON, YAML 데이터에 대한 검증 및 보호 기능을 제공합니다. API Protection은 제3자 IT 테스트, 검증 및 분석 회사인 The Tolly Group이 실시한 비교 테스트를 통해 AWS 마켓플레이스에서 현재 제공되는 API 보안 관리 규칙 그룹 중 가장 높은 탐지율을 기록한 바 있습니다.

 

AWS 웹방화벽 API 보안 탐지율 비교

The Tolly Group – 3rd-party IT Testing, Validation, & Analysis

 

펜타시큐리티의 ‘Cloudbric Managed Rules – API Protection’은 이용한 만큼 결제하는 효율적인 가격 정책을 제공합니다. 이를 통해 사용자들은 보안 전문 지식 없이 제품 구독만으로 강력한 API 보안을 손쉽게 구현할 수 있습니다. Cloudbric Managed Rules – API Protection에 대한 자세한 설명은 아래 페이지에서 확인하세요.

 

 

👉Cloudbric Managed Rules – API Protection

👉관련 포스트: AWS 보안을 위해 Cloudbric Managed Rules을 활용하는 방법

 

 

 

Cloudbric Managed Rules 자세히 보기  Cloudbric Managed Rules 문의하기

 

클라우드브릭 매니지드 룰 (Cloudbric Managed Rules)

AWS 보안을 위해 Cloudbric Managed Rules을 활용하는 방법

by Insight

2024년 4분기 기준, 시장조사업체 카날리스(Canalys)가 발표한 자료에 따르면 글로벌 클라우드 시장 점유율은 AWS(Amazon Web Services) 33%에 이어 Microsoft Azure 24%, 구글 클라우드 11% 순으로 집계됐습니다. 이는 전 세계 기업들이 클라우드 서비스를 선택할 때 AWS를 가장 신뢰할 수 있는 플랫폼으로 인식하고 있음을 보여줍니다. 이러한 AWS의 시장 지배력은 웹 애플리케이션 보안 영역에서도 자연스럽게 이어지고 있습니다. 기업들은 이미 구축된 AWS 환경과 완벽하게 통합되는 AWS WAF(Web Application Firewall, 웹 애플리케이션 방화벽)를 선호하는 추세입니다. 결과적으로 AWS의 압도적인 클라우드 시장 점유율과 함께, AWS WAF는 웹 애플리케이션 보안을 위한 가장 널리 채택되는 솔루션 중 하나로 자리잡고 있습니다.

 

AWS WAF는 IP 주소, HTTP 헤더, HTTP 본문, URI 문자열, SQL 인젝션, 사이트 간 스크립팅 등 사용자가 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(카운트)하는 규칙을 구성하여 웹 애플리케이션을 공격으로부터 보호하는 WAF입니다. 웹 사이트와 웹 애플리케이션의 보안을 구축하는 강력한 도구이지만, 사용자가 이 서비스를 최대한 활용하려면 일정 수준 이상의 보안 전문 지식이 필요합니다.

 

사용자가 처음 AWS WAF를 도입할 때, 사용자는 AWS WAF에 대한 보안 규칙(웹 애플리케이션으로 전송되는 HTTP/HTTPS 웹 트래픽 또는 요청을 검사하는 방법에 대한 조건을 정의하는 문구로, 요청이 조건과 일치하면 보안 규칙에 대해 구성된 허용, 차단, 카운트 등의 규칙 동작이 적용)을 구현해야 합니다. 사용자는 AWS WAF를 사용할 때 자체 규칙을 생성하거나 관리형 규칙 그룹(AWS와 독립 소프트웨어 공급업체(ISV)가 사용자를 위해 만든 보안 규칙의 사전 설정)을 적용할 수 있습니다. 만약 보안 규칙을 구성하지 않으면 AWS WAF가 제대로 작동하지 않습니다. 따라서 사용자는 보안 규칙의 작동 방식과 필요한 보안 규칙의 종류에 대해 어느 정도 이해해야 합니다.

 

 

AWS WAF를 똑똑하게 활용하기 위한 서비스, Cloudbric Managed Rules

사용자가 AWS WAF에 대해 구현할 수 있는 관리형 규칙 그룹 중 하나가 바로 클라우드브릭 매니지드 룰(Cloudbric Managed Rules)입니다.

 

Cloudbric Managed Rules은 2005년부터 다양한 기관과 기업의 웹 서비스를 보호해 온 펜타시큐리티의 WAF 제품인 와플(WAPPLES)의 보안 기술과 전문성을 바탕으로 만들어졌습니다. 펜타시큐리티의 자체 사이버 위협 인텔리전스(CTI)인 클라우드브릭 랩스(Cloudbric Labs)를 활용하여 AWS WAF 사용자에게 보다 안전한 온라인 환경을 제공합니다.

 

펜타시큐리티는 AWS WAF용 관리형 룰 그룹을 제공하는 전 세계 7개 ISV 중 하나입니다. 관리형 룰 그룹과 AWS WAF를 통합하여 웹 애플리케이션 및 API 보호(WAAP) 모델을 지원하는 유일한 ISV이기도 합니다. 현재 AWS 마켓플레이스에는 총 6개의 다양한 Cloudbric Managed Rules 그룹이 제공되며, 간단한 구독을 통해 AWS WAF를 손쉽게 운영할 수 있습니다.

 

 

AWS WAF용 Cloudbric Managed Rules 규칙 목록

OWASP Top 10 Rule Set

Gartner, Frost & Sullivan 등 세계적인 리서치 기관으로부터 인정받은 논리 기반 탐지 엔진을 활용하여 SQL 인젝션 (SQL Injection), XSS (Cross Site Scripting) 등 OWASP Top 10 웹 애플리케이션 보안 위협으로부터 보호를 제공합니다.

 Malicious IP Protection

펜타시큐리티의 자체 사이버 위협 인텔리전스 (CTI, Cyber Threat Intelligence)인 Cloudbric Labs가 전 세계 171개국 70만개 웹사이트로부터 수집 및 분석한 ThreatDB를 기반으로 생성된 악성 IP 평판 리스트를 통해 악성 IP 트래픽에 대한 보안을 제공합니다.
API Protection

알려진 API 공격에 대한 방어 체계를 구축하고 XML, JSON, YAML 데이터에 대한 검증 및 보호를 제공함으로써 OWASP API 보안 Top 10 위협에 대응하는 보안을 제공합니다.

 Bot Protection

웹사이트와 애플리케이션에 부정적인 영향을 미치고 손상을 초래하는 스크레이퍼, 스캐너, 크롤러 등 반복적인 행동을 하는 악성 봇에 대해, 펜타시큐리티가 수집 및 분석한 악성 봇 패턴을 기반으로 보안을 제공합니다.
Anonymous IP Protection

VPN, 데이터 센터, DNS 프록시, Tor 네트워크, 릴레이, P2P 네트워크 등 다양한 소스에서 유입되는 익명 IP에 대해 통합 보안을 제공하며, 이는 위치 정보 위조, DDoS, 라이센스 및 저작권 침해와 같은 위협에 효과적으로 대응합니다.

 Tor IP Protection

일반적인 IP 위험 지수로는 탐지가 어려운 Tor 네트워크에서 유입되는 익명 IP 트래픽에 대해, Cloudbric Labs에서 관리 및 업데이트하는 Tor IP 리스트를 활용하여 보안을 제공합니다.

 

Cloudbric Managed Rules은 최신 보안 위협에 대응하고 안정적인 보안 수준을 유지하기 위해 펜타시큐리티의 보안 전문가가 지속적으로 업데이트 및 관리하여 사용자의 AWS WAF 경험을 향상시킵니다. Cloudbric Managed Rules은 IT 기술 검증 기관 ‘톨리 그룹(Tolly Group)’이 경쟁 제품들을 비교한 리포트에서 타제품에 비해 최대 40%p 이상의 격차로 가장 높은 탐지율을 기록한 바 있습니다.

 

OWASP Top 10 Category Test

[Comparative Test Results for OWASP Top 10 Rule Set]

 

OWASP Top 10 API Security Risk Category Test

[Comparative Test Results for API Protection]

 

 

Cloudbric Managed Rules 사용자 환경에 맞게 최적화하기

AWS WAF용 관리형 규칙 그룹은 사용자에게 보안을 위한 기본 설정을 제공하고, 새로운 위협이 식별되면 사용자가 추가 규칙을 생성하여 IP, 특정 헤더 또는 지역과 같은 조건을 추가할 수 있도록 설계되었습니다. 이러한 블랙리스트 방식(특정 항목을 목록에 포함시켜 차단하거나 접근을 제한하는 방식)은 오탐을 줄일 수 있어 관리형 규칙 그룹에 널리 선호되지만, 궁극적으로 위협이나 공격이 발생한 후에야 사용자가 계속해서 더 많은 규칙을 추가해야 한다는 단점이 있습니다.

 

Cloudbric Managed Rules도 블랙리스트 방식을 활용하지만 사용자의 규칙 추가 부담을 최소화하기 위해 관리되는 규칙 그룹에 최대 보안 구성을 제공합니다. Cloudbric Managed Rules은 새로운 위협과 취약성에 대응하기 위해 최신 사이버 위협 인텔리전스로 지속적으로 업데이트됩니다. 이를 통해 Cloudbric Managed Rules은 AWS Marketplace에서 제공되는 관리형 규칙 그룹에 비해 더 많은 잠재적 위협과 공격을 탐지하고 차단할 수 있으며, 오탐이 발생하는 경우 사용자는 새로운 악성 요청에 대응하기 위해 새로운 규칙을 생성할 필요 없이 합법적인 요청에 대응했던 규칙을 재정의하기만 하면 됩니다. 버튼 몇 개만 클릭하면 간단하게 규칙을 재정의할 수 있으며, 이 방법을 통해 보다 안정적인 보안을 제공할 수 있습니다.

 

클라우드브릭 매니지드 룰 (Cloudbric Managed Rules) AWS 보안

 

요청을 재정의할지 아니면 차단된 상태로 유지할지 결정하려면 탐지 로그를 분석하는 것이 중요합니다. 관리되는 규칙 그룹 내의 각 규칙은 요청이 규칙의 조건과 일치할 때 요청에 응답하는 규칙 작업으로 정의됩니다. 이러한 규칙 작업에는 ‘허용(Allow)’, ‘차단(Block)’ 및 ‘카운트(Count)’가 포함됩니다. 또한 사용자는 규칙의 우선순위를 조정할 수 있으며, 요청은 우선순위가 가장 높은 규칙부터 가장 낮은 규칙 순으로 통과합니다.

 

규칙에 대해 정의된 규칙 동작이 허용(Allow)인 경우 요청이 규칙의 문장에 정의된 조건과 일치하더라도 요청은 규칙을 통과하며, 기록되지 않습니다. 규칙을 허용하면 모든 후속 규칙도 요청을 허용하게 되기 때문에 특정 규칙이 요청을 허용하도록 하려면 다른 규칙에 미치는 영향을 최소화하기 위해 우선순위가 가장 낮은 규칙을 구성하는 것이 좋습니다. 규칙에 대해 정의된 규칙 동작이 차단(Block)인 경우 요청이 규칙의 문장에 정의된 조건과 일치하면 요청이 규칙을 통과하지 못합니다. 그러면 요청이 차단된 것으로 기록됩니다. 규칙에 대해 정의된 규칙 동작이 카운트(Count)인 경우, 요청이 규칙 문에 정의된 조건과 일치하더라도 요청은 차단되지 않고 규칙을 통과합니다. 그러나 요청은 기록됩니다.

 

규칙에 대해 정의된 기본 규칙 동작을 변경하려는 경우 먼저 해당 규칙의 규칙 동작을 Count로 변경하여 영향을 평가하는 것이 좋습니다. 규칙을 재정의할지 여부를 결정하기 전에 규칙 동작을 Count로 유지하면서 탐지 로그를 주의 깊게 분석해야 합니다. 또한 자체 보안 규칙을 만들 때 규칙 동작을 Count로 설정한 상태에서 규칙을 실행하는 것이 좋습니다.

 

Cloudbric Managed Rules은 최신 버전으로 업데이트됩니다. 최신 버전으로 업데이트되면 AWS 마켓플레이스에서 알림을 받게 되며, 관리되는 규칙 그룹을 최신 버전으로 업데이트하거나 이전 버전을 사용할 수 있는 옵션이 제공됩니다. 새 버전이 업데이트되면 현재 구독 중인 제품에는 규칙 그룹의 업데이트가 자동으로 적용되지 않습니다. 최신 버전의 관리형 규칙 그룹으로 업데이트하면 규칙에 대한 구성이 기본 상태로 되돌아갈 수 있기 때문입니다. 최신 버전의 관리형 규칙 그룹을 사용하려면 AWS WAF 관리 콘솔에 액세스하여 관리형 규칙 그룹의 버전을 변경할 수 있습니다.

 

AWS WAF의 효과적인 운영은 단순히 보안 규칙을 설정하는 것을 넘어, 지속적인 모니터링과 최적화를 통해 진화하는 위협에 대응하는 것입니다. 복잡한 웹 애플리케이션 환경에서 보안과 성능의 균형을 맞추며, 실시간 위협 분석과 자동화된 대응 체계를 구축하는 것은 전문적인 노하우와 경험을 필요로 합니다. Cloudbric Managed Rules은 AWS WAF 운영의 모든 과정에서 최적의 보안 정책 수립부터 모니터링 그리고 성능 최적화까지 종합적으로 지원합니다. 검증된 보안 전문가와 함께 AWS WAF를 더욱 효과적으로 운영하세요.

 

 

Cloudbric Managed Rules 자세히 보기  Cloudbric Managed Rules 문의하기