2024년 4분기 기준, 시장조사업체 카날리스(Canalys)가 발표한 자료에 따르면 글로벌 클라우드 시장 점유율은 AWS(Amazon Web Services) 33%에 이어 Microsoft Azure 24%, 구글 클라우드 11% 순으로 집계됐습니다. 이는 전 세계 기업들이 클라우드 서비스를 선택할 때 AWS를 가장 신뢰할 수 있는 플랫폼으로 인식하고 있음을 보여줍니다. 이러한 AWS의 시장 지배력은 웹 애플리케이션 보안 영역에서도 자연스럽게 이어지고 있습니다. 기업들은 이미 구축된 AWS 환경과 완벽하게 통합되는 AWS WAF(Web Application Firewall, 웹 애플리케이션 방화벽)를 선호하는 추세입니다. 결과적으로 AWS의 압도적인 클라우드 시장 점유율과 함께, AWS WAF는 웹 애플리케이션 보안을 위한 가장 널리 채택되는 솔루션 중 하나로 자리잡고 있습니다.
AWS WAF는 IP 주소, HTTP 헤더, HTTP 본문, URI 문자열, SQL 인젝션, 사이트 간 스크립팅 등 사용자가 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(카운트)하는 규칙을 구성하여 웹 애플리케이션을 공격으로부터 보호하는 WAF입니다. 웹 사이트와 웹 애플리케이션의 보안을 구축하는 강력한 도구이지만, 사용자가 이 서비스를 최대한 활용하려면 일정 수준 이상의 보안 전문 지식이 필요합니다.
사용자가 처음 AWS WAF를 도입할 때, 사용자는 AWS WAF에 대한 보안 규칙(웹 애플리케이션으로 전송되는 HTTP/HTTPS 웹 트래픽 또는 요청을 검사하는 방법에 대한 조건을 정의하는 문구로, 요청이 조건과 일치하면 보안 규칙에 대해 구성된 허용, 차단, 카운트 등의 규칙 동작이 적용)을 구현해야 합니다. 사용자는 AWS WAF를 사용할 때 자체 규칙을 생성하거나 관리형 규칙 그룹(AWS와 독립 소프트웨어 공급업체(ISV)가 사용자를 위해 만든 보안 규칙의 사전 설정)을 적용할 수 있습니다. 만약 보안 규칙을 구성하지 않으면 AWS WAF가 제대로 작동하지 않습니다. 따라서 사용자는 보안 규칙의 작동 방식과 필요한 보안 규칙의 종류에 대해 어느 정도 이해해야 합니다.
AWS WAF를 똑똑하게 활용하기 위한 서비스, Cloudbric Managed Rules
사용자가 AWS WAF에 대해 구현할 수 있는 관리형 규칙 그룹 중 하나가 바로 클라우드브릭 매니지드 룰(Cloudbric Managed Rules)입니다.
Cloudbric Managed Rules은 2005년부터 다양한 기관과 기업의 웹 서비스를 보호해 온 펜타시큐리티의 WAF 제품인 와플(WAPPLES)의 보안 기술과 전문성을 바탕으로 만들어졌습니다. 펜타시큐리티의 자체 사이버 위협 인텔리전스(CTI)인 클라우드브릭 랩스(Cloudbric Labs)를 활용하여 AWS WAF 사용자에게 보다 안전한 온라인 환경을 제공합니다.
펜타시큐리티는 AWS WAF용 관리형 룰 그룹을 제공하는 전 세계 7개 ISV 중 하나입니다. 관리형 룰 그룹과 AWS WAF를 통합하여 웹 애플리케이션 및 API 보호(WAAP) 모델을 지원하는 유일한 ISV이기도 합니다. 현재 AWS 마켓플레이스에는 총 6개의 다양한 Cloudbric Managed Rules 그룹이 제공되며, 간단한 구독을 통해 AWS WAF를 손쉽게 운영할 수 있습니다.
AWS WAF용 Cloudbric Managed Rules 규칙 목록
| OWASP Top 10 Rule Set
Gartner, Frost & Sullivan 등 세계적인 리서치 기관으로부터 인정받은 논리 기반 탐지 엔진을 활용하여 SQL 인젝션 (SQL Injection), XSS (Cross Site Scripting) 등 OWASP Top 10 웹 애플리케이션 보안 위협으로부터 보호를 제공합니다. |
Malicious IP Protection
펜타시큐리티의 자체 사이버 위협 인텔리전스 (CTI, Cyber Threat Intelligence)인 Cloudbric Labs가 전 세계 171개국 70만개 웹사이트로부터 수집 및 분석한 ThreatDB를 기반으로 생성된 악성 IP 평판 리스트를 통해 악성 IP 트래픽에 대한 보안을 제공합니다. |
| API Protection
알려진 API 공격에 대한 방어 체계를 구축하고 XML, JSON, YAML 데이터에 대한 검증 및 보호를 제공함으로써 OWASP API 보안 Top 10 위협에 대응하는 보안을 제공합니다. |
Bot Protection
웹사이트와 애플리케이션에 부정적인 영향을 미치고 손상을 초래하는 스크레이퍼, 스캐너, 크롤러 등 반복적인 행동을 하는 악성 봇에 대해, 펜타시큐리티가 수집 및 분석한 악성 봇 패턴을 기반으로 보안을 제공합니다. |
| Anonymous IP Protection
VPN, 데이터 센터, DNS 프록시, Tor 네트워크, 릴레이, P2P 네트워크 등 다양한 소스에서 유입되는 익명 IP에 대해 통합 보안을 제공하며, 이는 위치 정보 위조, DDoS, 라이센스 및 저작권 침해와 같은 위협에 효과적으로 대응합니다. |
Tor IP Protection
일반적인 IP 위험 지수로는 탐지가 어려운 Tor 네트워크에서 유입되는 익명 IP 트래픽에 대해, Cloudbric Labs에서 관리 및 업데이트하는 Tor IP 리스트를 활용하여 보안을 제공합니다. |
Cloudbric Managed Rules은 최신 보안 위협에 대응하고 안정적인 보안 수준을 유지하기 위해 펜타시큐리티의 보안 전문가가 지속적으로 업데이트 및 관리하여 사용자의 AWS WAF 경험을 향상시킵니다. Cloudbric Managed Rules은 IT 기술 검증 기관 ‘톨리 그룹(Tolly Group)’이 경쟁 제품들을 비교한 리포트에서 타제품에 비해 최대 40%p 이상의 격차로 가장 높은 탐지율을 기록한 바 있습니다.
[Comparative Test Results for OWASP Top 10 Rule Set]
[Comparative Test Results for API Protection]
Cloudbric Managed Rules 사용자 환경에 맞게 최적화하기
AWS WAF용 관리형 규칙 그룹은 사용자에게 보안을 위한 기본 설정을 제공하고, 새로운 위협이 식별되면 사용자가 추가 규칙을 생성하여 IP, 특정 헤더 또는 지역과 같은 조건을 추가할 수 있도록 설계되었습니다. 이러한 블랙리스트 방식(특정 항목을 목록에 포함시켜 차단하거나 접근을 제한하는 방식)은 오탐을 줄일 수 있어 관리형 규칙 그룹에 널리 선호되지만, 궁극적으로 위협이나 공격이 발생한 후에야 사용자가 계속해서 더 많은 규칙을 추가해야 한다는 단점이 있습니다.
Cloudbric Managed Rules도 블랙리스트 방식을 활용하지만 사용자의 규칙 추가 부담을 최소화하기 위해 관리되는 규칙 그룹에 최대 보안 구성을 제공합니다. Cloudbric Managed Rules은 새로운 위협과 취약성에 대응하기 위해 최신 사이버 위협 인텔리전스로 지속적으로 업데이트됩니다. 이를 통해 Cloudbric Managed Rules은 AWS Marketplace에서 제공되는 관리형 규칙 그룹에 비해 더 많은 잠재적 위협과 공격을 탐지하고 차단할 수 있으며, 오탐이 발생하는 경우 사용자는 새로운 악성 요청에 대응하기 위해 새로운 규칙을 생성할 필요 없이 합법적인 요청에 대응했던 규칙을 재정의하기만 하면 됩니다. 버튼 몇 개만 클릭하면 간단하게 규칙을 재정의할 수 있으며, 이 방법을 통해 보다 안정적인 보안을 제공할 수 있습니다.
요청을 재정의할지 아니면 차단된 상태로 유지할지 결정하려면 탐지 로그를 분석하는 것이 중요합니다. 관리되는 규칙 그룹 내의 각 규칙은 요청이 규칙의 조건과 일치할 때 요청에 응답하는 규칙 작업으로 정의됩니다. 이러한 규칙 작업에는 ‘허용(Allow)’, ‘차단(Block)’ 및 ‘카운트(Count)’가 포함됩니다. 또한 사용자는 규칙의 우선순위를 조정할 수 있으며, 요청은 우선순위가 가장 높은 규칙부터 가장 낮은 규칙 순으로 통과합니다.
규칙에 대해 정의된 규칙 동작이 허용(Allow)인 경우 요청이 규칙의 문장에 정의된 조건과 일치하더라도 요청은 규칙을 통과하며, 기록되지 않습니다. 규칙을 허용하면 모든 후속 규칙도 요청을 허용하게 되기 때문에 특정 규칙이 요청을 허용하도록 하려면 다른 규칙에 미치는 영향을 최소화하기 위해 우선순위가 가장 낮은 규칙을 구성하는 것이 좋습니다. 규칙에 대해 정의된 규칙 동작이 차단(Block)인 경우 요청이 규칙의 문장에 정의된 조건과 일치하면 요청이 규칙을 통과하지 못합니다. 그러면 요청이 차단된 것으로 기록됩니다. 규칙에 대해 정의된 규칙 동작이 카운트(Count)인 경우, 요청이 규칙 문에 정의된 조건과 일치하더라도 요청은 차단되지 않고 규칙을 통과합니다. 그러나 요청은 기록됩니다.
규칙에 대해 정의된 기본 규칙 동작을 변경하려는 경우 먼저 해당 규칙의 규칙 동작을 Count로 변경하여 영향을 평가하는 것이 좋습니다. 규칙을 재정의할지 여부를 결정하기 전에 규칙 동작을 Count로 유지하면서 탐지 로그를 주의 깊게 분석해야 합니다. 또한 자체 보안 규칙을 만들 때 규칙 동작을 Count로 설정한 상태에서 규칙을 실행하는 것이 좋습니다.
Cloudbric Managed Rules은 최신 버전으로 업데이트됩니다. 최신 버전으로 업데이트되면 AWS 마켓플레이스에서 알림을 받게 되며, 관리되는 규칙 그룹을 최신 버전으로 업데이트하거나 이전 버전을 사용할 수 있는 옵션이 제공됩니다. 새 버전이 업데이트되면 현재 구독 중인 제품에는 규칙 그룹의 업데이트가 자동으로 적용되지 않습니다. 최신 버전의 관리형 규칙 그룹으로 업데이트하면 규칙에 대한 구성이 기본 상태로 되돌아갈 수 있기 때문입니다. 최신 버전의 관리형 규칙 그룹을 사용하려면 AWS WAF 관리 콘솔에 액세스하여 관리형 규칙 그룹의 버전을 변경할 수 있습니다.
AWS WAF의 효과적인 운영은 단순히 보안 규칙을 설정하는 것을 넘어, 지속적인 모니터링과 최적화를 통해 진화하는 위협에 대응하는 것입니다. 복잡한 웹 애플리케이션 환경에서 보안과 성능의 균형을 맞추며, 실시간 위협 분석과 자동화된 대응 체계를 구축하는 것은 전문적인 노하우와 경험을 필요로 합니다. Cloudbric Managed Rules은 AWS WAF 운영의 모든 과정에서 최적의 보안 정책 수립부터 모니터링 그리고 성능 최적화까지 종합적으로 지원합니다. 검증된 보안 전문가와 함께 AWS WAF를 더욱 효과적으로 운영하세요.
Cloudbric Managed Rules 자세히 보기 Cloudbric Managed Rules 문의하기