[컴퓨터월드] 사이버 공격의 최전선 중 하나인 웹(Web)을 노린 공격이 해가 갈수록 거세지면서 웹 애플리케이션 방화벽(Web Application Firewall, 이하 WAF)도 한 단계 진화하고 있다. 최근 클라우드 네이티브 환경에서 애플리케이션이 개발되면서 API(Application Programming Interface)의 사용이 폭발적으로 늘었고, 자연스럽게 API 보안의 중요성이 확대되면서 WAF가 WAAP(Web Application and API Protection)라는 이름으로 한 단계 진화하며 새롭게 거듭난 것이다. 웹 서비스를 보호하기 위한 WAF와 WAAP에 대해 알아본다.

웹 서비스를 보호하는 ‘WAF’

웹 애플리케이션 방화벽, 줄여서 WAF는 ‘웹 서비스’를 보호하는 보안 솔루션이다. 일반적인 네트워크 방화벽(Firewall)이 내부망에 대한 외부의 침입을 감지하고 차단하는 역할을 한다면, WAF는 웹 애플리케이션과 인터넷 사이에 위치해 웹 트래픽을 감시하면서 잠재적인 악성 트래픽을 탐지 및 차단하는 등의 조치를 수행한다.

WAF는 인터넷과 웹의 사용이 급증하던 시기에 등장했다. F5 코리아 이진원 이사는 “1990년대 말부터 2000년대 초반까지 인터넷 사용이 크게 늘면서 웹 트래픽 역시 함께 증가했고, 자연히 웹 트래픽에 대한 보안 조치가 중요해졌다. 하지만 기존 네트워크 기반 방화벽은 웹 트래픽에 포함된 잠재적인 악성 트래픽을 탐지할 수 있는 기능이 크게 부족했고, 이에 많은 기업들이 웹 트래픽의 취약성을 이해하고 탐지와 차단 기능을 제공하는 보안 솔루션을 필요로 했다. WAF는 이러한 시장에서의 요구로 등장했다”고 설명했다.

결론적으로 웹 애플리케이션의 보안 태세를 강화하고, 취약점과 공격을 방지하는 것이 WAF 도입의 주목적이다. 에지오(Edgio)의 앤드루 존슨(Andrew Johnson) 시니어 제품 마케팅 매니저는 “WAF는 다양한 온라인 위협과 공격으로부터 웹 애플리케이션을 보호하기 위한 기술로, 웹 애플리케이션과 인터넷 사이에서 장벽 역할을 하면서 애플리케이션에 들어오는 HTTP 및 HTTPS 요청을 필터링하고 모니터링한다”고 소개했다.

편의성과 탐지율 높이며 발전

WAF의 등장 이전에는 주로 방화벽, IDS(침입탐지시스템), IPS(침입방지시스템) 등 네트워크단에서 사이버 공격을 방어했다. 펜타시큐리티 정태준 상무는 “초기 WAF는 방화벽, IPS, IDS의 영향을 받아 웹 트래픽을 공격 구문과 비교해 검사하는 방식인 블랙리스트 기반 탐지 방식을 사용했다”면서 “이후 2세대 WAF는 1세대가 가진 운영상의 어려움을 극복하려는 노력에서 탄생했고, 3세대 WAF는 웹 공격 유형별 블랙리스트 탐지 및 화이트리스트 탐지, 웹 트래픽 콘텐츠 분석 등의 기법들을 논리적으로 결합해 공격을 탐지하는 방식을 사용하며 1, 2세대 대비 오탐을 대폭 줄일 수 있게 발전했다”고 WAF의 발전사를 소개했다.

파이오링크 김송현 과장도 WAF의 발전에 대해 “1세대 WAF는 관리자가 수동으로 예외 및 차단 리스트를 추가하며 정책을 적용했다. 그리고 2세대는 애플리케이션을 지속적으로 모니터링해 예외 및 차단 리스트를 자동으로 생성하도록 발전했다. 이제 3세대는 사용자 행위 기반의 탐지를 비롯해 인공지능(AI) 기반의 지능형 논리 분석을 통한 탐지가 이뤄지고 있다”고 설명했다.

업계 전문가들의 말을 종합하면 WAF는 구성에 따라 설치와 운영 위치가 달라지는데, 크게 구분하자면 △프록시(Proxy) 방식 △호스트(Host) 방식 △DNS 방식 등 3가지 유형이 있으며, 최근 클라우드 기반 WAF는 리버스 프록시(Reverse Proxy) 방식을 활용하는 것으로 파악된다.

5년 CAGR 17% 이상 고성장 전망

프로스트 앤드 설리번(Frost & Sullivan)의 ‘2022년 글로벌 웹 애플리케이션 방화벽 솔루션 성장 기회(Global Web Application Firewall Solutions Growth Opportunities, 2022)’ 보고서에 따르면, 전 세계 WAF 시장 규모는 2021년 20.7억 달러(한화 약 2조 7천억 원) 규모로 집계됐으며, 2021년부터 2026년까지 5년간 연평균성장률(CAGR)은 24.6%에 달할 것으로 예상됐다.

또한 AMR(Allied Market Research)이 발표한 ‘웹 애플리케이션 방화벽 시장 보고서(2020~2030)’에서는 2020년 전 세계 WAF 시장을 39억 달러(한화 약 5조 1천억 원) 규모로 평가하고, 2021년부터 2030년까지 연평균 20.88% 성장해 2030년에는 256억 달러(한화 약 33조 4,300억 원) 규모로 시장이 커질 것이라고 예상했다.

또 다른 글로벌 시장연구기관인 이머전 리서치(Emergen Research)는 전 세계 WAF 시장을 2021년 49억 5천만 달러(한화 약 6조 4,600억 원) 규모로 평가했으며, 2022년부터 2030년까지 연평균성장률(CAGR) 17.5%를 기록하며 213억 3천만 달러(한화 약 27조 8,500억 원) 시장으로 성장할 것이라는 예상을 내놨다.

이처럼 연구기관마다 파악한 WAF 시장 규모에는 다소 차이가 있지만, 공통적인 것은 연평균성장률 17% 이상을 기록하며 빠르게 시장 규모를 키워나갈 것으로 예상된다는 점이다. 글로벌 시장에서는 클라우드플레어(Cloudflare), 오라클(Oracle), 마이크로소프트(Microsoft), 아마존웹서비스(AWS), 포티넷(Fortinet), 임퍼바(Imperva), 아카마이(Akamai), 라드웨어(Radware) 등을 비롯해 국내 기업인 펜타시큐리티시스템(Penta Security Systems)이 주요 플레이어로 꼽히고 있다.

또한 국내 시장에서는 펜타시큐리티, 파이오링크, 모니터랩, 인성디지탈 등이 경쟁하고 있으며 특히 공공 시장에서는 맞춤형 서비스를 장점으로 국내 업체들이 견고하게 시장을 확보하고 있는 것으로 파악된다.

WAF의 차세대 진화, WAAP

기술 발전에 따른 사이버 공격 방법의 변화로 WAF 역시 또 다른 모습으로 진화하고 있다. 바로 ‘WAAP(Web Application and API Protection)’로 정의되는 차세대 웹 보안 솔루션이다.

WAAP는 클라우드가 보편화되고 애플리케이션 개발에서 컨테이너, 마이크로서비스 아키텍처(MSA)와 같은 기술들이 확산되면서 API 활용이 폭발적으로 늘어나 그에 대한 보안 대책이 필요해지면서 대두됐다. F5코리아 이진원 이사는 “현대적(modern) 애플리케이션 환경에서는 컨테이너화된 애플리케이션들이 별개로 동작하게 되는데, 이때 통신에 사용되는 것이 바로 API다. 즉 애플리케이션 환경의 변화로 인해 API 통신의 양이 기하급수적으로 증가했고, 동시에 API에 대한 보안 우려 또한 커졌다”면서 “많은 보안 전문가들이 기존의 웹 방화벽만으로는 API 보안을 해결하지 못한다는 사실을 지적했고, WAAP는 이러한 기업들의 요구에 맞춰 등장해 큰 폭의 성장세를 보이고 있다”고 설명했다.

펜타시큐리티 정태준 상무도 “클라우드로의 전환, 마이크로서비스화 등 웹 환경이 더욱 복잡해지고 웹 공격 역시 다양해지면서 웹 보안 솔루션에서 전통적인 웹 방화벽 기능 이외에 API 취약점을 이용한 공격, 악성 봇을 이용한 공격, 디도스 공격 등을 방어할 수 있는 다양한 기능에 대한 필요성이 증가하고 있다. 특히 API 사용이 빠르게 확대되고 있기 때문에 API 보안에 대한 필요성이 크게 증가하고 있다”고 했다.

즉 WAAP는 기존 WAF의 기능을 기본으로 여기에 API 보안, 봇(Bot) 공격 완화, 디도스(DDos) 방어 기능 등까지 포괄적으로 수행할 수 있는 고도화된 웹 보안 솔루션이라고 정의할 수 있다. WAAP는 2018년경 가트너(Gartner)가 처음 소개한 개념으로, 애플리케이션 환경이 변화함에 따라 차세대 WAAP 솔루션은 △WAF △API 보호 △디도스 방어 △봇 관리 등 4가지 기능을 반드시 포함해야 한다고 정의됐다. 여기에 최근 가트너는 클라우드 환경을 위한 솔루션으로 WAAP를 새롭게 정의하기 위해 어플라이언스가 아닌 SaaS 형태만을 보고서에서 다루고 있다. 이 같은 측면에서 기존에 어플라이언스 형태의 WAF를 보유하지 않은 에지오(Edgio), F5 등의 기업들이 새롭게 시장에서 기회를 찾고 있는 것으로 파악된다.

한편 가트너에 따르면 멀티 클라우드 환경에서 애플리케이션을 개발하는 조직의 70%가 어플라이언스나 IaaS(서비스형 인프라) 기반의 WAAP보다 클라우드 기반의 WAAP, 즉 SaaS 형태의 WAAP를 선호할 것으로 조사됐다. 또한 2026년까지 조직의 40%가 API 보호와 웹 애플리케이션 보안 기능에 초점을 맞추고 WAAP 공급사를 선택할 것으로 전망했다. 이 비율은 2022년에는 15% 미만으로 집계됐다. 이처럼 API 보안의 중요성은 앞으로 더욱 커질 것으로 예상되고 있다.

아카마이코리아 기술영업 총괄 한준형 상무는 “API는 지속적으로 증가할 것이며 위협과 공격 역시 더욱 늘어날 것”이라면서 “WAAP와 API 보안은 더 이상 선택이 아닌 필수다”라고 강조했다.

다양한 제품들 경쟁 중

프로스트 앤드 설리번과 이머전 리서치 등 글로벌 연구기관의 보고서에 이름을 올리고 있는 펜타시큐리티의 WAF 제품인 ‘와플(WAPPLES)’은 2022년 조달청 나라장터 판매 데이터 기준 53%의 점유율을 기록한 솔루션이다. 자체 개발한 지능형 탐지 엔진인 ‘COCEP 엔진 v3’를 통해 복잡한 공격 패턴을 논리적으로 분석하고 탐지함으로써 일정한 보안성을 유지하도록 해준다. 여기에 와플은 웹 공격 대응부터 정보 유출 방지, 부정 접근 방지, 위·변조 방지 기능 등 기본적인 웹 방화벽의 역할은 물론, 운영 중 발생 가능한 잠재적 문제들을 자동으로 인식하고 스스로 해결하는 자가점검 기능과 정기점검 툴 등을 통해 안정적인 웹 보안 운영이 가능하도록 한다.

특히 와플은 24/365 온라인 고객 소통 시스템인 IMS(Incident Management System; 고객 대응관리 시스템)와 IDS(Information Delivery System; 정보 전달 시스템)을 운영함으로써 고객과 제조사 간의 정확한 정보 전달과 완벽한 기술지원을 보장한다는 것을 강점으로 내세우고 있다. 또한 세계 70만 개 웹 사이트 기반의 빅데이터를 분석해 고객의 효과적인 보안 정책 수립을 지원하는 ICS(Intelligent Customer Support; 정보 수집 및 분석시스템)를 운영한다는 것도 특징이다.

뿐만 아니라 펜타시큐리티는 지난해 5월 와플이 기존 WAF 기능에 더해 API 보호, 봇 공격 방어, 디도스 방어 등의 기능을 추가 및 강화 탑재함으로써 지능형 WAAP 솔루션으로 진화했다고 발표했다. 와플은 특허 받은 지능형 탐지 엔진 ‘COCEP’을 바탕으로 웹 공격에 대응하며, API 형식 위·변조, 봇 부정행위, L7 기반 디도스 등을 방어하는 다기능 웹 보안 솔루션으로 거듭났다.

논리분석엔진 COCEP을 통해 4% 미만의 오탐률로 웹 공격을 탐지할 뿐만 아니라, OWASP 웹 시큐리티 톱10 취약점 유형에 대응한다. 신 유형 공격에 빠르게 대응하기 위한 사용자 정의 규칙(Custom Rule) 기능을 제공하며, TOR IP, GEO IP, 위협 보호 프로파일(Threat Protection Profile) 등에 대한 신규 취약점 보안 패치를 제공한다.

또한 JSON, XML, YAML 스키마 등에 대해 API 형식 검사를 수행한다. 특히 클라우드 API 통신에서 사용이 급증하고 있는 YAML 보호 룰의 경우, 와플만이 갖고 있는 경쟁우위 기능이라는 게 회사 측 설명이다. 또한 mTLS 모드를 제공, API 환경에서 클라이언트-서버 간 양방향 인증을 지원한다. 뿐만 아니라 악성 봇 트래픽을 검사하며, 캡차(CAPTCHA) 지원 등으로 봇으로부터의 공격을 차단한다. 또한 위협 IP(Malicious IP) 및 봇 자동 업데이트 기능을 제공하고 있다. 마지막으로 와플은 L7 애플리케이션 게층에서의 DoS(서비스거부공격)를 탐지하고 트래픽을 차단하며, HTTP DoS 공격인 슬로우로리스(Slowloris) 및 루디(RUDY) 등도 차단한다.

여기에 펜타시큐리티는 클라우드 환경으로 넘어오면서 SaaS(서비스형 소프트웨어) 기반의 보안 서비스를 받고자 하는 수요에 대응, 2014년 클라우드 SaaS 보안 플랫폼인 ‘클라우드브릭(Cloudbric)’을 론칭했다. 클라우드브릭 역시 WAF에 더해 디도스(DDoS), CDN 등의 서비스를 추가하면서 WAAP로 진화해 다양한 고객 니즈에 대응하고 있다.

파이오링크는 ‘웹프론트-K(WEBFRONT-K)’ 및 ‘웹프론트-KS’라는 이름으로 WAF 솔루션을 공급하고 있다. 웹프론트는 어플라이언스 하드웨어 장비부터 소프트웨어, 클라우드형까지 다양한 형태로 제공된다. 수동 또는 자동 예외·차단 리스트 등록을 비롯해 사용자 행위 기반 탐지 및 AI를 통한 지능형 논리분석 탐지 등 다양한 기법을 활용함으로써 오탐율을 줄이고 상황에 맞는 적절한 보안성을 제공할 수 있다. 또한 웹프론트-K/KS는 CC인증, GS인증, 녹색인증을 모두 받은 솔루션으로 민간은 물론 공공사업 어디에나 도입이 가능하다.

파이오링크도 지난해 하반기 ‘웹프론트’를 WAAP로 진화시켰다. 역시 기존 WAF에 API 보호, 봇 관리, 디도스 방어 등 가트너가 정의한 4가지 요소를 모두 갖췄다는 설명이다. OWASP API 시큐리티 톱10 대응 메뉴와 파이오링크에서 정의한 API 보안 핵심 기술 6가지를 통해 체계적인 API 보안 기능을 제공한다.

한편 파이오링크는 자사의 최대 경쟁력으로 자체 보안 관제 조직을 보유하고 있다는 것을 내세우고 있다. 단순히 WAF나 WAAP 솔루션을 도입해 취약점을 막는다고 해서 보안 위협이 완전히 사라지지는 않는다. 파이오링크 김송현 과장은 “보안 운영 관제는 솔루션 도입만큼이나 중요하다. 위협에 대한 신호(signal)가 지속적으로 확인돼도 적절한 조치를 취하지 못한다면 결국 사고는 발생한다”면서 “보안에서 가장 중요한 부분이 바로 운영·관제이며, 파이오링크는 자체적인 보안 조직을 보유하고 있다”고 강조했다.

인성디지탈은 웹 방화벽인 ‘딥파인더(DeepFinder)’를 보유하고 있다. 딥파인더는 호스트 방식의 소프트웨어 WAF로, 웹 서버에 모듈 형태의 에이전트(Agent)가 설치돼 웹 서버가 직접 필터링하는 방식으로 웹 보안을 수행하게 한다. 웹 서비스의 단절 없는 설치 및 정책 운영을 지원하며, SSL 인증서 관리가 필요 없어 운영 측면에서 이점이 있고, 웹 서비스의 속도 저하 부담이 없는 것이 특징이다. 2022년 12월 보안기능확인서를 획득했으며, 1개의 기술 특허를 보유하고 있다.

클라우드 보안 업체로 거듭난 아카마이는 ‘아카마이 AAP(Akamai App & API Protector)’라는 이름의 WAAP 솔루션을 제공하고 있다. 아카마이 AAP는 아카마이가 가진 대규모 클라우드 인프라를 이용해 △디도스 공격과 같이 웹 리소스 고갈을 목적으로 설계된 공격 △가용성에 영향을 미치는 취약점을 악용하는 공격 △애플리케이션 로직을 대상으로 하는 공격을 비롯해 △애플리케이션 레이어 공격 등을 신속하게 방어한다.

AAP는 또한 웹 트래픽 전체에서 알려진 API를 포함, 알려지지 않았거나 변화하는 모든 API까지 자동으로 검색한다. API를 상세히 파악하는 가시성을 통해 알려지지 않은 숨겨진 공격으로부터 조직을 보호하고, 오류를 찾으며, 예상치 못한 변경사항을 발견한다. 새로 검색된 API는 몇 번의 클릭만으로 쉽게 등록할 수 있다. 특히 등록 선택 여부와 관계없이 모든 API 요청에 대해 자동으로 악성코드 검사를 실시해 강력한 API 보안을 기본으로 제공한다는 점이 가장 큰 장점이라는 게 회사 측 설명이다.

특히 아카마이는 가트너 매직 쿼드런트 2022년 ‘클라우드 웹 애플리케이션 및 API 보안’ 부문 보고서에서 실행력과 비전완성도 두 항목 모두 최상단에 위치하며 6년 연속 해당 시장의 ‘리더’로 선정되는 등 기술력을 인정받고 있다.

ADC(Application Delivery Controller)로 잘 알려진 F5는 이제 애플리케이션의 원활한 배포 뿐만 아니라 애플리케이션 보안, API 관리, API 보안까지 영역을 넓히고 있다. “고객이 어떠한 환경을 사용하더라도 웹과 API에 대한 보호를 제공한다”는 기조 아래 F5는 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 데이터센터, 쿠버네티스 등 모든 환경에서 동작할 수 있는 애플리케이션 보안 솔루션을 제공하는 것을 목표로 하고 있다.

특히 F5는 최근 출시한 ‘F5 분산 클라우드(F5 Distributed Cloud)’를 통해 WAAP 솔루션을 제공한다. SaaS 기반의 ‘F5 분산 클라우드 WAAP’는 멀티 클라우드 및 분산 환경에 배포된 웹 애플리케이션과 API를 보호해 애플리케이션 보안을 단순화하는 동시에 전반적인 효율성을 높인다.

F5 분산 클라우드 역시 △WAF △API 보안 △봇 공격 방어 △디도스 완화 등의 기능을 제공한다. F5의 통합 WAAP 서비스는 API 자동 검색(auto-discovery), 정책 적용, 이상 탐지 기능 등을 제공하며 단일 콘솔을 통해 애플리케이션 및 API 보호에 필요한 운영과 정책 적용을 단순화할 수 있다.

또한 자동 API 식별, 위협 감지, 스키마 규정 준수 강제(schema enforcement) 등을 위해 최적화된 머신러닝(ML) 기술을 활용한다. F5의 고급 분석 엔진은 모든 엔드포인트에서 정상적인 동작 패턴을 관찰하며, 이로써 사용자가 이상 징후를 감지하고 API 스키마를 개선해 전반적인 보안 태세를 개선할 수 있도록 지원한다.

에지오는 지난 2년간 보안 엔지니어링 및 데이터 사이언스 팀을 3배 확충하는 등 WAAP 솔루션에 지속적으로 투자하고 있다. 또한 진화하는 최신 위협으로부터 보호하기 위해 WAAP 솔루션에 더 많은 ML 탐지 방법을 더하는 데도 투자했다.

특히 에지오의 듀얼 WAAP 기능은 운영 환경에서 정상 트래픽에 영향을 주지 않으면서 보안 규칙을 테스트할 수 있도록 한다. 듀얼 WAAP 모드로 규칙을 배포한 후 데브섹옵스(DevSecOps) 팀은 실제 트래픽에 영향을 미치지 않고 운영 트래픽에 미치는 영향을 분석할 수 있다. 규칙이 의도대로 작동하는 것을 확인하면 운영 환경으로 쉽게 승격시켜 취약점을 악용하려는 공격자를 차단할 수 있다. 특히 에지오의 WAAP 솔루션은 에지오의 글로벌 플랫폼을 기반으로 구축돼 있으므로 공격 발생 지점에서 가장 가까운 에지(edge)에서 위협을 차단함으로써 애플리케이션 성능 저하나 사용자 경험에 영향을 미치는 일을 방지할 수 있다. 추가적으로 에지오는 고객이 공격을 받을 때 더 많은 비용을 청구하지 않는다는 점에서 대부분의 다른 WAAP 업체들과는 다르다고 설명했다. 이는 고객이 보다 예측 가능한 가격결정과 예산 책정을 할 수 있도록 한다.

마지막으로 에지오는 보안이 데브섹옵스를 가로막도록 하지 않기 위해 API 우선적으로 보안 솔루션을 설계했다고 강조했다. 이로써 기존 CI/CD(지속적 통합/배포) 파이프라인에 즉시 연결할 수 있고 SIEM, SOAR 및 테라폼과도 쉽게 통합 가능하다는 설명이다.

포티넷은 ‘포티웹(FortiWeb)’이라는 이름으로 WAF 및 WAAP 기능을 제공하고 있다. 포티웹은 ML을 사용해 애플리케이션을 모델링, 알려진 취약점 및 제로데이 위협으로부터 방어한다. 특히 포티넷은 단일 운영체제(OS)인 ‘포티OS(FortiOS)’를 기반으로 통합 플랫폼인 ‘포티넷 보안 패브릭(Fortinet Security Fabric)’을 제공하고 있는데, 포티웹 역시 포티넷 보안 패브릭과 완벽하게 통합된다. 포티넷의 보안 패브릭은 보안 기술을 마치 섬유처럼 엮어 복합적으로 활용하는 플랫폼이라는 개념으로, 여러 포인트 솔루션을 연계해 각 솔루션의 기능을 영역별로 활용함으로써 각종 사이버 위협에 대응한다는 전략이다. 포티웹은 포티넷 보안 패브릭과의 통합을 통해 광범위한 취약점 보호를 위한 서드파티 서비스와의 통합은 물론, 애플리케이션 악성 요소에 대한 파일 스캐닝, 간편한 구축 및 위협 인텔리전스 공유 등을 활용한 ATP(Advanced Threat Protection, 지능형 위협 보호)를 제공한다.

또한 포티웹 역시 최근 API에 대한 위협을 해소하기 위한 도구를 제공하도록 업그레이드됐다. ‘포티웹 API 검색 및 보호’ 기능은 ML 알고리즘을 사용해 애플리케이션 트래픽을 지속적으로 평가하며 API를 자동으로 검색한다. 검색은 포지티브 보안 모델을 확립하기 위한 필수적 역할이며, 포티웹은 프로파일링된 API 인벤토리를 기반으로 중요한 API를 보호한다. 또한 포티웹은 API 익스플로잇으로부터 보호하기 위해 오픈API, XML 및 일반 JSON 등 스키마 사양을 기반으로 자동 생성된 포지티브 보안 모델 정책과 함께 즉시 사용 가능한 정책을 통합할 수 있다. 포티넷 스키마 검증을 CI/CD 파이프라인에 통합해 API가 업데이트되면 업데이트된 포지티브 보안 모델 정책을 자동으로 생성할 수 있다.