인터뷰를 통해서 전문가의 관점을 쉬우면서도 구체적으로 끌어내는 고우성의 잇(IT)터뷰입니다.
|
◼ 진행자 : 고우성 PD/토크아이티 (wsko@talkit.tv, https://talkit.tv/)
◼ 게스트 : 이진원 이사/F5 (c.ko@f5.com)
1. WAAP은 왜 필요한가?
● 이진원 : 기존 웹방화벽의 경우, 보통 취약성 기반이나 이런 것을 방어하기 위해서 Negative 시큐리티나 Positive 시큐리티 방식을 사용했습니다.
● 고우성 : 알려진 걸로요?
● 이진원 : 네, 알려진 걸로요. 그런데 이제는 이런 봇(Bot) 트래픽, 자동화된 트래픽, API의 경우는 취약성이 없습니다.
● 고우성 : 아, 잠시만요. 그렇네요. 진짜 취약성이 없네요. 하하.
● 이진원 : 네, 취약성이 없습니다. 악의적인 트래픽이라든지 아니면 이런 시도로부터 방어를 해야 되기 때문에 기존 웹방화벽은 한계가 있습니다. WAAP에서는 기존의 취약성 기반과 관련한 보안 기능 뿐만 아니라 이러한 취약성이 없는 자동화된 봇(Bot) 트래픽, API 트래픽 등을 방어할 수 있는 솔루션이 포함됐습니다.
요즘 부각되고 있는 API 공격은 세상이 디지털 경제로 전환되면서 급격히 증가하고 있습니다.여기서 기존 웹방화벽으로 막지 못하는 API 공격의 구체적인 사례는 ▶API 공격 사례◀를 클릭하면 자세히 볼 수 있습니다. |
2. 새로운 보안 공격타겟, API
● 이진원 : 통계에 따르면 2023년말까지 B2B 서비스의 약 한 50% 이상이 바로 이런 API 통신이 될 것이라고 얘기를 합니다. 즉, 이런 API 통신은 사람이 하는 통신이 아니고, 자동화된 트래픽이며 반드시 허용돼야 합니다. 그러므로 이제 API 통신을 통한 이러한 취약성이나 사이버 보안에 대해서도 대응을 해야 됩니다.
● 고우성 : API가 해커 입장에서 굉장히 좋은 타겟이 되는 거잖아요?
● 이진원 : 맞습니다. 일단 악의적인 공격자 입장에서는 단순히 대국민 서비스 앱뿐만 아니라 이러한 앱과 앱간, 구성 요소간 관련된 내부 통신들에 대한 부분이 바로 공격적인 타겟이 됩니다. 그렇기 때문에 공격에 대한 타겟 범위가 그만큼 폭발적으로 증가되었습니다.
기존 웹방화벽에서 막을 수 없는 취약성이 없는 봇(Bot)공격, API 공격을 탐지하려면, 기존 웹방화벽 대비 WAAP에 필수적으로 들어가야만 하는 기능은 무엇일까요? |
3. WAAP의 필수요소 : 텔레메트리와 AI
● 이진원 : WAAP의 핵심적인 기능은 취약성이 없는 트래픽이라 하더라도, 이게 악의적인지 여부를 구분할 수 있는 것입니다. 예를 들어 자동화된 봇(Bot)에 의한 트래픽을 방어하기 위해서는 원격 측정 기법(Telemetry)을 사용합니다. 즉, 사용자의 접속 트래픽을 정확하게 구분할 수 있는 기능이 필요합니다.
● 고우성 : 어떻게 보면, 행위 분석도 필요하지 않습니까?
● 이진원 : 네, 행위 분석도 필요하고요. 그 다음 그러한 정보를 받아서 이 정보 내에서 이러한 머신러닝기법을 이용해서 정확하게 사람과 자동화된 악의적인 트래픽을 분석할 수 있고 구분할 수 있는 역할이 필요합니다.
예를 들어 로그인 페이지면 우리가 로그인 페이지에 먼저 접속을 하고 거기에 패스워드와 아이디를 넣지 않습니까? 이 로그인 페이지가 바로 엔트리포인트 입니다.
그럼 이런 엔트리포인트에, F5가 갖고 있는 자바스크립트가 자동으로 내려가게 됩니다. 그 자바스크립트가 실행이 되면서 사용자가 아이디와 패스워드를 넣었을 때 이게 사람의 행동인지 아니면 봇(Bot)의 행동인지를 구분할 수 있습니다.
● 고우성 : 그게 기술인거죠?
● 이진원 : 네, 그게 핵심 기술입니다.
● 고우성 : 그 기술은 특허 아닙니까?
● 이진원 : 맞습니다. 최근 6여년 동안 저희 F5가 약 3조원을 들여 여러 회사를 인수했습니다. 그 중 가장 비싼 비용을 주고 인수한 솔루션이 바로 텔레매트리에 관련된 원격측정기법을 갖고 있는 그런 Shape 시큐리티라는 회사고요. 그 회사는 현재 글로벌하게 130여개의 봇(Bot)과 텔레매트리에 관련된 특허를 갖습니다.
● 고우성 : 네, 요즘 ChatGPT, 다들 해보고 있잖아요? 그 ChatGPT가 엄청나게 성능이 좋은 이유가 초거대 언어 모델이지 않습니까? 매개 변수가 뭐 몇천억 개 있다고 하니까요.
말씀대로라면 WAAP이라는 것도 API든, 봇(Bot)이든 방어하려면 사전에 엄청난 방대한 데이터를 학습해야겠네요?
● 이진원 : 네, 저희 F5는요. 글로벌하게 하루에 약 45억개 트랜잭션을 처리한다고 합니다.
● 고우성 : 45억개요?
● 이진원 : 네, 그만큼 F5는 여러 고객들의 중요한 서비스에 대하여 이미 역할을 하고 있고요.
그러한 저희의 역할을 기반으로 추출되는 데이터를 기반으로, SaaS 베이스의 WAAP을 통해 최적화된 서비스를 제공할 수 있다고 생각합니다.
● 고우성 : 알겠습니다.
봇(Bot) 공격이나 API 공격은 속성상 시간이 지날수록 다양한 유형의 변종 공격을 시도할 것이고 이에 대한 방어를 위해서 지속적인 자동 업데이트가 필수입니다. 이때 SaaS 기반의 WAAP은 큰 경쟁력을 가질 것입니다. |
4. SaaS기반 WAAP으로 업데이트 자동화
● 이진원 : 기술의 발전하듯이 이런 악의적인 트래픽도 진화되고 발전하고 있습니다. 이 말의 의미는 지금 당장 인프라와 보안 솔루션으로 방어하는 게 중요한 게 아니라 향후에 계속 진화되는 것들을
어떻게 대응할 것인지가 중요하다는 것입니다.
그러다 보니까 이런 SaaS 베이스 인프라기반 지속적인 서비스를 통한 방어와 봇(Bot) 트래픽만 24시간 보는 전문가, L7 디도스만 보는 전문가 그리고 웹방화벽의 취약성만 분석하는 전문가 등이 필요합니다. 이런 전문가들의 서비스를 통해서, 진화되는 사이버 보안 위협을 방어할 수 있다고 말씀을 드리겠습니다.
● 고우성 : 우리가 SaaS를 쓰는 가장 큰 이유 중의 하나가 자동으로 계속 업그레이드 되는 것 때문 아닙니까? 그런 것과 마찬가지네요.
● 이진원 : 맞습니다.
예전처럼 데이터센터 내 한 개의 서버만 지키려고 한다면 설치용 WAAP으로도 충분할 것 같습니다.하지만 온프레미스, 멀티 퍼블릭클라우드, 엣지 등 서로 다른 환경에서 WAAP을 애자일하게 적용하려면 SaaS 이외에는 딱히 답이 없어 보입니다. |
5. 하이브리드 멀티클라우드, SaaS WAAP
● 고우성 : SaaS 서비스라면 자동적으로 업그레이드되는 것도 좋지만 보안 기능을 고려해야 하는데요. 이게 우리 요즘 기업 입장에서는 관리할 대상이 데이터 센터만 있는 게 아니라 다양한 멀티 클라우드들이 있지 않습니까? 프라이빗 클라우드도 있고 그런 것들에 대해서 보안 설정을 계속해서 업그레이드 해야 할 것 아니에요?
그것을 그냥 솔루션으로 한다면 일일이 다 세팅해야 할 것 같습니다. 그렇게는 못하는 거죠. 하지만 이제 SaaS로 클릭 몇번 하면 다 끝나버리는 거네요?
● 이진원 : 맞습니다. 이런 온프레미스, 다양한 이런 퍼블릭 클라우드 환경들, 프라이빗 클라우드 환경 등 다양한 환경에서 앱들이 동작하고 있기 때문에 각각 마다 일일이 다 보안을 한다는 것은 운영자 입장에서는 엄청나게 많은 인력 비용이나 투자가 들어갈 것입니다. SaaS 서비스로 손쉬운 연결을 하여 보다 빠른 서비스 보안을 적용하고 보안 위협에 대응할 수가 있습니다.
그렇다면 기존의 방화벽을 사용하고 있는 기업이 WAAP을 도입하려고 할 때 어떤 포인트를 체크해야 할까요? |
6. WAAP 체크포인트
● 이진원 : 우선 기존의 웹방화벽은 아마 많은 고객분들이 시그니처 베이스 용도로 사용하고 계실 겁니다.
그런데 제가 말씀드린 것처럼 이제 취약성이 없는, 시그니처가 아닌 정상적인 봇(Bot) 트래픽이라든지 API 트래픽을 확인하는 것이 필요합니다. 이를 위해 우선 정확하게 봇(Bot) 트래픽을 구분할 수 있는 능력이 있는지를 체크해야 됩니다. 둘째, 주고받는 API 통신 중, 일일이 취약점을 확인하는 게 아니라 자동으로 API 취약적을 확인해 줄 수 있는 API 디스커버리 기능이 있는지가 중요합니다.
셋째, 어떤 트래픽이 들어왔을 때 이게 단순한 어떤 시그니처 매칭이나 아니면 과도한 트래픽이 들어와서 임계치가 넘어갈 것 같다고 판단하는 게 아니라, 전체적인 이러한 모든 부분을 AI와 머신러닝기법을 이용해서 악의적인 행위가 의심되어지는 사용자들을 구분할 수 있는 모니터링 기능이 있는지를 확인하셔야 됩니다.
● 고우성 : 통합적인 컨텍스트를 볼 줄 알아야 한다?
● 이진원 : 네, 맞습니다. 당연히 그것 외에도 이제 편하게 운영할 수 있는 모니터링 부분이 더 중요할 수도 있죠.
이후 내용은 아래▼ 영상을 통해 확인하실 수 있습니다.
◼ 콘텐츠 & 웨비나 문의 : marketing@talkit.tv, 02-565-0012
Copyright ⓒ 토크아이티 All rights reserved. 무단 전재 및 재배포 금지.