Akamai Diversity

Akamai 블로그

WAP로 API 보호 자동화

Akamai의 Web Application Protector를 사용하는 고객들은 API에 대한 보안 레이어를 한층 강화했습니다.

WAF가 얼마나 간편하게 작동하는지 설명드리겠습니다.

웹 애플리케이션을 안전하게 보호하고 있다면 정말 다행이지만 동시에 API 보안에 대해서도 고민해야 합니다. API를 얼마나 많이 보유하고 있는지, 누가 접속하는지, 어떤 정보가 노출되는지 알고 계신가요?

API(Application Programming Interface)는 개발자가 새로운 애플리케이션을 더 빠르게 구축하도록 지원하는 유용한 툴입니다. 새로운 비즈니스 모델을 신속히 구현할 수 있기 때문에 비즈니스 혁신 측면에서 중요한 역할을 담당합니다. 서로 통신할 수 있는 소프트웨어 프로그램의 수에 제한이 없고 놀라운 속도와 규모로 데이터를 교환합니다. 기하급수적으로 증가하고 있는 모바일 애플리케이션이 사용자들에게 정보를 전달할 때도 유용하게 사용됩니다.

하지만 다른 측면도 있습니다. API는 기업의 핵심 자산에 접근할 수 있는 통로인데 그 중요성이 간과되고 있어 해커들의 주요 표적이 되고 있습니다. API는 비즈니스 인프라에 직접 접속할 수 있기 때문에 제대로된 보안 조치가 마련되지 않으면 심각한 보안 리스크에 직면할 수 있습니다. 또한 범죄자들은 M2M(machine-to-machine) 통신을 이용해 공격 속도를 높이고 규모를 확장시킵니다.

권한이 있는 앱, 파트너, 개발자만 API를 사용할 것이라는 생각은 잘못된 통념입니다. API를 통해 백엔드 인프라의 취약점을 찾아내고 이를 악용하는 공격이 점차 증가하고 있습니다. 인프라에 들어갈 수 있는 문이 2개 있다고 가정해 보겠습니다. 공격자들이 웹사이트 공격에서 서버 및 데이터베이스를 표적으로 삼아 첫 번째 문을 열었습니다. 이제 동일한 공격을 더 빠르고 큰 규모로 발생시키기 위해 두 번째 문, 즉 API로 이동합니다.

Akamai Intelligent Edge Platform의 트래픽 데이터를 분석한 결과 API 트래픽이 크게 증가하고 있었습니다. 작년에는 트래픽의 80% 이상이 XML 및 JSON API 트래픽이었습니다. 데이터에 대한 세부적인 내용은 Akamai의 최신 SOTI 보고서에서 확인하시기 바랍니다.

automated api.png

Akamai WAF는 고객사가 API를 구축하는 방법과 트래픽 종류에 대한 방대한 양의 데이터를 Akamai 연구팀에 제공합니다. Akamai의 엔지니어들은 이 광범위한 지식을 활용하여 정확도가 높은 보안 기능을 즉각적으로 설계할 수 있습니다. 저희 고객사는 당사의 대표적인 솔루션인 WAF와 Kona Site Defender를 통해 API를 성공적으로 보호하고 있습니다. Kona Site Defender는 포지티브 보안 모델을 통해 맞춤형 API 보안 기능을 제공할 뿐만 아니라 자동화된 보안을 기반으로 많은 웹 자산에 걸쳐 빠르게 확장할 수 있습니다. 매일 WAF를 관리하고 세부적으로 튜닝할 수 있는 시간이나 전문 지식이 부족한 고객사는 이런 자동화 기능을 통해 운영의 복잡성을 제거할 수 있습니다.

현재 Akamai는 API 자동 보안 기능을 WAP(Web Application Protector)에도 도입하고 있습니다.

WAP는 산업 분야를 막론하고 웹 애플리케이션의 자동 보안 분야에서 가장 잘 알려진 솔루션입니다. 지금까지 API 보안 기능은 주로 전송률 제어, 지역별 차단, IP 블랙리스트에 기반을 두었습니다.
이제 Akamai의 룰과 자동화된 공격 그룹(AAG)에 인텔리전스를 추가함으로써 자동 보안 기능을 크게 강화하고 JSON·XML 형식의 API 요청 본문을 자동으로 탐지하고 검사할 수 있습니다. 이 기능은 디폴트로 작동하고 즉각적으로 추가 보안 기능이 추가되기 때문에 고객사 측에서 해야 할 하는 작업은 전혀 없습니다.


현재 WAP에서 제공하는 API 보안 레이어는 다음과 같습니다.

·      지역별 차단과 IP 블랙리스트를 통한 네트워크 레이어 보호

·      전송률 제어와 자동화된 공격 그룹을 통한 DDoS 방어

·      정확도 높은 최신 WAF 룰 검사를 통한 JSON 및 XML 악용 차단

이 룰은 자동으로 업데이트됩니다(Kona Site Defender와 동일). Akamai에서 모든 작업을 처리하기 때문에 고객사가 추가적으로 진행해야 하는 작업은 없습니다.


직접 체험하고 싶으신가요? 여기에서 무료 체험을 신청하실 수 있습니다. 


추가적인 보안 레이어를 모색하고 있는 경우 다음과 같은 솔루션을 확인하시기 바랍니다.

  • API Gateway - 비즈니스 관리와 API 트래픽 거버넌스를 지원합니다.
  • Kona Site Defender - 동일한 수준의 자동화된 룰 세트와 포지티브 보안 모델을 제공합니다.
  • 의심스러운 IP 클라이언트 행동에 대한 평판 점수를 제공하는 Client Reputation을 Kona Site Defender와 결합하면 기능을 강화할 수 있습니다.
  • Bot Manager Premier - 급증하는 정상·악성 봇 트래픽을 효과적으로 관리하도록 지원합니다.

  • 자세한 내용은 Akamai 백서 "최고의 API 보안 전략"에서 확인할 수 있습니다.

    Akamai 엣지 보안을 도입하면 보안 체제를 완벽하게 관리할 수 있습니다. 룰이 자동으로 업데이트되기 때문에 업무 부담도 크게 줄어듭니다. 장시간 동안 작업할 필요도 없습니다.

    보안을 유지하면서 시간적 여유도 함께 얻을 수 있습니다.

Leave a comment (코멘트 남기기)