애플리케이션 보안의 현재 상태
세 가지 놀라운 웹 애플리케이션 및 API 위협 동향
웹 애플리케이션이 보안을 염두에 두고 구축되는 경우는 거의 없습니다. 그럼에도 불구하고 우리는 온갖 종류의 중요한 기능에 매일 웹 애플리케이션을 사용하므로 해커들의 표적이 되기 쉽습니다.
웹 애플리케이션 및 API에서 보유한 데이터의 중요한 특성을 고려할 때 악용되거나 보호되지 않는 애플리케이션은 비즈니스 중단, 재무적 손실, 중요한 인프라의 붕괴로 이어질 수 있습니다.
Cloudflare에서 최근에 발표한 애플리케이션 보안 현황 보고서에서의 인사이트에 따르면, 조직에서는 웹 애플리케이션 및 API에 대한 낡은 보안 접근법으로 인해 어려움을 겪고 있으며, 온라인을 이용하는 위협 행위자는 그 어느 때보다 더 효율적이고 빠르게 활동하고 있습니다. 이 연구는 매일 2,090억 건의 사이버 위협을 식별하고 차단하는 Cloudflare 전역 네트워크의 트래픽 패턴 집계(2023년 4월~2024년 3월)를 기반으로 이루어졌습니다.
이 글에서는 해당 보고서에 실린 CISO의 긴급한 관심과 조치가 필요한 세 가지 주요 동향을 알아봅니다.
동향 1: 조직에서는 오래된 API 보안을 압도적으로 사용합니다
소비자와 최종 사용자는 웹 및 모바일 경험이 역동적일 것을 기대하며, 이는 API를 통해 점점 더 향상되고 강화되고 있습니다. 기업의 경우, API는 경쟁 우위의 원동력입니다. 비즈니스 인텔리전스가 많아지고, 클라우드 배포가 더 빨라지며, 새로운 AI 기능을 통합할 수 있습니다.
하지만 많은 경우 API 보안은 API 배포의 빠른 속도에 비해 뒤처져 있습니다. Cloudflare에서는 머신 러닝 모델을 사용하여 분석되지 않았을 API 트래픽을 식별합니다. 이 보고서에 따르면 조직에는 공개된 API 엔드포인트가 알고 있는 엔드포인트보다 33% 더 많았습니다. (이 수치는 머신 러닝 기반 검색을 통해 감지된 API 엔드포인트의 수와 고객이 제공한 세션 식별자를 비교하여 계산한 것입니다.)
API는 웹 애플리케이션과 다른 보안 문제를 안고 있음에도 불구하고, 어떤 형태의 계층 7 보안으로 방어되는 API 트래픽의 66.6%가 포지티브 보안 모델을 사용하는 특수 API 규칙이 아니라 기존의 네거티브 보안 WAF 규칙으로 주로 보호되는 것으로 나타났습니다. 네거티브 보안 모델에서는 악의적 트래픽이 차단되고 다른 모든 트래픽이 허용되는 방식으로 작동되는 반면, 포지티브 보안 모델에서는 명시적으로 허용되는 트래픽이 지정되고 다른 트래픽은 거부됩니다.
권장 사항
기업에서 API를 통해 더 많은 서비스를 노출함에 따라, 비지도 머신 러닝으로 강화된 특수 목적의 API 보안 및 관리 기능을 갖춘 웹 앱 보안 도구(예: WAF 및 DDoS)를 강화해야 합니다.
업계의 모범 사례에서는 네거티브 보안 모델 규칙에 의존하여 API를 보호하는 것보다 포지티브 보안 모델로 API를 보호하는 것을 권장합니다. API 보안을 위한 포지티브 보안 모델을 사용하면 조직에서는 OpenAPI 스키마 설정을 확인하는 트래픽만 수락하여 API를 보호할 수 있고 공격이 포함될 수 있는 잘못된 형식의 요청 및 HTTP 이상은 차단하여 API를 보호할 수 있습니다.
섀도우 API를 찾아내어 API 보안을 지속해서 강화합니다. 강력한 API 보안 도구는 관리되지 않거나 보호되지 않는 API까지 포함하여 환경에 있는 모든 공개 API를 지속해서 스캔해야 합니다.
동향 2: 공��급망 위험을 증가시킨 타사 코드
대부분 조직의 웹 애플리케이션은 타사 공급업체의 별도 코드(JavaScript인 경우가 많음)에 의존합니다. 타사 스크립트를 사용하면 최신 웹 애플리케이션 개발이 가속화되고 조직에서는 사내에 새로운 애플리케이션 기능을 모두 구축하지 않고도 시장에 기능을 더 빠르게 제공할 수 있습니다.
최신 연구에 따르면 Cloudflare 고객 웹 사이트에는 평균 47개의 타사 스크립트, 50개의 JavaScript 함수 연결 및 해당 목적지, 12개의 쿠키가 포함됩니다.
쿠키뿐만 아니라 타사 코드도 사용자의 브라우저에 로드되는 경우가 많고, 예를 들어 쿠키가 조작되어 세션이나 계정이 탈취될 수 있으므로 웹 방문자에게 보안 위험이 초래됩니다. 공격자는 도난당한 계정 자격 증명을 사용하거나 zero-day 또는 패치되지 않은 취약점을 악용하는 등 다양한 방법으로 웹 사이트에서 사용되는 JavaScript 구성 요소의 코드를 수정할 액세스 권한을 얻을 수 있습니다. 그런 다음 이 권한 있는 액세스로 해당 JavaScript 코드를 사용하는 모든 웹 사이트에서 다운스트림 공격을 시작합니다.
권장 사항
타사 스크립트 위험을 자동으로 식별하고 웹 사이트에서 사용되는 모든 자사 쿠키에 대한 전체 단일 대시보드 보기를 제공하는 보안 벤더를 찾아야 합니다.
동향 3: 전체 인터넷 트래픽의 3분의 1이 봇에서 발생하지만, 일부 산업에서는 다른 산업에 비해 더 큰 영향을 받고 있습니다
평균적으로 봇은 Cloudflare에서 처리하는 전체 애플리케이션 트래픽의 1/3(31.2%)을 차지합니다. 이 비율은 지난 3년 동안 비교적 일관되게 유지되었습니다(약 30% 전후로 유지됨).
봇 트래픽이라는 용어는 부정적인 의미를 내포할 수도 있지만, 실제로 봇 트래픽이 반드시 좋거나 나쁜 것은 아닙니다. 모든 것은 봇의 목적에 따라 다릅니다. 고객 서비스 챗봇 및 공인 검색 엔진 크롤러와 같은 일부 봇은 '좋은' 봇이며 필요한 서비스를 수행합니다. 그러나 일부 봇은 온라인 제품이나 서비스를 오용하여 수익에 지장을 초래할 가능성이 있으므로 차단해야 합니다. 실제로 미국과 영국의 일반적인 기업은 매년 악의적 봇 공격으로 인해 온라인 수익의 4% 이상을 잃습니다.
일일 봇 트래픽 비율(중앙값)이 가장 높은 산업은 다음과 같습니다.
이미지 출처: 애플리케이션 보안 현황, 2024년
권장 사항
귀하의 업계에서 봇 트래픽이 더 많이 발생하는 경향이 있다면, 봇 관리에 대한 투자를 늘려 나쁜 봇의 위협을 선제적으로 방지하는 것을 고려하세요.
다음과 같은 봇 관리 서비스를 찾아보세요.
방대한 양의 데이터에 행동 분석, 머신 러닝, 지문 인식을 적용하여 봇을 대규모로 정확하게 식별
다른 웹 애플리케이션 보안 및 성능 서비스(예: WAF, CDN, DDoS)와 쉽게 통합
악의적 트래픽을 방지하면서 귀사 사이트에 계속 접속을 시도하는 검색 엔진에 포함된 선의의 봇을 허용
새롭게 부상하는 위험에 한발 앞서 대응하기
많은 조직에서 레거시 보안 하드웨어, 클라우드 네이티브 보안, 자체 개발 보안을 결합하여 애플리케이션 보안 문제를 모두 해결하고 있습니다. 하지만 이렇게 단편화된 접근 방식으로 인해 SaaS 애플리케이션, 웹 애플리케이션, 기타 IT 인프라를 연결하고 보호하는 것이 더 어려워집니다. IT가 무분별하게 확장되면 공격자가 취약점을 더 쉽게 찾아내어 악용할 수 있습니다. 통합 플랫폼 접근 방식을 통해 더 나은 보안과 대기 시간 없는 연결을 보장하고 조직에서 새로운 시장으로 진출할 때 현지 규제를 준수하여 비즈니스 성장을 촉진하고 고객 신뢰를 강화할 수 있습니다.
Cloudflare의 애플리케이션 보안은 애플리케이션 및 API 를 남용으로부터 보호하고, 나쁜 봇을 차단하며, DDoS 공격을 저지하고, 의심스러운 페이로드와 브라우저 공급망 공격을 모니터링합니다. 당사의 애플리케이션 보안 제품은 성능 제품군과 긴밀히 연동되며, 모두 Cloudflare의 연결 클라우드를 통해 제공됩니다. 이는 퍼블릭 클라우드의 차세대 진화로, 프로그래밍 가능하고 구성 가능한 서비스의 통합된 지능형 플랫폼을 하나의 프로그래밍 가능한 글로벌 클라우드 네트워크에서 제공합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
현대 비즈�니스와 커뮤니케이션에서 애플리케이션과 API의 역할
CISO의 긴급한 주의가 필요한 떠오르는 3가지 웹 애플리케이션 및 API 동향
조직에서 위협에 앞서는 데 도움이 되는 실용적인 권장 사항
관련 자료
이 주제에 관해 자세히 알아보세요.
2024년 애플리케이션 보안 현황 보고서에서 애플리케이션 보안 스택을 최신화하고 웹과 데이터를 보호하는 방법을 자세히 알아보세요.