제품화 환경에서 중요한 버그를 발견할 때 개발자가 애플리케이션을 방어 할 수 있는 옵션은 거의 없습니다. DevOps가 루스트를 지배하고 있고, 항상 공개적으로 애플리케이션을 접근할 수 있는 여러 인터페이스가 있다는 사실로 인해 상황은 더욱 악화됩니다. WAF(Web Application Firewall, 웹 애플리케이션 방화벽)와 같은 기존의 경계 솔루션에만 의존하기 보다는 고객 신뢰에 대한 손실을 방지하고 데이터가 그대로 유지되도록 포괄적이고 신속한 조치를 취해야 합니다.
WAF의 당면과제와 그 한계
기업이 WAF 배포로 초기 보안 전략을 시작하는 것은 좋지만, 엔드 투 엔드 보안 아키텍처를 제공하는 것만으로는 충분하지 않습니다. WAF는 다수의 앱보안 위험으로부터 애플리케이션을 보호하는데 매우 부족합니다. WAF를 구현할 때 일반적으로 직면하는 몇 가지 과제는 다음과 같습니다.
- WAF를 통해 발생하는 경고 메시지가 사전에 충분히 준비되지 않거나, 데이타가 누락되는 경우가 자주 일어나므로, 개발팀이 해당 위협 요인의 출처를 파악하는데 오랜 시간이 소요됩니다. 이것에 기인하여 필요한 패치와 최종 배포는 결과적으로 지연됩니다. WAF는 알려진 취약점으로부터 보호할 수 있지만, 해커가 공격하는 위협에 대해서 동적으로 보호를 수행할 수는 없습니다.
- WAF의 가장 큰 단점은 애플리케이션의 허점 및 보안 취약점에 대한 의존성이 없다는 것입니다. 이로 인해 WAF 경고를 믿는 것은 아무런 이익이 없으며, 그중 많은 사람들은 거짓 긍정 또는 거짓 부정에 빠질 수 있습니다. 따라서 특히 비즈니스 민감한 앱보안 요구 사항에 대한 신뢰성을 떨어뜨리는 심각한 문제를 야기합니다.
- 앞서 언급했듯이 애자일 개발팀은 기존 SDLC 모델을 잘 사용하지 않습니다. 정기적인 코드 배포 절차는 WAF의 본질적인 특성과 대조적이기 때문에, 매우 제한적일 수 밖에 없습니다. 주요 보안 침해는 수익 모델을 위험에 빠뜨릴 수 있어 회사의 생존 능력에 치명적인 손상을 줄 수 있습니다.
- WAF는 불법 스누퍼에 대한 중요한 방어선 역할을 해왔지만, 대규모의 복잡한 위협 요인에 대해서 효과적으로 대응하지 못했습니다. WAF는 본질적으로 예측성이 뛰어나 미리 정의된 규칙을 사용하여 강화된 패턴 인식을 수행합니다. 이를 통해서 잘 알려진 위협에 대해 네트워크상의 모든 개별 패킷을 검색 합니다. 애플리케이션의 보안 요구 사항에 맞게 구성 할 수 있지만, 이러한 제한적인 유연성은 증가하는 보안 공격 경로를 모두 처리해야 하는 개발자에게 필요한 보안 편의를 제공하는데 방해가 됩니다.
- WAF는 종종 유지 관리 및 정기적인 업데이트가 필요하므로 한번 구축한 후 신경을 쓰지 않아도 되는 장비가 아닙니다. 많은 WAF에는 결함이 인식 되자마자 애플리케이션을 수정하기 위한 가상 패치가 제공되지만, 여전히 완벽하지는 않으며 많은 거짓 긍정이나 거짓 부정을 유발하여 불필요한 번거로움을 증가시킬 수 있으며, 심각한 버그는 감지하지 못합니다.
- WAF는 트래픽이 너무 많을 때, 열기 실패 또는 닫힘 실패로 인한 사례에서 알 수 있듯이 여러 경우에 예기치 않게 동작합니다. 전자의 경우 WAF는 필터링을 적용하지 않고 모든 트래픽을 통과하지만 닫힘 실패 상태에서는 WAF가 애플리케이션의 모든 웹 트래픽을 맹목적으로 차단합니다. 이러한 메커니즘은 지능형 DDoS 공격을 이용하여 정해진 룰을 무시하고, 요청이 발생한 실제 소스를 가짜로 만들 수 있습니다.
- 개발팀과 까다로운 고객이 최신 기술 동향을 채택한다는 것은, 매일 출시되는 애플리케이션을 얻게 된다는 의미와 일맥상통합니다. WAF가 이러한 역동적인 도전에 맞서기를 기대하는 것은 욕심이라고 예상됩니다. 사전에 서로 얽힌 보안 전략은 시간이 필요합니다. 물리적인 자체 서버보다는 클라우드에서 애플리케이션을 배포하는 경향이 늘어나고 있습니다. WAF는 애플리케이션을 적절히 업/다운 스케일링하지 않습니다. 대기 시간이 많고 병렬 처리에 많은 영향을 미치는 성능 문제가 있습니다.
잘못된 역할이해
포괄적인 앱보안 솔루션은 데이터 보안을 이상적으로 보호하고 맬웨어 감염을 방지하며 의도하지 않은 침입을 확인하고 서비스 중단을 효과적으로 처리해야 합니다. WAF는 애플리케이션 주변을 모니터링하고 애플리케이션 스스로를 보호하도록 개발된 것은 아닙니다. WAF의 사용 조건이 명확하지 않은 경우 종종 WAF가 제공 할 수 없는 서비스에 대해서 WAF에 대한 지나친 의존성을 나타내곤 합니다. WAF 적용은 애플리케이션이 클라우드에서 호스팅되면서 막다른 골목에 도달했습니다. 앱보안 활동과 그 주변 솔루션 모두에 중요한 중요성을 부여하고 각자의 역할과 기여를 바란다면, 이 모든 것은 지능적으로 접근하여 사용해야 합니다.
앱실링의 RASP 활용
앱실링은 모든 앱보안 걱정에 대한 포괄적이고 종합적인 솔루션을 제공합니다. 코드 베이스에 영향을 주지 않고 수분 안에 애플리케이션을 보호하십시오. RASP (Runtime Application Self-Protection) 기능은 WAF가 수행 할 수 없는 실행시 위협과 디버깅 및 디컴파일로부터 앱의 무결성을 보호합니다. 오늘날의 위협을 막아 애플리케이션을 보호하고 미래에도 대비하십시오!