블로그

F5 분산 클라우드 웹 앱 스캐닝: AI 기반 웹 애플리케이션 보호

이안 디노 썸네일
이안 디노
2025년 4월 18일 게시

인공 지능(AI)이 기업 운영 방식에 지속적으로 혁신을 일으키면서, AI 기반 서비스를 구동하는 대규모 언어 모델(LLM)을 통해 AI를 웹 애플리케이션에 통합하는 일이 점점 더 일반화되었습니다. 이러한 혁신과 함께 새로운 AI 기반 서비스와 취약성이라는 형태의 위험이 증가하여 새로운 중요 서비스, 더욱 민감한 데이터, 전반적인 앱과 비즈니스 안정성, 궁극적으로 사용자 신뢰가 위험에 처하게 됩니다.

확장된 보안 조치는 매우 중요하며, F5 분산 클라우드 웹 앱 스캐닝은 이러한 요구 사항을 충족합니다. 지능형 웹 애플리케이션 보안 솔루션인 Distributed Cloud Web App Scanning은 조직이 최신 AI 기반 웹 애플리케이션을 보호하는 데 따르는 끊임없이 변화하는 과제를 해결하는 데 도움이 되도록 설계되었습니다. 조직의 도메인에 대한 외부 공격 표면 매핑, 동적 애플리케이션 보안 테스트(DAST) 기능, 대규모 언어 모델(LLM) 위험에 대한 OWASP Top 10에 따른 AI 구성 요소를 테스트하기 위한 포괄적인 제품군 등 최첨단 기능을 갖춘 이 서비스는 최신 웹 앱 취약성에 대한 강력하고 지속적인 탐지 기능을 제공합니다.

이 블로그에서는 조직이 AI와 LLM을 웹 애플리케이션에 통합할 때 이 서비스를 도입하는 것이 꼭 필요한 이유, 분산 클라우드 웹 앱 스캐닝이 식별하는 취약점, 그리고 서비스의 작동 방식을 살펴봅니다.

차세대 애플리케이션을 위한 보안

조직에서 기능성을 강화하고 보다 풍부한 사용자 경험을 제공하기 위해 AI를 도입하는 경우가 늘어나면서 이러한 시스템의 보안, 안정성, 규정 준수를 보장하는 것은 협상의 여지가 없게 되었습니다. AI 위협의 역동적인 특성과 실제 운영 환경에서 드러나는 취약성의 가능성이 결합되면서 지속적이고 강력한 테스트의 필요성이 더욱 강조됩니다.

AI를 도입하는 조직에 분산 클라우드 웹 앱 스캐닝이 필수적인 이유는 다음과 같습니다.

  • 광범위한 적용 범위를 통한 지속적인 테스트: AI 시스템은 기존 소프트웨어와 달리 역동적입니다. 즉, 학습하고, 적응하고, 진화합니다. 지속적인 테스트를 통해 조직은 실제 LLM 사용에서 발생하는 위협을 포함하여 OWASP LLM 상위 10개 위협 범주의 광범위한 취약점을 식별하고 완화할 수 있습니다.
  • AI 기반 서비스에 대한 사용자 신뢰 보호: 즉각적인 주입이나 모델 환각과 같은 문제는 사용자의 신뢰를 떨어뜨릴 수 있으며, 특히 AI 기반 챗봇이나 도우미, 번역 서비스, 콘텐츠 생성, 검색 등과 같은 고객 대면 애플리케이션에서 더욱 그렇습니다. 사전 예방적 테스트는 취약점이 악용되어 새로운 AI 경험에 영향을 미치기 전에 취약점을 식별하고 해결하여 신뢰를 보호하는 데 도움이 됩니다.
  • 규제 및 윤리 기준 충족: AI 시스템에 대한 감시가 강화됨에 따라, 최신 AI 기반 디지털 경험을 구현하는 조직은 관련 규제 프레임워크를 준수한다는 것을 입증할 방법이 필요합니다. 분산 클라우드 웹 앱 스캐닝은 조직이 통합 LLM 기반 서비스에 영향을 미치는 웹 앱 취약점을 포함하여 웹 앱 취약점을 식별하고 추적하는 데 도움을 주어 규정 준수 프로세스 내에서 보고를 위한 중요한 감사 추적을 제공합니다.

 

취약점 이해

AI 시스템, 특히 LLM은 강력하지만 본질적으로 복잡하며, 이를 웹 애플리케이션에 도입하면 다음을 포함하여 우려해야 할 새로운 취약성과 공격의 형태로 새로운 위험 계층이 추가됩니다.

  • 즉각적인 주입 공격: 악의적인 행위자는 LLM을 조작하여 의도하지 않은 동작(예: 승인되지 않은 출력 생성)을 실행하도록 입력을 조작합니다.
  • 데이터 유출: LLM은 종종 기능을 위해 방대한 데이터 세트에 의존하며, 적절한 보호 장치가 없으면 교육이나 상호작용 중에 제공된 민감한 데이터가 실수로 유출될 수 있습니다.
  • 크로스 사이트 스크립팅(XSS): 공격자는 AI 기반 입력에 악성 스크립트를 삽입하여 애플리케이션, 출력, 그리고 잠재적으로 사용자를 손상시킵니다.
  • 모델 환각: LLM은 사용자의 신뢰를 훼손하고 법적 또는 규정 준수 문제를 야기할 수 있는 맥락상 부적절하거나 부정확한 결과를 생성할 수 있습니다.

분산 클라우드 웹 앱 스캐닝은 이러한 문제를 찾아내는 데 그치지 않고, 해결 지침도 제공합니다. 각 취약점을 더 잘 이해하고 실행 가능한 권장 사항을 제공하는 데 도움이 되는 AI 지원을 통해 조직은 웹 앱이 보호되고 사용 가능하며 사용자의 신뢰가 그대로 유지되도록 할 수 있습니다.

분산 클라우드 웹 앱 스캐닝 작동 방식

최신 AI 기반 웹 애플리케이션에서 LLM을 발견하고 테스트하는 프로세스는 포괄적인 적용 범위를 보장하는 자동화된 4단계 프로세스로 시작됩니다.

  1. 정찰: 웹 앱 스캐닝 서비스는 먼저 외부 도메인과 상호 작용하여 노출된 LLM 통합 서비스를 포함한 전체 웹 앱, 하위 도메인 및 지원 인프라를 감지하고 매핑합니다.
  2. 신분증: LLM의 존재가 감지되면 서비스는 지문 알고리즘을 실행하여 사용 중인 특정 모델을 식별합니다. 예를 들어 Mistral 7B Instruct나 업계에서 널리 채택된 150개 이상의 LLM을 포함한 다른 모델이 있습니다.
  3. 테스트: 초기 매핑 후에는 OWASP 웹 앱과 LLM 상위 10개 특정 위협에 대한 광범위한 테스트 모음을 포함하는 자동 침투 테스트가 진행됩니다. NVIDIA의 garak과 Microsoft의 PyRIT 등 업계 최고의 테스트 프레임워크를 활용하는 이 서비스는 적대적 공격을 시뮬레이션하여 즉각적인 주입 공격, 릴레이 및 반복 릴레이 취약점을 통한 데이터 유출, 교차 사이트 스크립팅(XSS), 키워드 프로브 및 모델 환각, 오해의 소지가 있는 주장 등 중요한 보안 문제를 밝혀냅니다.
  4. 보고: 검사와 테스트를 통해 완전하고 자세한 침투 테스트 보고서가 생성되며, 이 보고서는 LLM과 웹 애플리케이션 상위 10개 목록에서 발견된 모든 취약점을 강조 표시합니다. 이 보고서에는 실행 가능한 수정 지침이 포함되어 있으며, 테스트 전체와 취약점에 대한 비디오와 스크린샷이 포함되어 있으며, 상황에 맞는 통찰력을 제공하여 조직이 식별된 모든 취약점을 쉽게 해결하고 최신 AI 지원 웹 앱을 보호할 수 있습니다.

미래를 안전하게 맞이하세요

AI 기반 혁신은 웹 애플리케이션과 최신 디지털 경험에 엄청난 잠재력을 제공했지만, 동시에 새롭고 정교한 보안 위협에 대한 가능성도 열어주었습니다. 통합 LLM 테스트 제품군을 갖춘 분산형 클라우드 웹 앱 스캐닝은 조직이 변화하는 환경을 안전하게 탐색하는 데 필요한 확장성과 적용 범위를 제공하여 애플리케이션이 발전함에 따라 취약점을 항상 파악할 수 있도록 지원합니다.

이러한 지능적이고 지속적인 웹 애플리케이션 보안 테스트를 회사의 보안 태세에 통합하면 웹 앱과 API를 보호할 뿐만 아니라 책임감 있고 안전한 AI 개발 및 도입에 대한 조직의 의지를 강화할 수 있습니다.

분산 클라우드 웹 앱 스캐닝이 어떻게 방어력을 강화하고 자신감을 가지고 AI를 도입하는 데 도움이 될 수 있는지 자세히 알아보려면 저희에게 문의하세요 .

샌프란시스코에서 열리는 RSA 컨퍼런스에 참석할 계획이라면 4월 29일 세션인 " 더 강한 함께"에 참석하세요. 앱 보안 및 제공에 대한 통합적 접근 방식 ”에 대한 자세한 내용을 알아보고 부스 N-4335를 방문하세요.