블로그

WAF를 고급화하는 요소는 무엇인가?

Brian A. McHenry 썸네일
브라이언 A. 맥헨리
2018년 4월 10일 게시

위협 환경이 변화함에 따라, 보안 통제 및 대책도 더욱 강화되어야 합니다. 데이터 손실 또는 유출에 대한 가장 진보된 경계 위협은 애플리케이션 계층에서 발생하므로 대부분의 차세대 방화벽(NGFW)과 침입 방지 시스템(IPS)의 효과가 훨씬 떨어집니다. 이러한 효과는 대부분의 통신이 NGFW나 IPS에서 잘 지원되지 않는 암호화된 데이터 채널로 이동하고 있다는 사실로 인해 더욱 악화됩니다. 웹 애플리케이션 방화벽(WAF)은 SSL/TLS에 대한 완전한 복호화를 통해 애플리케이션 계층에서 각 HTTP 요청을 분석하도록 특별히 설계되었습니다.

최근 몇 년 동안 대부분의 WAF 기술은 관련 NGFW 및 IPS 기술과 마찬가지로 수동 필터 기반 감지 시스템으로 크게 변화 없이 유지되었습니다. WAF 시스템은 프로토콜 준수(잘 구성된 요청 보장) 및 서명 비교(알려진 악성 콘텐츠 없음 보장)를 적용하여 잠재적인 공격을 필터링하고 차단합니다. 하이재킹과 무차별 대입 공격에 맞서기 위해 세션 및 사용자 인식 기능이 추가되었으며, IP 평판 피드를 적용하여 봇넷, 익명화 도구 및 기타 위협과 같은 알려진 악성 소스를 걸러냅니다. 이러한 기술은 여전히 데이터 센터 경계에서 주로 수동적인 기술로, 클라이언트에 대한 조사 능력이 매우 제한적입니다.

 현재 위협 상황에 대해 우리가 알고 있는 몇 가지 사항은 다음과 같습니다.

  • 대부분의 위협은 본질적으로 자동화되어 있습니다. 공격자는 취약점을 자동으로 검색합니다. 그들은 티켓이나 운동화를 회색 시장 재판매를 위해 구매하는 등의 자원 축적을 자동화합니다. 분산 서비스 거부(DDoS) 공격은 이제 흔해진 1Tbps 이상의 공격 트래픽 볼륨을 지원하기 위해 완전 자동화되었습니다. 자동화는 정상적인 트래픽을 모방하도록 설계되어 감지되지 않는 경우가 많기 때문에 감지하기 어렵습니다. CAPTCHA와 같은 기술은 이러한 자동화를 감지하는 데 사용되었지만, 이러한 검증 방법은 시간이 지남에 따라 효과가 없는 것으로 판명되었으며 합법적인 사용자의 경험에 영향을 미쳤습니다.
     
  • 크리덴셜 스터핑은 이전 침해에서 알려진 수십억 개의 사용자 이름과 비밀번호 조합을 활용하는 특정 유형의 자동화된 공격입니다. 최근 위협 보고서에 따르면, 2017년에 가장 널리 퍼진 애플리케이션 공격 유형은 도용된 자격 증명을 사용하는 것이었습니다. 이러한 공격은 일반 인터넷 이용자가 흔히 사용하는 비밀번호 재사용을 노립니다. 자격 증명 스터핑은 이러한 요청이 정상적으로 보일 뿐만 아니라 무차별 대입 공격으로 감지되지 않도록 설계상 "낮고 느린" 경우가 많기 때문에 감지하기가 특히 어렵습니다.
     
  • 맬웨어는 널리 퍼져 있으며 브라우저와 브라우저를 운영하는 사용자의 취약점을 악용하는 데 사용됩니다. 맬웨어는 이메일 첨부파일부터 소셜 미디어와 광고의 악성 링크까지 다양한 전달 방식을 갖고 있습니다. 이러한 침해된 컴퓨터는 DDoS, 데이터 도난, 리소스 축적을 위해 다른 웹사이트를 공격하는 데 사용됩니다. 경험이 풍부한 IT 정보 보안 팀이 클라이언트 컴퓨터를 관리하지 않는 한, 사용 가능한 탐지 및 완화 방법은 제한적입니다.
     
  • DDoS 공격은 단순히 규모적인 성격을 띠지 않습니다. 많은 공격은 애플리케이션 스택, 애플리케이션 서버, 미들웨어 또는 백엔드 데이터베이스의 어딘가에서 리소스 고갈을 유발하도록 설계됩니다. 트래픽이 대부분의 표준 입력 유효성 검사를 준수하기 때문에 이러한 조건을 감지하는 것은 어려울 수 있습니다.


간단히 말해서, 이러한 공격은 어떤 식으로든 잘못 구성된 것처럼 보이지 않기 때문에 사실상 모든 기존 WAF 탐지 메커니즘을 우회합니다. 케이블 모뎀, IoT 기기, 퍼블릭 클라우드 서버 인스턴스 등 쉽게 침해될 수 있는 대상이 거의 무한하기 때문에 IP 주소 평판 피드는 효과성이 제한적입니다. 소스 주소 정보는 너무 빠르게 변경되므로 군중 소싱 피드조차도 이러한 공격 벡터에서 일반적인 자동화 수준을 퇴치하는 데 효과적이지 않습니다. 이러한 위협에 맞서기 위해서는 보다 발전된 웹 애플리케이션 방화벽이 분명히 필요합니다.

좋은 소식은 Advanced WAF 기술이 이미 사용 가능하다는 점이며 꽤 오랫동안 사용되어 왔다는 점입니다. F5는 10년 전 웹 스크래핑 보호 기능을 도입한 2009년부터 온라인 소매업체의 가격 데이터를 수집하려는 봇을 CAPTCHA 없이 감지하는 기술을 개척했습니다. F5는 이 기술을 점진적으로 발전시켜 2015년에 출시된 Proactive Bot Defense로 알려진 기술로 확장했습니다. PBD(Proactive Bot Defense)를 사용하면 요청하는 클라이언트를 조사하여 합법적인 브라우저를 사용하는 인간 사용자가 있는지 확인할 수 있습니다. 이는 IP 주소로 알려진 봇넷을 차단하는 것보다 훨씬 효과적인 솔루션입니다.

F5는 새로운 F5 Advanced WAF 솔루션을 통해 애플리케이션 보안 환경에서 나타나는 진화하는 위협에 맞서는 데 필요한 기능을 포함하도록 시장을 선도하는 WAF 기술을 확장했습니다. 고급 WAF에는 다음이 포함됩니다.

  • 선제적 봇 방어. PBD는 최첨단 지문 인식 및 챌린지/응답 기술을 다른 행동 분석과 함께 활용하여 세션 수준에서 자동화된 위협을 감지하고 차단할 수 있습니다.
     
  • 7계층 동작 DoS 탐지 및 방어. 고급 WAF는 트래픽을 동적으로 프로파일링하고 비정상적인 트래픽 패턴의 시그니처를 생성하여 애플리케이션에 영향을 미치기 전에 7계층 DoS 공격을 차단합니다.
     
  • DataSafe 자격 증명 보호. DataSafe는 일반적으로 맬웨어로 인해 발생하는 브라우저 내부 공격을 방지하기 위해 페이지 콘텐츠를 동적으로 암호화합니다. DataSafe는 브라우저에서 사용자를 보호하기 위해 자격 증명이 입력될 때 이를 동적으로 암호화합니다.
     
  • Anti-Bot 모바일 SDK 통합. Proactive Bot Defense에서 사용하는 기술은 합법적인 브라우저를 식별하는 데 사용됩니다. 모바일 앱의 경우 브라우저가 없습니다. Anti-Bot 모바일 SDK를 사용하면 조직이 모바일 API 엔드포인트에서도 고급 기술을 활용하여 봇에 맞설 수 있습니다.


F5 Advanced WAF는 현재 시장에서 제공되는 가장 진보된 애플리케이션 보안 기능을 제공하는 전용 보안 플랫폼입니다. F5는 가장 정교한 공격도 완화할 수 있는 최첨단 애플리케이션 보안 솔루션을 제공하기 위해 최선을 다하고 있습니다. 앞으로 Advanced WAF 플랫폼이 더욱 발전되기를 기대합니다.