블로그

지금 배포해야 하는 3가지 AWS 웹 애플리케이션 방화벽 관리 규칙

로리 맥비티 썸네일
로리 맥비티
2018년 4월 18일 게시

엄청나게 많은 수의 애플리케이션이 아무런 보호 없이 클라우드에 저장되어 있습니다. 웹 앱 방화벽이 없습니다. 신원이나 접근 제어가 없습니다. 아무것도 아님. 그들은 그저 공격받기 쉬운 곳에 있을 뿐이에요.

이는 기업에겐 악몽이지만 공격자에게는 꿈이 이루어진 셈입니다.

또한 타겟으로 애플리케이션에 대한 관심이 증가하고 있다는 점을 고려하면 이는 현명하지 못한 일입니다. 풍부한 데이터 소스로의 경로를 찾거나 다른 사악한 목적을 위한 배포 지점으로 앱을 활용하려는 경우 애플리케이션 공격이 증가하고 있습니다.

실제로 가장 많은 침해 사고를 살펴보면 30%가 웹 애플리케이션에 대한 공격과 관련이 있는 것으로 나타났습니다. 취약점을 악용하기 위한 해킹이 62%로 가장 많았습니다. 그리고 무려 77%가 개인이 아닌 봇넷에 의해 수행되었습니다.

즉, 앱을 봇과 취약점으로부터 보호하지 않으면 그저 하나의 통계가 될 뿐이라는 뜻입니다.

그리고 제가 여러분의 앱이라고 말할 때는 여러분의 모든 앱을 뜻합니다. 모든 앱은 보안 측면에서 중요한 앱입니다 . 클라우드에서도 마찬가지입니다. 특히 네트워크 방화벽이 제공하는 기본적인 보호 기능 없이도 앱을 배포할 수 있는 클라우드에서 더욱 그렇습니다.

하지만 우리는 복잡성, 특히 보안 솔루션의 복잡성이 때때로 클라우드에서 애플리케이션을 보호하는 데 방해가 될 수 있다는 사실을 무시할 수 없습니다(무시해서는 안 됩니다). 2018년 애플리케이션 제공 상태 설문 조사에 참여한 응답자의 3분의 1(34%)이 "보안 솔루션의 복잡성 증가"가 내년의 최대 보안 과제라고 답했습니다.

보안은 어려울 수 있다. 하지만 반드시 그럴 필요는 없습니다. 특히 클라우드에서는 그렇습니다.

클라우드에서의 웹 앱 보안


모르는 분들을 위해 말씀드리자면, AWS는 여러분이 앱을 배포할 수 있을 뿐만 아니라 공급업체가 앱을 추가할 수 있는 매우 편리한 플랫폼을 제공합니다. 보안 분야에서 기본 웹 애플리케이션 방화벽은 기능을 강화하기 위해 타사 관리 규칙을 제공합니다. 즉, 웹 애플리케이션 방화벽의 모든 내용을 배울 필요 없이 심각한 침해의 배후에 있는 위협으로부터 보호할 수 있다는 의미입니다. 이제 막 시작하는 경우 AWS WAF 관리형 규칙은 웹 앱 보안에 대한 첫걸음을 내딛고 오늘날 애플리케이션(및 비즈니스)을 괴롭히는 가장 흔한 위협으로부터 보호할 수 있는 좋은 방법입니다.

AWS WAF 관리형 규칙은 AWS WAF 기능을 확장하고 모든 앱에 대한 보호를 제공하는 웹 앱 보안 규칙입니다. 관리형이므로 보안 전문가가 유지 관리하고 업데이트하므로 항상 최신 상태이며 최신 위협으로부터 방어할 수 있다는 확신을 가질 수 있습니다. 이는 모든 앱을 위한 클라우드 서비스로서의 보안입니다. 

가장 흔한 세 가지 위협(봇, 알려진 취약점, 해킹)으로부터 앱을 보호하려면 지금 당장 적용해야 할 세 가지 규칙이 있습니다. 하지만 한 번에 하나의 관리 규칙만 선택할 수 있으므로 신중하게 고려하세요.

OWASP 상위 10위

OWASP 상위 10개 보안 요소는 개발자, DevOps, 보안 전문가 모두에게 잘 알려져 있습니다. 당신은 그들의 이름 중 많은 것을 알고 있습니다: SQLi, XSS, 명령 주입, No-SQLi 주입, 경로 탐색 및 예측 가능한 리소스. 이는 악용될 경우 조직에 골치 아픈 일(그리고 때로는 바람직하지 않은 헤드라인)을 안겨주는 가장 흔한 10가지 취약점입니다. 특히 중요한 소비자 또는 기업 데이터가 포함된 데이터 소스와 통신하는 앱에서 이러한 기능이 발견되는 경우 더욱 그렇습니다.

이상적으로는, 개발자는 발견 시 코드에서 이러한 문제를 해결하는 것이 좋습니다. 현실적으로, 그 일이 일어나기까지는 몇 달이 걸릴 것이라는 걸 우리는 알고 있습니다(만약 실제로 일어난다면 말입니다). 그렇기 때문에 이러한 일반적인 취약점을 해결할 수 있는 웹 애플리케이션 방화벽이 매우 귀중한 것입니다. 악용으로부터 즉각적인 보호를 제공하기 때문입니다. 영구적인 해결책이든 임시방편이든 OWASP 상위 10가지 보안 지침을 포함한 규칙 세트를 채택하는 것이 합리적입니다.

일반적인 취약점 및 노출(CVE)

알려진 CVE로부터 보호하는 것의 중요성은 지나치게 강조할 수 없습니다.

2015년 Kenna Security는 2억 5천만 개의 취약성과 10억(BILLION) 이상의 침해 사건이 있는 50,000개 조직 샘플을 대상으로 수행한 연구를 보고했고 취약성 해결과 관련하여 매우 흥미로운 두 가지 사항을 발견했습니다.

  • 평균적으로 기업이 취약점을 해결하는 데 100~120일이 걸립니다.
  • 40~60일이 지나면 CVE가 악용될 확률이 90%가 넘습니다.
  • 취약점이 악용될 가능성이 높은 시점과 취약점이 해결될 때까지의 기간은 약 60일이다.

다시 말해, 대부분의 조직은 해결 기회도 없이 CVE가 악용될 가능성이 높습니다. 주의를 기울이지 않았다면 *매우* 눈에 띄는 침해 사례 중 다수가 CVE로 추적되었습니다. 정말 엄청나게 높은 프로필이죠. CVE가 있는 일부 플랫폼과 라이브러리를 고려해 보세요. Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails, WordPress. 요즘 인터넷에 있는 대부분의 앱이 여기에 해당합니다.

따라서 CVE가 공개되자마자 해당 악용을 막기 위해 애플리케이션을 가상으로 패치할 수 있는 규칙을 반드시 채택해야 합니다. 소스(일반적으로 플랫폼이나 타사 라이브러리)에서 패치를 적용해야 하지만 그동안 앱은 침해로부터 보호됩니다.

이러한 수정 격차와 보안 전문성 부족은 클라우드에서 관리되는 규칙을 그렇게 좋은 아이디어로 만드는 것입니다. 전문가가 앱을 유지 관리하고 최신 상태로 유지하며 악용으로부터 앱을 보호할 수 있도록 하므로, 여러분이 해야 할 일은 앱을 배포하는 것뿐입니다.  

봇 보호

요즘 앱을 방문하는 사람의 절반 이상이 봇입니다. 사이트를 크롤링하여 인덱싱하고 검색 엔진을 통해 제공할 수 있는 좋은 스파이더 봇이 아닙니다. 우리는 취약점을 찾고, 커뮤니티에 스팸을 밀어넣고, 사이트를 스크래핑하거나, 봇넷 기반 DDOS 계획에 참여하는 추악한 디셉티콘 종류의 봇에 대해 이야기하고 있습니다.

봇에 대한 방어는 쉽지 않습니다. 캡차는 봇을 식별하고 차단하기 위해 끊임없이 새로운 방법을 시도하고 있지만, 계절성 독감과 마찬가지로 이 성가신 생물은 계속해서 적응하고 방어망을 회피하고 있습니다.

그럼에도 불구하고, 악의적인 봇은 감지가 가능한 행동을 보이며 원치 않는 것으로 식별됩니다. 봇 방어 규칙은 좋지 않은 의도를 나타내는 동작과 활동을 감시하고 해당 동작과 활동이 애플리케이션과 상호 작용하지 못하도록 차단할 수 있습니다. 지난 2분기 동안 봇 방어 서비스를 활용하는 조직의 비율이 증가한 것을 확인했으며, 현재 상황을 감안할 때 이러한 증가 추세가 계속될 것으로 예상됩니다.

클라우드에서 앱에 대한 봇 보호 규칙을 배포하면 CVE 악용이 발생하기 전에 이를 차단하는 공중 보호막을 제공할 수 있습니다.

웹 앱 방화벽 또는 관리 규칙


일부 앱은 세 가지 위협 모두로부터 보호해야 한다는 점을 알아두는 것이 중요합니다. 그 외에도 봇, CVE, OWASP 상위 10대 취약점에 대한 보호 이상의 보호가 필요한 사람들도 있습니다. 일부 앱에는 데이터 정리 및 유출 방지가 필요하며, 앱에 특화된 방어 수단도 필요합니다. 스키마 검증은 특히 알 수 없는 출처에서 데이터를 수신하는 경우 좋은 예입니다. L7(애플리케이션 계층) DDoS도 그 중 하나입니다. TCP 또는 HTTP 기반 취약점을 방지하려면 프로토콜 적용 역시 매우 중요합니다. 두 개(1) 이상의 규칙이나 추가 보호 기능이 필요한 경우 모든 기능을 갖춘 고급 WAF를 살펴보세요. 앱의 기능과 고객이 커질수록, 앱을 보호하는 수단도 더욱 강화해야 합니다.

그럼에도 불구하고, 관리되는 규칙은 클라우드에서 앱 보호를 시작하는 좋은 방법입니다. 이러한 솔루션을 사용하면 보안 전문가가 될 필요 없이 웹 앱 보안을 위한 견고한 기반을 마련할 수 있습니다. 

AWS와 F5에 참여하여 F5 WAF가 어떻게 데이터를 보호하고, 규정을 준수하고, 클라우드 워크로드에 대한 지속적인 보호를 구축하는 데 도움이 되는지 알아보세요.

웨비나에 참여하여 다음 내용을 알아보세요.

  • 올바른 WAF 선택을 위한 주요 애플리케이션 및 아키텍처 고려 사항
  • F5 WAF 솔루션이 알려진 위협과 알려지지 않은 위협으로부터 데이터를 보호하는 방법
  • 데이터에 대한 가장 정교한 공격도 방지하기 위해 자동화된 학습 기능을 활용하는 방법


웨비나 날짜 + 시간:
2018년 4월 25일 수요일 | 오전 10시 태평양 표준시

지금 등록하세요 >