어디서나 앱과 API 보안: 왜 그리고 어떻게

F5는 적응형 애플리케이션을 활용하여 기업이 운영의 모든 측면을 디지털화하고, 혁신적인 제품과 서비스를 통해 고객에게 보다 나은 서비스를 제공하고 생산성을 높일 수 있도록 지원합니다. 하지만 이러한 애플리케이션은 구축 방식, 실행되는 인프라, 이를 구동하는 데이터 등 끊임없이 진화하고 적응하며 변화합니다. 그 결과, 다양한 잠재적인 새로운 취약점이 나타나고, 공격 표면이 확장되며, 팀에서 해결에 도움이 필요한 새로운 보안 요구 사항이 제시됩니다.

따라서 F5에서는 고객의 성공을 위해 적응형 애플리케이션을 활성화하기 위해 모든 곳에서 앱과 API를 보호 해야 합니다. 이는 F5의 애플리케이션 보안 전략의 기초입니다(그리고 이 블로그의 초점이기도 합니다).

앱이 많을수록 보안이 더 복잡해집니다.

10년이 끝나면 모바일 애플리케이션 시장만 2022년 2,067억 달러에서 5,654억 달러(미화)로 약 175% 성장할 것으로 예상됩니다 .

앱이 성장하고 모든 사업 분야에 디지털 투자가 지속적으로 이루어지면서 효율성을 개선하고, 차별화를 확대하고, 고객 관계를 강화할 수 있는 충분한 기회가 있습니다.

하지만 단점도 있습니다. 앱을 구축하는 것과 성공적인 디지털화된 비즈니스와 그 생태계의 증가하는 요구에 맞춰 앱을 확장하는 것은 전혀 다른 일입니다.

간단한 예를 들어보겠습니다. 자동차 보험 회사 앱을 사용하면 간편하게 계좌 정보를 확인하고 청구서를 지불할 수 있었던 걸 기억하시나요? 오늘날까지 빠르게 발전해 온 많은 보험사들은 사진을 찍고, 보험금 청구를 제출하고, 수리점 등 제3자와의 상호 작용을 포함하여 보험금 청구 프로세스의 프런트 엔드를 관리할 수 있도록 허용합니다.

이러한 유형의 디지털 환경의 규모와 복잡성, 즉 이 환경을 원활하게 작동시키고 고객을 기쁘게 하는 데 필요한 API와 마이크로서비스의 양을 고려하기 시작하면 앱 보안 과제의 규모와 복잡성이 나타나기 시작합니다. 기업이 현대화되고 새로운 디지털 투자에 더욱 주력함에 따라 보안 리더들은 보안을 유지하면서도 규정을 준수하는 방법을 고심하고 있습니다.

많은 것이 바뀌었고, 이를 보호하는 것이 훨씬 더 어려워졌습니다.

최근 몇 년 동안 우리는 앱의 구축, 배포 및 관리 방식에 변화가 일어나는 것을 보았습니다.

비즈니스 앱은 한때 단일하고 고유하며 잘 보호되는 코드 기반인 모놀리식이었습니다. 오늘날 앱은 마이크로서비스와 컨테이너 등의 모듈식 조각으로 구성된 퍼즐과 같습니다. 일부 앱은 주문형, 일시적 구성요소로만 존재합니다.

엔터프라이즈 컴퓨팅은 한때 데이터 센터에서 이루어졌으며, 아마도 하나의 클라우드 공급업체에서만 이루어졌을 것입니다. 오늘날 대부분의 조직은 여러 클라우드에서 여러 앱을 실행합니다. 현대 조직은 여러 클라우드 공급자를 활용하고 특정 기능에 뛰어난 특정 플랫폼에 특정 워크로드를 적용할 수 있는 장점을 가지고 있습니다.

한때 통신 프로토콜은 예측 가능하고 간단했습니다. IT 및 보안 팀은 IP에 집중하여 라우팅, 세분화, 포트가 모두 제대로 정렬되어 있는지 확인할 수 있습니다. 현대의 커뮤니케이션은 API 수준(앱 간, 앱 내부)에서 발생하는데, 이는 대부분 조직의 보안 전략에서 아직 해결하지 못한 현상입니다.

그 사이 기존 앱과 인프라도 여전히 존재합니다. 많은 경우, 이러한 데이터센터는 임무 수행에 매우 중요하기 때문에 주의 깊게 유지 관리하고 보안을 유지해야 합니다. 실제로 대부분의 기업은 현재 하이브리드 멀티 클라우드 환경에서 레거시 앱과 최신 앱을 모두 운영하고 있지만, 모든 기업은 보안 정책을 보편적으로 적용하기를 원합니다.

이에 대한 예는 다음과 같습니다. 로그4j

2021년 겨울 휴가철에 Apache Log4j/Log4Shell 취약점이 화제에 오르기 시작했을 때 많은 사람들은 IT팀과 SecOps팀이 패치를 적용하고 대응하기 위해 광란의 움직임을 보일 것이라고 생각했습니다. 훈련은 몇 주, 아니 몇 달 동안 지속될 것으로 예상되었습니다(이전에도 여러 번 일어났듯이). 그리고 결국 이야기는 사라질 것입니다.

그러나 많은 조직이 해당 유틸리티가 자사 기술 스택(또는 공급업체 및 데이터 파트너)에 존재하는지, 또는 존재하는지 여부를 파악하는 데 어려움을 겪고 있음이 곧 분명해졌습니다. 오늘날에도 Log4j 악용 사례는 계속 발생하고 있으며 공격도 계속되고 있습니다. 사실, 미국 국토안보부 사이버 안전 검토 위원회(CSRB)는 최근 Apache Log4j 취약점이 앞으로 10년 이상 기업에 심각한 위험으로 남을 수 있다는 결론을 내렸습니다.

그러면 Log4j가 단지 한 세대에 한 번 나타나는 이상 현상일 뿐인지 궁금해집니다. 아니면 이는 앞으로 Log4j와 유사한 사고가 더 많이 발생할 것이라는 징후일까요? 그렇다면 조직과 공급업체는 미래를 내다보면서 어떤 교훈을 적용해야 할까요?

복잡성은 여전히 적이다

'복잡성은 보안의 적이다'라는 속담이 여전히 사실이라면 오늘날 적은 꽤 잘 해내고 있는 셈입니다. 기업들이 점점 더 분산된 환경과 플랫폼에서 더 많은 앱과 API를 보호하려고 시도함에 따라 이를 추적하기 위한 도구와 인터페이스도 늘어나 보안 전문가가 따라잡는 데 어려움을 겪고 있습니다. 이제는 동일한 작업을 더 많은 시간과 자원이 소모하며, 인간의 실수 위험도 더 커질 가능성이 있습니다.

내부 보안 요구 사항을 충족하는 것만으로는 충분하지 않은 듯, 규제 기관, 감사 및 비즈니스 파트너의 감독에 대한 요구 사항이 끊임없이 늘어나고 있으며, 이로 인해 데이터 개인 정보 보호 및 규정 준수 환경이 끊임없이 진화하고 점점 더 어려워지고 있습니다.

F5가 어떻게 도울 수 있는지

F5의 핵심 보안 전략인 '모든 곳의 앱과 API 보안'은 디지털화된 조직이 사이버 위협과 디지털 사기의 전체 범위로부터 앱과 API를 보호하도록 돕는 것을 목표로 합니다.

우리의 초점은 다음 세 가지 기둥으로 요약됩니다.

실제로 F5의 제품과 서비스는 전 세계 기업이 앱의 적극적인 악용을 방지하는 데 도움이 됩니다. 우리는 봇, OWASP Top 10 및 기타 여러 유형의 공격을 완화합니다. 우리는 API를 발견하고 제어합니다. 우리는 기본 애플리케이션 인프라를 보호합니다. 또한, 사기를 막고 최종 고객 계정을 악의적으로 인수하는 것을 방지하는 데 도움을 드립니다. 간단히 말해, 우리는 여러분이 해결하고 보호하는 데 도움을 줄 수 있는 광범위한 사용 사례를 보유하고 있습니다.

앞으로 몇 주 동안 우리는 이러한 사용 사례를 어떻게 제공하는지, 고객이 실현하고 있는 이점, 앱 중심의 디지털 세계가 지속적으로 진화함에 따라 앱과 API를 보호하는 것이 필수적이라고 생각하는 이유에 대해 더 많이 소통하고 공유할 것입니다.