100:10:1. 이 수치는 무엇을 나타내고 있을까? 한 기업 내에 개발자 수가 100명이 있다면 데브옵스(DevOps) 담당자는 10명, 보안담당자는 1명이 있다는 것을 의미한다.

F5네트웍스가 글로벌 평균 현황으로 제시한 비교 수치이지만 국내 사정도 그리 다르지 않다. 그만큼 개발자 대비 보안담당자 수가 턱없이 부족하다는 이야기다. 하지만 애플리케이션 운영 환경이 물리적 데이터센터(온프레미스), 퍼블릭 클라우드, 가상화와 컨테이너 환경 등으로 다양해지고 그 수는 기하급수적으로 늘어나면서 운영관리 복잡성이 커지고 있다.

보안위협 역시 계속 늘어나고 있다. 애플리케이션 보안은 과거에는 주로 웹 애플리케이션을 대상으로 한 SQL 인젝션, 크로스사이트스크립팅(XSS) 등을 포함해 10대 애플리케이션 취약점인 ‘OWASP 톱(Top) 10’ 방어를 중심으로 이뤄져왔다. 악의적인 코드 인젝션, L7 서비스거부(DoS), 애플리케이션프로그래밍인터페이스(API) 공격, 크리덴셜 탈취, 분산서비스거부(DDoS), 암호화 공격, 지능형지속위협(APT), 악성 봇 등 다양해져 요구되는 보안 기능도 많아졌다.

개발자들이 애플리케이션을 개발할 때 보안을 강구하더라도 100% 완벽하게 안전한 애플리케이션을 개발할 수는 없다. 보안인식 부족이나 실수로, 또는 시간에 쫓기다보면 보안 개발이 쉽지 않은 것이 현실이다.

또 애플리케이션 개발과 운영, 배포 환경이 모든 기능과 서비스가 담겨져 완성된 형태로 제공되는 모놀리식 구조가 아닌, 마이크로서비스 기반의 현대적인(모던) 애플리케이션으로의 환경 변화는 보안을 적용하기 어렵게 만들고 있다. 다양한 마이크로서비스 애플리케이션이 다양한 시스템과 서비스에 API로 연결되면서 API를 노린 공격이 발생하고 있고 오픈소스를 활용하는 경우도 많아지면서 보안에 취약해지기 십상이다.


HW·SW WAF, 컨테이너 기반 WAF, SaaS 기반 WAF, WAF 매니지드 서비스 모두 지원


보안담당자들이 신경 써 해야할 일이 더 많아지고 있다. 때문에 변화하는 애플리케이션 운영 환경과 보안 추세에 맞춘 애플리케이션 보안 방안이 필요해진 상황이다.

F5는 이같은 현실에 충족할 수 있는 보안 방안으로 ‘원 와프(ONE WAF)’를 제시한다.

이진원 F5코리아 이사는 “국내에 다운로드한 애플리케이션 수는 20억개에 달한다. 수많은 애플리케이션이 존재하고 있다. 과거에는 온프레미스 데이터센터에서만 운영됐다면 이제는 퍼블릭 클라우드나 멀티클라우드 플랫폼에서 동작하기도 하고 소프트웨어서비스(SaaS)과 컨테이너 환경까지 새롭고 다양한 환경에서 앱이 동작하고 있다”며 “운영자와 개발자 입장에서 여러 도전과제가 나타난다. 보안 정책을 모든 환경에서 기존과 그대로 유지해야 모든 애플리케이션 서비스를 안전하게 보호할 수 있다. 다양한 환경에서 운영되는 수많은 애플리케이션에 일관된 보안 정책을 적용하는 ‘원 와프’가 필요하다”고 말했다.

* 바이라인플러스 웨비나 ‘One WAF : 다양한 애플리케이션 운영 인프라 환경에서 일관된 웹 보안 정책 적용 방안’을 주제로 이진원 F5코리아 이사가 발표하고 있다. 장표는 F5가 제공하는 WAF 제품군. 이미지 클릭하면 이 웨비나 다시보기로 연결.

‘원 와프’ 지원 일환으로 F5는 웹 애플리케이션 방화벽(WAF) 제품인 ‘F5 어드밴스드 WAF’와 컨테이너 기반 NGINX 앱 프로텍트(NAP), SaaS형 WAF인 ‘에센셜 앱 프로텍트’를 제공한다. F5가 매니지드 서비스를 제공하는 ‘실버라인 WAF’도 있다.

이 이사는 “셀프서비스로 어드밴스드 WAF와 NAP, SaaS인 에센셜 WAF 등 다양한 유형의 서비스가 있지만 WAF의 뼈대는 하나로, 통일화된 정책을 만들어 애플리케이션 보안과 API 보안까지 F5 ‘원와프’로 모두 가능하다”고 강조했다 .

F5 어드밴스드 WAF는 OWASP 톱10 취약점 공격, SSL/TLS(Secure Sockets Layer/Transport Layer Security) 위협, 스크립트 공격을 탐지해 방어하는 전통적인 기능에서 나아가 봇 공격, 크리덴셜 스터핑 공격, L7 디도스, API 공격 방어 기능까지 제공한다.

이밖에도 “어드밴스드 WAF에는 머신러닝 기법이 적용돼 있다”고 말한 이 이사는 “운영자 입장에서 웹방화벽 정책을 적용한 뒤 오탐이나 미탐을 파악하기 위해 정책을 최적화하는 과정을 거친다. 이 과정에서 예외처리를 한다. 이를 수동으로 일일이 처리하는 것이 아니라 머신러닝으로 전세계에서 가장 많은 예외처리를 빠르게 수행할 수 있도록 지원한다. 모든 F5 WAF 제품으로 다양한 환경에서 운영할 수 있다”고 설명했다.

F5 어드밴스드 WAF는 온프레미스 환경뿐 아니라 가상화 환경, 아마존웹서비스(AWS)·구글클라우드플랫폼(GCP)·마이크로소프트 애저를 비롯해 다양한 클라우드 플랫폼 환경에서 모두 활용할 수 있다.


“상용 컨테이너 WAF는 ‘NAP’가 유일…오픈소스 ‘Modsec’ 대비 향상된 20배 지원”


마이크로서비스를 지원하는 컨테이너 기반 모던 애플리케이션 보안은 NAP로 쉽게 구현할 수 있다. F5가 지난 2019년 3월 인수한 오픈소스 웹서버, 로드밸런서, API 게이트웨이, 컨트롤러를 제공하는 NGINX를 인수한 뒤 선보였다. 컨테이너 환경에 적용되기 때문에 매우 경량화돼 있는 것이 특징이다.

이 이사는 “가트너 설문조사 결과 마이크로서비스 환경으로 전환하는데 가장 우려점으로 API 보안이 꼽혔다. API 보안이 어려운 이유는 API 개발팀과 데브옵스팀, 관리팀이 앱을 에서 코드로 개발하고 구축, 테스트해 배포·발행하고 관리와 모니터링이 순차적으로 이뤄지는 과정에서 보안까지 적용하기에는 부담이 되기 때문”이라며 “API 보안을 코드화해 개발 코드단부터 시작해 구축 단계에서 보안정책을 생성하고 보안이 적용된 상태에서 테스트해 배포, 발행해 API 전단계에 보안이 긴밀하게 통합할 수 있다”고 제시했다.

이어 NAP의 강점으로 “마이크로서비스 환경의 컨테이너 기반 앱에서 API 보안과 기존 웹 애플리케이션 보안을 동시에 모두 제공한다. 쉽게 활용할 수 있다”면서 “NGINX SW는 로드밸런서가 될 수도 있고, API 게이트웨이 용도로 쓸 수 있고 쿠버네티스 인그레스 컨트롤러(KIC)로도 쓸 수 있다. 중요한 것은 이렇게 다양한 용도에 NAP가 탑재된다는 것”이라고 덧붙였다.

더욱이 현재 상용 컨테이너 기반의 WAF 보안 솔루션은 “F5 NAP가 최초”라는 게 이 이사의 설명이다. 기존에는 컨테이너 환경에 주로 오픈소스 WAF인 모드시큐리티(ModSecurity, Modsec)를 웹서버에 적용해 사용했다.


이 이사는 “NAP는 F5가 인수한 NGINX에 최적화해 모드시큐리티 대비 약 20배 높은 성능을 제공한다. 무엇보다 서비스 지연시간을 최소화하면서 빠르게 애플리케이션 서비스를 제공한다”며 “모던 앱 환경에서 타 솔루션 대비 높은 성능을 제공하면서도 보안을 강화할 수 있다“고 내세웠다.

F5 NAP는 NGINX를 기반으로 HTTP 웹 보호뿐 아니라 API 정합성 유지, NAP를 활용한 악성 행위 방어 기능까지 이어지는 3단계 API 보안을 제공한다. NAP는 봇 탐지, 페이로드 인젝션 공격과 포맷 어뷰즈, 크리덴셜 스터핑, 데이터 노출, 디도스 공격에 대응할 수 있다. OWASP 톱10뿐 아니라 회피 기술 탐지, 사용자 중요 정보 유출을 방어할 수 있는 데이터 가드 제공, 파일 타입의 정책 허용 방지, HTTP 프로토콜 컴플라이언스 지원 등을 제공한다.

이 이사는 “F5 웹방화벽은 멀티클라우드, 온프레미스, 가상화, 마이크로서비스를 위한 컨테이너 등 다양한 환경과 위치에 있는 애플리케이션에 대해 통일화된 보안을 제공한다”며 “특히 마이크로서비스 모던 애플리케이션 보안을 제공하는 독보적으로, 국내에서도 F5가 NGINX를 인수해 NAP를 제공한다는 것을 널리 알려나갈 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network