시큐리티팩트

[시큐리티팩트=김상규 기자] 국내 웹 보안 전문 기업 모니터랩이 웹 애플리케이션 및 API 보안 강화에 박차를 가한다.

모니터랩은 자사 WAAP(Web Application & API Protection ∙ 웹 애플리케이션 및 API 보호) 제품의 명칭을 기존 ‘AIWAF’에서 ‘AIWAAP’로 변경하고 API 보안 기능을 대폭 강화한 신규 버전을 출시했다고 3일 밝혔다.

이번 명칭 변경은 제품의 적용 범위를 고객이 직관적으로 이해할 수 있도록 WAAP 정체성을 명확히 하기 위한 조치다. 새롭게 출시된 버전은 API 보안을 필두로 DDoS(Distributed Denial of Service ∙ 분산 서비스 거부 공격) 완화, 봇(Bot ∙ 자동화 프로그램) 완화 등 핵심 기능을 전반적으로 고도화했다고 회사 측은 강조했다.

최근 모바일과 SaaS(Software as a Service ∙ 서비스형 소프트웨어), 마이크로 서비스의 확산으로 트래픽의 중심이 API
(Application Programming Interface ∙ 응용 프로그램 인터페이스)로 이동하면서 관리되지 않는 ‘섀도우 API’와 인증 구조를 노린 공격이 주요 보안 리스크로 부상하고 있다.

AIWAAP는 실시간 트래픽 분석을 기반으로 한 ‘API 자동 프로파일링’ 기능을 통해 섀도우 API를 포함한 전체 자산을 자동 식별하고 분류한다. 이를 통해 보안 담당자는 조직 내 산재한 API 전반에 대한 가시성을 확보할 수 있다.

또한 정의된 API 스키마(Schema ∙ 데이터 구조 정의)와 실제 호출 데이터 간의 유효성 검증을 통해 정상적인 호출인지 여부를 정밀하게 판별한다. 특히 JWT(JSON Web Token ∙ 전자 서명된 토큰 인증 방식) 검증과 페이로드 분석을 통해 BOLA
(Broken Object Level Authorization ∙ 객체 수준의 권한 할당 미흡) 등 인가 우회 공격을 포함한 ‘OWASP API Top 10’ 위협을 원천 차단하는 데 주력했다.

이와 함께 API 전용 대시보드와 상세 보고서를 제공해 보안 담당자가 정책 수립부터 실시간 대응까지 전 과정을 통합 운영할 수 있도록 지원한다. ‘가시성 확보-정책 수립-실시간 대응’이 선순환되는 API 보안 거버넌스(Governance ∙ 체계적인 관리 시스템)를 구현했다는 설명이다.

모니터랩은 AIWAAP를 통해 API 보안 역량을 결집하는 한편 다양한 공격 시나리오에 대한 대응 범위를 지속적으로 확대해 나갈 방침이다.

이광후 모니터랩 대표는 “보안의 중심이 API로 재편되고 있는 만큼 AIWAAP 공식 출시를 통해 API 전 영역의 가시성과 검증 기반 운영 체계를 강화했다”며 “웹방화벽 시장에서 선도적 입지를 공고히 하고 통합 보안 경쟁력을 높여가겠다”고 강조했다.