Gartner는 11개 벤더의 "실행 능력"과 "비전의 완전성"을 평가한 2022년 "Gartner® Magic Quadrant™ 웹 앱 및 API 보호(WAAP) 부문" 보고서에서 Cloudflare를 리더로 인정했습니다. 여기에서 최신 Gartner WAAP 보고서의 무료 사본을 신청할 수 있습니다.
우리 Cloudflare에서는 이 성과가 사용자 및 고객에게 더 낫고, 더 효과적인 보안 솔루션을 제공하고자 하는 노력의 일환으로 이 분야에서 Cloudflare가 해온 지속적인 헌신과 투자를 높이 평가한 것이라고 생각합니다.
앱 보안 따라잡기
Cloudflare 글로벌 네트워크는 초당 3,600만 건 이상의 HTTP 요청을 처리하여 네트워크 패턴과 공격 벡터에 대한 전례 없는 가시성을 확보합니다. 이러한 규모 덕분에 정상 트래픽과 악성 트래픽을 효과적으로 구분할 수 있으며, 그 결과 Cloudflare의 WAAP 포트폴리오에 의해 에지에서 Cloudflare가 프록시하는 HTTP 요청 10건 중 약 1건이 완화되고 있습니다.
가시성만으로는 충분하지 않으며, 새로운 사용 사례와 패턴이 등장함에 따라 Cloudflare는 연구와 신제품 개발에 투자하고 있습니다. 예를 들어, API 트래픽은 증가하고 있으며(전체 트래픽의 55% 이상 차지) Cloudflare는 이러한 추세가 둔화될 것으로 예상하지 않습니다. 고객의 이러한 새로운 워크로드를 처리할 수 있도록 Cloudflare는 표준 웹 기반 앱에 비해 다양한 공격 프로파일이 관찰되며 잘 구조화된 API 트래픽에 대한 가시성과 완화 기능을 제공하기 위해 당사의 WAF를 기반으로 API Gateway를 구축했습니다.
Cloudflare는 앱 보안을 향한 지속적인 투자가 이 분야에서 강력한 입지를 구축하는 데 기여했다고 생각하며, Gartner의 이러한 인정에 감사드립니다.
Cloudflare WAAP
Cloudflare 는 웹 앱 및 API 보호(WAAP)에 해당하는 여러 기능을 구축했습니다.
DDoS 방어 및 완화
100개가 넘는 국가와 275개가 넘는 도시에 걸쳐 있는 Cloudflare 네트워크는 플랫폼의 중추 역할을 하며 모든 규모의 DDoS 공격을 완화하는 핵심 요소입니다.
이를 지원하기 위해 Cloudflare 네트워크는 의도적으로 애니캐스트를 사용하여 모든 위치에서 동일한 IP 주소를 광고함으로써 들어오는 트래픽을 각 위치에서 관리 가능한 청크로 ‘분할’하여 쉽게 처리할 수 있도록 합니다. 이는 대규모 볼류메트릭 분산형 서비스 거부(DDoS) 공격을 완화하는 데 특히 중요합니다.
이 시스템은 구성이 거의 또는 전혀 필요하지 않도록 설계되었으며 ‘상시 가동’ 상태로 작동하여 공격을 즉시 완화할 수 있습니다. 또한 Cloudflare의 새로운 위치 인식 완화 기능과 같은 고도로 지능적인 소프트웨어 기능이 추가되면 DDoS 공격 문제도 해결됩니다.
매우 특정한 트래픽 패턴을 가진 고객의 경우, 클릭 한 번으로 DDoS 관리형 규칙 전체를 완벽하게 구성할 수 있습니다.
웹 애플리케이션 방화벽
Cloudflare의 WAF는 앱 보안의 핵심 구성 요소로, 해커와 취약성 스캐너가 웹 앱의 잠재적 취약성을 찾기 어렵게 만듭니다.
새로운 취약성이 공개된 후 몇 시간 내에 악성 사용자가 새로운 벡터를 활용하려는 시도를 Cloudflare가 관찰했다는 사실을 고려할 때 zero-day 취약성이 공개적으로 이용 가능해질 때 이는 매우 중요한 문제입니다. Cloudflare는 최근 Log4J, 더 최근에는 Confluence CVE와 같은 2가지 사례를 통해 이러한 행위를 관찰했습니다. 따라서 Cloudflare WAF는 서명을 지속적으로 모니터링하고 개발/개선하는 보안 전문가 팀의 지원을 받아 고객이 필요할 때 백엔드 시스템을 강화하고 필요할 때 패치를 적용할 수 있는 귀중한 시간을 ‘구매’할 수 있도록 합니다. 또한 Cloudflare의 WAF 머신러닝 시스템은 각 요청을 분류하여 트래픽 패턴에 대한 폭넓은 이해를 제공함으로써 서명을 보완합니다.
Cloudflare WAF는 유출된 자격 증명 확인, 고급 분석, 경고, 페이로드 로깅 등 다양한 고급 기능을 제공합니다.
봇 관리
웹 트래픽의 상당 부분이 자동화되어 있다는 것은 이제 널리 알려진 사실이며 모든 자동화가 유해한 것은 아니지만, 일부 자동화는 불필요하고 악의적일 수 있습니다.
Cloudflare 봇 관리 제품은 Cloudflare WAF와 병렬로 작동하여 봇에 의해 생성된 가능성이 있는 모든 요청을 점수화하고 WAF 사용자 지정 규칙 배포를 통해 원치 않는 트래픽을 손쉽게 필터링합니다. 이 과정은 모두 강력한 분석을 통해 뒷받침됩니다. 또한 Cloudflare는 보안 정책을 더욱 강화하기 위해 활용할 수 있는 검증된 봇 목록을 제공하여 이 작업을 쉽게 수행할 수 있습니다.
자동화된 트래픽을 차단하려는 경우, Cloudflare의 관리형 인증 질문은 봇에만 문제를 일으키고 실제 사용자의 경험에는 영향을 미치지 않도록 보장합니다.
API Gateway
API 트래픽은 브라우저에서 사용하는 표준 웹 페이지에 비해 더 체계적으로 구성되어 있습니다. 동시에 API는 백엔드 데이터베이스 및 서비스에 가깝게 추상화되는 경향이 있으므로 악의적 행위자의 관심을 끌기 쉽고 내부 보안팀(섀도우 API)에서도 발견하지 못하는 경우가 많습니다.
Cloudflare WAF 위에 계층화할 수 있는 API Gateway를 활용하면 귀사의 인프라에서 제공하는 API 엔드포인트를 파악할 수 있습니다. 또한 볼류메트릭 및 순차적 관점에 관계없이 트래픽 흐름에서 침해를 나타낼 수 있는 이상 징후를 탐지할 수 있습니다.
또한, API의 특성상 알려진 정상 트래픽만 허용하고 다른 모든 트래픽을 차단하는 Cloudflare WAF와 달리, API Gateway는 훨씬 더 쉽게 능동적 보안 모델(positive security model)을 제공할 수 있습니다. 고객은 스키마 보호 및 mutual TLS 인증(mTLS) 을 활용하여 이를 쉽게 달성할 수 있습니다.
Page Shield
브라우저 환경을 직접 활용하는 공격은 백엔드 앱을 손상시킬 필요가 없으므로 한동안 탐지되지 않을 수 있습니다. 예를 들어 웹 앱에서 사용되는 제3자 JavaScript 라이브러리가 악의적인 행위를 수행하는 경우, 공격자가 제어하는 제3자 엔드포인트로 신용카드 정보가 유출되는 동안 앱 관리자와 사용자는 이 사실을 전혀 인지하지 못할 수 있습니다. 이는 클라이언트 측에서 발생하는 여러 보안 공격 중 하나인 Magecart의 일반적인 벡터입니다.
Page Shield는 제3자 라이브러리를 능동적으로 모니터링하고 제3자 자산에서 악의적인 활동이 발생할 때마다 앱 소유자에게 알림을 전송하여 클라이언트 측 보안 문제를 해결합니다. 또한, 콘텐츠 보안 정책(CSP)과 같은 공개 표준과 사용자 지정 분류기를 모두 활용하여 적용 범위를 보장합니다.
Page Shield는 다른 Cloudflare WAAP 제품과 마찬가지로 Cloudflare 플랫폼에 완전히 통합되어 있으며 클릭 한 번으로 활성화할 수 있습니다.
보안 센터
Cloudflare의 새로운 보안 센터는 WAAP 포트폴리오의 본부 역할을 합니다. 보안 전문가가 Cloudflare가 보호하는 네트워크 및 인프라 자산을 한 곳에서 종합적으로 파악할 수 있는 유일한 곳입니다.
Cloudflare는 향후 보안 센터를 포렌식 및 분석 조사의 출발점으로 삼아 사고 조사 시 귀사가 Cloudflare 위협 인텔리전스를 활용할 수 있도록 할 계획입니다.
Cloudflare의 장점
Cloudflare의 WAAP 포트폴리오는 단일 수평적 플랫폼에서 제공되므로 귀사는 추가 배포 없이 모든 보안 기능을 활용할 수 있습니다. 또한 Cloudflare는 확장, 유지 관리, 업데이트를 완전히 관리하므로 귀사가 앱의 가치를 전달하는 데 집중할 수 있도록 지원합니다.
Cloudflare는 초기에 웹 앱용 제품과 서비스를 구축하는 것으로 시작했지만, 네트워크에서의 입지를 바탕으로 WAAP를 넘어 팀, 사무실, 조직 내부 앱 등 인터넷에 연결된 모든 것을 보호할 수 있게 되었습니다. 이 모든 것이 하나의 통합 플랫폼에서 가능합니다. Cloudflare의 Zero Trust 포트폴리오는 이제 당사 비즈니스의 필수적인 부분이 되었으며, WAAP 고객은 클릭 몇 번으로 Cloudflare 보안 액세스 서비스 에지(SASE)를 쉽게 활용할 수 있습니다.
관리 및 예산 측면 모두에서 보안 상태를 통합하려는 경우, 앱 서비스 팀은 내부 IT 서비스 팀이 사용하는 것과 동일한 플랫폼을 사용하여 직원과 내부 네트워크를 보호할 수 있습니다.
지속적인 혁신
Cloudflare는 하루아침에 WAAP 포트폴리오를 구축한 것이 아니며, 지난 1년 동안 5가지가 넘는 주요 WAAP 포트폴리오 보안 제품을 출시했습니다. Cloudflare의 혁신 속도를 보여드리기 위해 선정한 몇 가지 제품들을 소개해 드리려고 합니다.
- API Shield 스키마 보호: 기존의 서명 기반 WAF 접근 방식(수동적 보안 모델)은 API 트래픽과 같이 체계적으로 구조화된 데이터에서 항상 원활하게 작동하는 것은 아닙니다. 네트워크 전반에서 API 트래픽이 빠르게 증가함에 따라, Cloudflare는 능동적 보안 모델을 사용하여 에지에서 직접 API 스키마를 시행할 수 있는 새로운 점진적 제품을 개발했습니다. 이로 인해 잘 구성된 데이터만 원본 웹 서버로 통과할 수 있습니다.
- API 남용 감지: API 스키마 보호 기능을 보완하는 API 남용 감지 기능은 API 엔드포인트에서 이상 징후가 감지될 때마다 경고를 보냅니다. 이러한 알림은 정상적인 트래픽 활동을 따르지 않는 비정상적인 트래픽 흐름이나 패턴에 의해 트리거될 수 있습니다.
- Cloudflare의 새로운 웹 앱 방화벽: 새로운 Edge Rules Engine을 기반으로 구축된 핵심 웹 앱 방화벽은 엔진 내부에서 UI에 이르기까지 전면적인 개편을 거쳤습니다. 노출된 자격 증명 검사, 계정 전체 구성, 페이로드 로깅 등 새로운 기능과 함께 악의적인 페이로드 차단 시 대기 시간과 효율성이 모두 개선되었습니다.
- DDoS 사용자 지정 가능한 관리형 규칙: Cloudflare는 내부 DDoS 완화 관리 규칙 중 일부를 사용자 지정 구성에 노출하여 긍정 오류를 더욱 줄이고 고객이 필요에 따라 임계값/탐지율을 높일 수 있도록 했습니다.
- 보안 센터: 인프라 및 네트워크 자산에 대한 Cloudflare의 관점과 함께 구성 누락 및 잠재적 보안 문제에 대한 경고 및 알림을 제공합니다.
- Page Shield: 고객 수요가 증가하고 최종 사용자 브라우저 환경에 초점을 맞춘 벡터 공격이 증가함에 따라, 악성 JavaScript가 앱 코드에 침투했을 때 언제든 감지할 수 있도록 지원합니다.
- API Gateway: 암호화 및 mutual TLS 인증(mTLS) 기능, API 보안이 내장된 Cloudflare 에지에서 직접 라우팅을 포함한 완전한 API 관리를 지원합니다.
- 머신러닝 WAF: Cloudflare의 WAF 관리형 규칙 집합을 보완하는 새로운 Cloudflare ML WAF 엔진은 귀사의 플랫폼에서 1(정상)에서 99(악성)까지 모든 요청을 점수화하여, 유효하거나 유효하지 않은 악의적인 페이로드 모두에 대한 추가적인 가시성을 제공함으로써 표적 공격을 감지하고 귀사의 앱을 스캔합니다.
앞으로의 전망
Cloudflare 로드맵에는 새로운 앱 보안 기능과 기존 시스템에 대한 개선 사항이 포함되어 있습니다. 인터넷에 대한 지식이 늘어날수록 Cloudflare가 귀사의 앱을 보호할 수 있는 역량도 강화되고 있습니다. 앞으로 더 많은 소식을 기대해 주세요.
Gartner, “Magic Quadrant for 웹 애플리케이션 및 API 보호”, 분석가: Jeremy D'Hoinne, Rajpreet Kaur, John Watts, Adam Hils, 2022년 8월 30일.
Gartner 및 Magic Quadrant는 Gartner, Inc. 및/또는 미국 및 해외 자회사의 등록 상표이며, 허가를 받아 본 문서에 사용됩니다. 모든 권리는 저작권자에게 있습니다.
Gartner가 연구 문서에서 특정 벤더, 제품 또는 서비스를 언급한 것은 추천을 의미하지 않으며, 최고 등급 또는 기타 지정을 받은 벤더만을 선택하도록 기술 사용자에게 조언하기 위함이 아닙니다.
Gartner의 연구 문서에 담긴 내용은 Gartner 연구팀의 의견에 해당하며, 이를 사실에 대한 진술로 해석해서는 안 됩니다. Gartner는 이 연구와 관련하여 상품성 또는 특정 목적에의 적합성에 대한 보증을 포함한 모든 종류의 명시적 또는 묵시적 보증을 부인합니다.