Embed Size (px)
Citation preview
백서
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 2
서론OWASP 상위 10대 리스크는 웹 애플리케이션에서 주로 관측되는 가장 일반적인 유형의 취약점
목록을 제공합니다. 주로 보안 벤더사가 만들어낸 일반적인 오해를 배제하기 위해 OWASP 상위 10
대 리스크에는 웹 애플리케이션 방화벽(WAF)을 통해 간단히 차단할 수 있는 공격 기법은 포함되어
있지 않습니다. 대신 애플리케이션 개발자가 고려해야 하는 일반적인 보안 취약점에 대한 경각심을
높이고, 이런 경각심을 다양한 개발 프로세스 전반으로 전파하며 안전한 개발 환경을 조성하는 것을
목적으로 합니다.
OWASP 상위 10대 리스크를 해결하려면 웹 애플리케이션 보안 측면에서 보안 벤더사와 기업의
역할을 정확히 파악해야 합니다. 일부 리스크 영역은 애플리케이션 개발자가 자체적으로 해결해야
합니다. 다수의 보안 벤더사는 일부 영역에서 도움을 줄 수 있지만, 일반적으로 취약점을 완벽히
해결하거나 최상의 결과를 도출하기는 어렵습니다. Akamai 솔루션은 상위 10대 리스크 해결에
적합한 인력, 프로세스, 기술 조합을 제공합니다.
OWASP 상위 10대 리스크를 적극 활용하려면 보안 벤더사가 기업의 개발 사례를 보완하고 개선하는
영역과 방법, 얼마나 많은 도움을 줄 수 있는지 파악해야 합니다. 아래 도표는 Akamai가 엣지 보안
솔루션,1 매니지드 서비스,2 보안 인텔리전트 엣지 플랫폼3을 통해 어떻게 지원하는지 설명합니다.
DDoS
DNS
위협 환경 봇
웹
A
PI
Prolexic 애널리틱스
Fast DNSAkamai Intelligent
Edge Platform™
API
프라이빗 클라우드 퍼블릭 클라우드
멀웨어 엣지 보안 Bot Manager
KSD
WAP
EAA
ETP
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 3
A1: 인젝션
영향: 심각 발생률: 중간 악용 가능성: 높음
SQL, NoSQL, OS, LDAP 인젝션 등과 같은 인젝션 취약점은 신뢰되지 않는 데이터가 명령어 또는 쿼리의 일부로 전송될
때 발생합니다. 공격자의 악성 데이터는 프로그램(interpreter)을 속여 의도하지 않은 명령어를 실행하거나 적절한 권한
없이 데이터에 접속하도록 만들 수 있습니다.
Akamai의 지원 방식WAF 보안 솔루션을 사용하여 인젝션 공격으로부터 웹 애플리케이션과 API를 보호할 수 있습니다. 이와 동시에 개발 주기를
기반으로 발견되지 않은 취약점을 모두 해결할 수 있도록 항상 웹 애플리케이션에 패치를 적용해야 합니다.
• Akamai WAF4는 기존의 룰을 통해 인젝션 공격을 광범위하게 차단합니다.
• 맞춤형룰이포함된가상패치는애플리케이션에패치를적용할때까지새로등장하는인젝션취약점이나애플리케이션
변경에따른새로운취약점을신속히해결하도록지원합니다.또한가상패치를자동화하여DevSecOps프로세스에
통합하고Akamai의OPENAPI기능을활용할수있습니다.
• Client Reputation5은 웹 공격자 카테고리에서 활동성이 높은 악성 클라이언트에 리스크 점수를 지정하여 인젝션 기반
공격을 식별하고 차단하도록 지원합니다.
• WAF의 페널티 박스(Penalty Box) 알림 모드를 활용하여 인젝션 기반 공격을 추가적으로 분석할 수도 있습니다.
A2: 잘못된 인증
영향: 심각 발생률: 중간 악용 가능성: 높음
인증 및 세션 관리와 관련된 애플리케이션 기능은 종종 잘못 구현되기 때문에 공격자가 암호, 키 또는 세션 토큰을
탈취하거나 기타 구현 취약점을 악용하여 임시 또는 영구적으로 다른 사용자의 신원 정보를 사용할 수 있습니다.
Akamai의 지원 방식이 취약점을 완벽하게 해결하려면 잘못된 인증 프로세스를 수정해야 합니다. 한편 Akamai는 이 취약점을 악용하려고
시도하는 다양한 공격 기법을 탐지하여 방어하도록 지원할 수 있습니다.
• Akamai WAF는 무차별대입(brute force) 공격을 처리할 수 있는 전송률 제어 기능을 제공합니다.
• 봇 관리 솔루션6은 크리덴셜 스터핑 공격에 사용되는 자동화 기법을 탐지하고 관리할 수 있습니다.
• Akamai 플랫폼7은 HTTP 쿠키를 암호화하여 쿠키 조작 및 수정을 방지함으로써 인증 프로세스를 강화합니다.
• EAA(Enterprise Application Access)8는 '최소 권한 접속 모델'을 통해 애플리케이션 접속 시 프록시를 통과하게 함으로써
애플리케이션 공격면을 최소화하는 동시에 이중 인중(2FA) 및 멀티팩터 인증(MFA) 기능으로 접속 보안을 강화합니다.
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 4
A3: 민감한 데이터 노출
영향: 심각 발생률: 높음 악용 가능성: 중간
대부분의 웹 애플리케이션 및 API는 금융·의료 정보, PII 등 민감한 데이터를 제대로 보호하지 못합니다. 공격자는 이와
같이 제대로 보호되지 않는 데이터를 탈취하거나 수정하여 신용카드 사기, 신원 정보 탈취 또는 기타 범죄를 저지를 수
있습니다. 민감한 데이터는 보관 또는 전송 중 암호화 같은 추가 보안 기능이 없으면 공격 대상이 되기 쉽고 브라우저에서
이를 주고받을 때 특별한 주의가 필요합니다.
Akamai의 지원 방식민감한 데이터 노출은 보호되지 않는 웹 페이지에서의 의도하지 않은 데이터 노출을 비롯하여 데이터의 전송·보관·공유
방식 등 수많은 측면과 관련이 있으며, 단일 보안 솔루션만으로는 완벽하게 해결할 수 없습니다. 다양한 솔루션을 활용해야
이 취약점의 몇 가지 측면을 해결하는 데 도움이 될 수 있습니다. 구체적인 사례는 다음과 같습니다.
• Akamai는 전송되는 민감한 데이터를 암호화하고 보호하며 보안이 강화된 Secure CDN을 통해서만 서비스함으로써
PCI 컴플라이언스를 준수하도록 지원합니다. 모든 브랜드의 SSL 인증서를 지원하고 고객의 프라이빗 키를 보호합니다.
• EAA(Enterprise Application Access)는 통신을 암호화하고 기밀 데이터를 네트워크의 해커들로부터 숨기는 방식으로
원격 접속을 보호할 수 있습니다.
• 또한 ICAP를 사용하여 민감한 데이터 유출을 추가적으로 방지하는 데이터 손실 방지(DLP) 솔루션과 통합할 수 있습니다.
• ETP(Enterprise Threat Protector)9는 민감한 데이터 노출을 예방합니다.
A4: XML External Entities(XXE)
영향: 심각 발생률: 중간 악용 가능성: 중간
제대로 설정되지 않거나 오래된 XML 프로세서는 XML 문서 내에서 외부 개체(external entity) 레퍼런스를 평가합니다.
외부 개체는 파일 URI 핸들러, 내부 파일 공유, 내부 포트 스캐닝, 원격 코드 실행, DoS(Denial-of-Service) 공격을 사용하여
내부 파일을 노출시키는 데 활용될 수 있습니다.
Akamai의 지원 방식• Akamai WAF에는 XML 분석기(parser)가 위험한 외부 개체를 처리하기 전에 XXE 공격을 탐지하여 차단하는 룰이
포함되어 있습니다.
• 또한 사전 정의된 포맷을 통해 XML 및 JSON을 검증하여 XXE 공격을 차단하는 데 사용할 수 있는 API 요청 제한이
포함된 API 보호 기능도 구현되어 있습니다.
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 5
A5: 잘못된 접속 제어
영향: 심각 발생률: 보통 악용 가능성: 보통
인증받은 사용자가 할 수 있는 작업 범위를 제한하지 않는 경우가 있습니다. 공격자는 이 취약점을 악용하여 권한이 없는
기능 및/또는 데이터에 접속할 수 있습니다. 즉, 다른 사용자의 계정에 접속하고, 민감한 파일을 확인하고, 다른 사용자의
데이터를 수정하며, 접속 권한을 변경하는 등 다양한 작업을 수행할 수 있습니다.
Akamai의 지원 방식이 취약점을 완벽하게 해결하려면 기업의 접속 제어 모델을 수정해야 합니다. Akamai는 이 취약점을 악용하려는 일부
공격 기법을 탐지하고 방어하도록 지원할 수 있습니다.
• EAA는 기업 사용자를 위한 최소 권한 접속 모델을 통해 인증된 사용자가 권한이 있는 애플리케이션에 접속하도록
허용함으로써 제로 트러스트 보안 모델을 지원합니다.
• API Gateway10는 API에 대한 인증을 적용하여 접속 제어를 강화합니다.
• Akamai WAF는 레퍼러(referrer) 확인을 통해 강력한 브라우저 공격을 차단합니다.
• Akamai 플랫폼은 HTTP 쿠키를 암호화하여 접속 제어를 강화합니다.
A6: 잘못된 보안 설정
영향: 중간 발생률: 높음 악용 가능성: 높음
잘못된 보안 설정은 가장 흔히 발생하는 문제입니다. 주로 안전하지 않은 기본 설정, 불완전/임시 설정, 오픈 클라우드
스토리지, 잘못 설정된 HTTP 헤더 또는 민감한 정보가 포함된 장황한 오류 메시지에 따른 결과입니다. 모든 운영 체제,
프레임워크, 라이브러리, 애플리케이션은 보안 설정이 필요할 뿐 아니라 시기적절하게 패치를 적용하고 업그레이드해야
합니다.
Akamai의 지원 방식정의에 따르면 잘못된 보안 설정은 (a) 애플리케이션 보안의 여러 측면과 관련이 있으며 (b) 조직에서 보안 제어를 적절히
설정하는 단계가 필요합니다. Akamai는 적절한 설정을 대체할 수는 없지만 데이터 유출 차단을 직접 지원할 수 있습니다.
• Akamai WAF에는 잘못된 보안 설정으로 노출되는 소스 코드와 오류 메시지 등의 정보 유출을 파악할 수 있는 아웃바운드
비정상 공격 그룹이 포함되어 있습니다.
• 맞춤형 룰이 포함된 가상 패치는 애플리케이션에 패치를 적용할 때까지 탐지된 데이터 유출을 신속히 해결하도록
지원합니다.
• 기본 인증 정보를 사용한 무차별대입 공격은 전송률 제어를 통해 방어할 수 있습니다.
• 콘텐츠 보안 정책 헤더의 취약한 보안 설정은 Akamai 플랫폼에서 강화할 수 있습니다.
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 6
A7: 크로스 사이트 스크립팅(XSS)
영향: 중간 발생률: 높음 악용 가능성: 높음
XSS 취약점은 애플리케이션이 (a) 적절한 검증 또는 이스케이프 처리 없이 새 웹 페이지에서 신뢰되지 않는 데이터를
사용하거나 (b) HTML 또는 JavaScript를 생성할 수 있는 브라우저 API를 사용하여 사용자 제공 데이터로 기존 웹 페이지를
업데이트할 때마다 발생합니다. 공격자는 XSS를 활용하여 공격 대상의 브라우저에서 스크립트를 실행하는 방식으로
사용자 세션을 가로채고 웹사이트를 변조하거나 악성 사이트로 사용자를 리디렉션합니다.
Akamai의 지원 방식WAF 보안 솔루션을 사용하여 XSS 취약점으로부터 웹 애플리케이션을 보호할 수 있습니다. 이와 동시에 개발 주기를
기반으로 발견되지 않은 취약점을 모두 해결할 수 있도록 항상 웹 애플리케이션에 패치를 적용해야 합니다.
• Akamai WAF 제품에는 기본적으로 XSS 공격을 식별하고 차단하기 위해 사전 정의된 XSS WAF 룰이 포함되어 있습니다.
• 맞춤형 룰이 포함된 가상 패치는 애플리케이션에 패치를 적용할 때까지 새로 등장하는 XSS 취약점이나 애플리케이션
변경에 따른 신종 취약점을 신속히 해결하도록 지원합니다.
• Client Reputation은 웹 공격자 카테고리에서 악성 클라이언트에 리스크 점수를 지정하여 XSS 기반 공격을 차단하도록
지원합니다.
• Akamai 플랫폼은 보안 응답 정책 헤더를 즉각적으로 설정하여 XSS 공격을 방어합니다.
A8: 안전하지 않은 역직렬화(deserialization)
영향: 심각 발생률: 중간 악용 가능성: 낮음
안전하지 않은 역직렬화는 주로 원격 코드 실행으로 이어집니다. 원격 코드 실행으로 이어지지 않더라도 반복 공격, 인젝션
공격, 권한 에스컬레이션 공격 등 다양한 공격을 수행하는 데 사용할 수 있습니다.
Akamai의 지원 방식WAF 보안 솔루션을 사용하여 안전하지 않은 역직렬화 공격으로부터 웹 애플리케이션과 API를 보호할 수 있습니다. 이와
동시에 개발 주기를 기반으로 발견되지 않은 취약점을 모두 해결할 수 있도록 항상 웹 애플리케이션에 패치를 적용해야
합니다.
• Akamai WAF 룰은 역직렬화 공격을 탐지합니다.
• 맞춤형 룰이 포함된 가상 패치는 애플리케이션에 패치를 적용할 때까지 새로운 역직렬화 취약점을 신속히 해결하도록
지원합니다.
• Akamai WAF에는 악의적인 XML과 JSON을 필터링하여 제거할 수 있도록 허용 가능한 XML 및 JSON 오브젝트 포맷을
정의하는 포지티브 보안 모델 기반의 API 보호 기능이 포함되어 있습니다.
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 7
A9: 알 수 없는 취약점이 존재하는 구성요소 사용
영향: 중간 발생률: 높음 악용 가능성: 중간
라이브러리, 프레임워크, 기타 소프트웨어 모듈 같은 구성요소는 애플리케이션과 동일한 권한으로 실행됩니다. 보안에
취약한 구성요소가 악용되면 심각한 데이터 손실 또는 서버 장악으로 이어질 수 있습니다. 알 수 없는 취약점이 존재하는
구성요소를 사용하는 애플리케이션과 API는 애플리케이션 방어 체계를 약화시켜 다양한 공격에 노출되고 비즈니스에
악영향을 미칠 수 있습니다.
Akamai의 지원 방식개발 시간과 비용을 단축하기 위해 널리 사용되는 써드파티 구성요소는 애플리케이션에 취약점이 발생할 수 있는 가장
일반적인 엔트리 포인트입니다. 써드파티 구성요소에는 몇 가지 리스크가 존재합니다. 조직은 추적 기능을 상실하고
보안팀은 애플리케이션 내에서 어떤 써드파티 구성요소가 사용되는지 전혀 파악하지 못합니다. 이 밖에도 많은 기업들은
써드파티 개체에 의해 새로 발견된 취약점을 언제 얼마나 빨리 해결할 수 있는지 관리하는 능력이 부족합니다. 시기적절하게
애플리케이션에 패치를 적용하는 것이 어렵거나 불가능할 수 있기 때문에 WAF 같은 보안 솔루션을 사용해야만 합니다.
• Akamai WAF에는 애플리케이션이나 써드파티 구성요소를 가리지 않고 알려진 취약점을 해결하도록 설계된 다양한
룰이 포함되어 있습니다.
• 맞춤형 룰이 포함된 가상 패치는 애플리케이션에 패치를 적용할 때까지 새로 등장하는 취약점이나 애플리케이션 변경에
따른 신종 취약점을 신속히 해결하도록 지원합니다.
• Akamai WAF는 알려진 취약점을 악용하는 공격으로부터 써드파티 구성요소용 API를 방어하는 API 보호 기능을
제공합니다.
• Client Reputation은 웹 스캐닝 카테고리에서 악성 클라이언트에 리스크 점수를 지정하여 새로운 취약점 악용을
차단하도록 지원합니다.
A10: 불충분한 로깅 및 모니터링
영향: 중간 발생률: 높음 악용 가능성: 중간
인시던트 대응과의 미통합 또는 비효과적인 통합과 더불어 불충분한 로깅과 모니터링은 공격자가 시스템을 추가적으로
공격하고 지속적으로 공격하며 더 많은 시스템을 타겟으로 하고 데이터를 무단으로 변경·추출·파괴할 수 있는 원인을
제공합니다. 대부분의 유출 연구에서 유출을 탐지하는데 걸리는 시간은 보통 200일이 넘으며, 일반적으로 내부 프로세스
또는 모니터링 대신 외부 당사자에 의해 탐지된다는 점이 밝혀졌습니다.
Akamai의 지원 방식불충분한 로깅과 모니터링은 그 자체로는 취약점을 의미하지는 않지만, 취약점 및 악용 시도를 해결하는 기업의 능력
차이를 나타냅니다. Akamai는 다음을 비롯한 여러 기능을 통해 모든 공격에 대한 탁월한 가시성을 제공합니다.
• Akamai는 Luna Control Center11 그래픽 사용자 인터페이스 내에서 대시보드와 리포팅 툴을 제공합니다.
• Akamai 솔루션은 조직의 기존 SIEM 인프라에 통합되어 Akamai에서 탐지한 이벤트를 다른 보안 벤더사의 이벤트와
통합합니다.
Akamai가 보안을 강화하고 OWASP 상위 10대 리스크를 해결하는 방법 8
• Akamai 매니지드 보안 서비스는 24시간 연중무휴 분석과 대응 능력을 제공합니다.
• Akamai WAF에는 추가적인 심층 분석을 위해 의심스러운 세션의 포괄적인 로깅을 지원하는 페널티 박스(Penalty Box)
기능이 포함되어 있습니다.
• Akamai Enterprise Application Access는 모든 엔터프라이즈 애플리케이션에 대한 접속을 인증 및 제어하는 통합 ID
관리 솔루션을 제공합니다. 이 솔루션은 ID 인지 프록시 기능과 결합되어 모든 GET/POST 동작은 물론 사용자 동작에
대한 세분화된 정보를 확보하도록 지원합니다.
• Akamai Enterprise Threat Protector는 기업에서 비롯되는 외부 DNS 요청(악성 및 정상 모두 포함)에 대한 완벽한
가시성을 제공합니다.
결론OWASP 상위 10대 리스크에 대한 최상의 방어는 기업과 보안 서비스 사업자가 긴밀한 협력을 통해 인력, 프로세스, 기술
조합을 정비하여 강화할 때 실현될 수 있습니다. Akamai는 고객의 프로세스 최적화를 위해 업계 최고의 기술은 물론 풍부한
경험을 갖춘 지원 인력을 제공합니다. Akamai의 엣지 보안 포트폴리오에 관한 자세한 정보는 자사 웹사이트에서 확인할 수
있습니다. Akamai와의 파트너십을 통해 완벽한 비즈니스 보호 체계를 구축하는 방법에 대해 알아보고 이에 관한 논의를
진행하고 싶으신 경우 Akamai 영업 담당자에게 연락하시기 바랍니다.
출처
1. 엣지 보안
2. 서비스 및 지원
3. Akamai Intelligent Edge Platform™
4. KSD(Kona Site Defender) 및 WAP(Web Application Protector)
5. Client Reputation
6. Bot Manager
7. 보안 CDN
8. Enterprise Application Access
9. Enterprise Threat Protector
10. API 게이트웨이
11. Luna Control Center
Akamai는 전 세계 주요 기업들에게 안전하고 쾌적한 디지털 경험을 제공합니다. Akamai의 Intelligent Edge Platform은 기업과 클라우드 등 모든 곳으로
확장하고 있고 고객의 비즈니스가 빠르고, 스마트하며, 안전하게 운영될 수 있도록 지원합니다. 대표적인 글로벌 기업들은 Akamai 솔루션을 통해 멀티
클라우드 아키텍처를 강화하고 경쟁 우위를 확보하고 있습니다. Akamai는 가장 가까운 곳에서 사용자에게 의사 결정, 앱, 경험을 제공하고 공격과 위협을
먼 곳에서 차단합니다. Akamai 포트폴리오는 엣지 보안, 웹∙모바일 성능, 엔터프라이즈 접속, 비디오 전송 솔루션으로 구성되어 있고 우수한 고객 서비스,
애널리틱스, 24시간 연중무휴 모니터링 서비스를 제공합니다. 대표적인 기업과 기관에서 Akamai를 신뢰하는 이유를 알아보려면 Akamai 홈페이지
(www.akamai.co.kr) 또는 블로그(blogs.akamai.com)를 방문하거나 Twitter에서 @Akamai를 팔로우하시기 바랍니다. 전 세계 Akamai 연락처 정보는
www.akamai.com/locations에서 확인할 수 있습니다. Akamai 코리아는 서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는
02-2193-7200입니다. 2018년 11월 발행.
