Home 방법 모든 개발자가 물어야 할 다섯 가지 보안 질문
Applications

모든 개발자가 물어야 할 다섯 가지 보안 질문

About The Author

Outline

개발 팀은 인터넷에 연결된 애플리케이션의 보안에 중요한 역할을 합니다. 이러한 팀이 직면하는 가장 큰 위협은 악의적 공격자이지만, 비즈니스, 엔지니어링 및 보안 영역 전반에 걸쳐 기능 및 비기능 요구 사항의 균형을 유지하면서 보안 수정을 구현하는 데 있어 내부적인 과제에 직면하기도 합니다. CI/CD 자동화 덕분에 개발 팀이 코드를 릴리스할 수 있는 속도가 빨라짐에 따라 개발 및 릴리스 주기 프로세스에서 보안 프로세스와 도구를 완전히 통합하는 것이 매우 중요하다는 점도 강조되고 있습니다. 다음은 애플리케이션 보안 요구 사항에 대한 인식을 높이고 비즈니스에 영향을 미치는 웹 애플리케이션 보안 이벤트의 위험을 줄이는 다섯 가지 보안 질문입니다.

1. 내 응용 프로그램 코드의 취약점을 어떻게 식별하고 수정할 수 있습니까?

‍Dynamic(DAST), 정적(SAST) 및 대화형 애플리케이션 보안 테스트 툴은 웹 애플리케이션의 취약점을 찾는 데 도움이 됩니다. DAST 및 SAST 도구는 런타임의 약점을 다양한 방식으로 찾는 데 도움이 됩니다. DAST는 웹 애플리케이션에 대한 공격(예: 크로스 사이트 스크립팅)을 시도하는 반면 SAST 도구는 소스 코드에서 안전하지 않은 방법(예: 초기화되지 않은 변수)을 찾습니다. CI/CD(Continuous Integration/Continuous Deployment) 파이프라인에서 이 두 가지를 모두 사용하면 devsecops 프로세스의 일부로 결함을 발견하는 데 도움이 됩니다.

일부 소스 제어 리포지토리는 CI 관행과 통합되어 각 변경 사항에 대한 보안 검사를 실행할 수 있습니다. 리포지토리는 CI Practice가 모든 변경 요청의 일부로 SAST를 수행하도록 요구할 수 있습니다. 스캔에서 보안 결과를 보고하는 경우 저장소에서 변경 요청의 승인을 차단할 수 있습니다. 이러한 검사를 수동 또는 자동으로 수행하는 팀은 보안 위험을 크게 줄일 수 있습니다. 마찬가지로 CD는 새 코드를 배포하는 동안 DAST 스캔을 포함할 수 있습니다.

또한 SCA(Software Composition Analysis) 도구를 사용하여 오픈 소스 또는 타사 라이브러리의 취약점을 검사하고 식별하여 문제를 해결할 수 있습니다. 마이크로서비스 및 API를 활용하는 컴포저블 또는 프로그레시브 웹 앱이 점점 보편화됨에 따라 API에 대한 적절한 보호도 매우 중요합니다. 여기에는 API 검색, JSON 스키마 유효성 검사, 속성 유형 및 속성 값의 무결성이 공격자에 의해 손상되지 않도록 하는 체크포인트가 포함됩니다. API 게이트웨이 솔루션을 활용하여 API에 대한 무단 액세스를 방지하고 타사 스크립트 보호 기능은 모두 악의적인 활동과 Magecart 스타일의 공급망 공격을 방지하는 데 중요한 역할을 합니다.

스캔은 많은 결과를 가져올 수 있습니다. 취약성 관리 시스템의 도움을 받더라도 이들 모두를 평가하고 우선 순위를 정하는 데는 시간이 걸립니다. 웹 응용 프로그램 및 API 보호(WAAP)를 사용하면 팀에서 픽스의 우선 순위를 지정하고 적용하는 동안 취약점을 완화하기 위한 즉각적인 조치를 취할 수 있습니다.

또한 WAAP로 보호되는 웹 앱 또는 API에 대해 DAST 스캔을 실행하면 앱의 전반적인 보안 상태를 개선할 수 있습니다. WAAP가 중지하지 못한 공격은 추가 세부 조정을 위해 보안 팀에서 식별할 수 있습니다. WAAP에 포함된 규칙이 DAST 검사에서 얻은 결과를 완화하지 못할 경우 사용자 지정 WAAP 규칙을 작성하고 배포하여 특정 결과를 해결할 수 있습니다. 팀은 더 이상 이러한 위협을 완화하기 위해 보안 패치나 임박한 공격을 기다릴 필요가 없습니다.

2. 기술 스택의 취약점을 어떻게 식별하고 수정할 수 있습니까?

‍Modern 웹 애플리케이션 기술 스택은 웹 및 데이터베이스 서버와 웹 개발 프레임워크와 같은 많은 구성 요소로 구성됩니다. 일부 구성 요소는 플러그인, 확장 프로그램 및 추가 기능을 통해 확장할 수 있습니다. 각 타사 구성 요소의 인벤토리를 확보하고 중요한 보안 패치를 이해하고 적용하는 것은 모든 응용 프로그램 보안 프로그램에 포함되어야 합니다. 그러나 중요한 패치는 개발 스프린트가 필요한 응용 프로그램 코드를 변경하지 않으면 적용할 수 없는 경우가 있습니다.

소프트웨어 및 시스템의 패치되지 않은 취약점은 사이버 범죄자들에게 매우 흔한 공격 벡터입니다. IBM에 따르면 2022년 전 세계 데이터 침해로 인한 평균 비용은 미화 435만 달러를 초과했으며 침해를 완전히 해결하는 데 걸리는 시간은 대개 몇 달 만에 측정됩니다. 소프트웨어 패치를 사용하면 조직이 알려진 보안 취약점을 해결하는 데 더 많은 시간을 할애할 수 있습니다. 웹 응용 프로그램 팀은 매월 또는 소프트웨어 릴리스가 있을 때마다 정기적으로 소프트웨어 패치를 테스트하고 적용해야 합니다. 이렇게 하면 결함이 존재하는 시간과 공격자가 이를 악용하는 데 걸리는 시간이 줄어듭니다. 약점이 오래 남아있을수록 악의적인 공격자가 약점을 악용할 가능성이 커집니다.

포괄적인 응용 프로그램별 보안 규칙 세트, 보다 일반적인 OWASP 규칙 및 코너 케이스를 해결하는 유연한 사용자 지정 규칙을 갖춘 WAAP는 개발 팀이 즉각적인 수정 사항(‘가상 패치’라고도 함)을 적용하여 악용을 방지하고 응용 프로그램 코드를 패치 및 업데이트할 수 있는 여유를 제공합니다. 또한 보안 팀은 중요한 운영 체제 파일 및 경로에 대한 액세스를 자동으로 또는 쉽게 차단하는 WAAP 솔루션을 고집해야 합니다.

스테이징 또는 QA 환경에서 WAAP를 실행하면 특정 WAAP 구성이 공격을 막을 수 있는지 여부를 파악할 수 있지만 실제 프로덕션 웹 트래픽에 대해 WAAP를 실행하는 대신 WAAP를 실행할 수는 없습니다. Akamai의 듀얼 WAAP 모드 기능을 통해 보안 팀이 프로덕션 트래픽에 대한 새로운 WAAP 규칙을 테스트하여 새로운 위협을 차단하고 대폭 단축하는 데 필요한 관찰 능력과 제어 능력을 제공하는 방법을 알아보십시오.

3. 보안 이벤트가 서버 용량에 미치는 영향은 무엇입니까?‍

서버 용량과 클라우드 비용의 균형을 맞추는 것은 고객 경험과 비즈니스 요구 간의 균형입니다. 그러나 불법 사용자를 수용하기 위해 서버 용량을 할당하는 것이 최선의 방법은 아닙니다.

2022년 여름과 가을에 일본 정부 기관 및 미국 공항 웹사이트를 대상으로 한 Killnet과 같은 APT(Advanced Persistent Threat)로 인한 주요 DDoS 공격의 위협이 여전히 존재하지만, 멀티 Gbps 범위의 공격이 훨씬 더 일반적입니다. NETSCOUT에 따르면DDoS 공격은 3초마다 한 번씩 발생합니다. 대역폭을 사용하여 DDoS 공격을 측정하는 것 외에도 요청 속도(즉, 초당 요청 수(RPS) 또는 초당 백만 패킷 수(Mpps))는 애플리케이션 인프라 보호에 있어 똑같이 중요한 고려 사항입니다. 웹 애플리케이션을 공격하는 스캐너나 봇넷에서 발생하는 이러한 보안 이벤트는 뉴스를 만들지는 않지만 고객의 사이트 경험에 영향을 줄 수 있습니다.

트래픽 속도를 제한하고 중요한 엔드포인트에 대한 공격을 완화하기 위해 세분화된 기능을 갖춘 클라우드 기반 WAAP를 활용하면 웹 애플리케이션에 영향을 미치기 전에 이러한 원치 않는 트래픽을 대부분 필터링하여 실제 사용자의 서버 용량을 유지할 수 있습니다.

4. 준수해야 할 준수 요구 사항이 있습니까?

‍Depending 귀사의 산업 및 애플리케이션 유형에 따라 해당 신청서는 업계 규정을 준수해야 할 수 있습니다. 사이트에서 신용 카드 결제를 처리하는 경우 PCI를 준수해야 합니다. 애플리케이션에서 사용하고 보존하는 데이터의 민감한 특성으로 인해 기업은 SOC 2 규정을 준수해야 할 수 있습니다. 이러한 규정 중 상당수는 WAAP를 사용해야 합니다.

해당 업계 규정이 없는 경우에도 업계 모범 사례 및 지침을 따르는 것을 고려할 수 있습니다. 인터넷 보안 컨트롤 센터 또는 잘 설계된 AWS 프레임워크를 사용할 수 있습니다. 둘 다 악성 웹 트래픽을 검사하고 필터링할 수 있기 때문에 WAAP 사용을 권장합니다.

5. 내 앱 업데이트 / 해체 프로세스는 무엇입니까?

‍Applications 이전 기술 스택에 구축 된 것은 업데이트 또는 폐기 되어야 합니다. 기술 스택이 유지 관리되지 않으면 많은 기업에서 더 이상 오래된 애플리케이션 코드를 수정할 수 없습니다. 보안과 비즈니스 요구 간의 균형을 유지하려면 임시 솔루션이 필요할 수 있습니다. 포괄적인 DAST 검사와 필요한 경우 적절한 사용자 지정 규칙으로 신중하게 조정된 WAAP를 실행하면 웹 응용 프로그램을 업그레이드하거나 폐기할 때까지 안전하게 실행할 수 있습니다.

‍Have 더 많은 질문?

‍Securing 웹 애플리케이션은 보안, 엔지니어링 및 비즈니스 이해 관계의 균형을 맞추는 중요한 작업입니다. 때로는 이러한 이해관계가 충돌하여 개발자가 조치를 취하기가 어렵습니다.

WAAP는 이러한 격차를 줄이는 데 도움이 되며, 팀은 위협의 우선 순위를 지정하고 CI/CD 파이프라인에 수정 사항을 구현합니다. Akamai의 강력하고 비용 효율적인 WAAP 인사이트는 WAAP 채택의 장벽을 낮췄습니다.

웹 보안 강화에 대한 모든 질문과 WAAP 인사이트 관련 답변을 받으려면 문의해 주십시오.