WAPPLES은 지능적인 논리분석 엔진을 기반으로 하는 전혀 새로운 개념의 WAF(Web Application Firewall)이다. WAPPLES은 근본적으로 Web Application 보안의 이념에 충실하게 설계됨으로써 WAF의 3세대 진보를 이루며 기존 WAF들의 한계를 극복했다.

WAPPLES을 이용한 웹 애플리케이션 보안은 견고하고 정확하며 편리하고 빠르며 효율적이다. 24개의 탐지 Rule을 기반으로 알려지지 않은 새로운 유형의 공격도 방어할 수 있고 False Positive 가능성이 0%에 가깝다. 또한 관리자에 의해 패턴이 지속적으로 관리 및 추가될 필요가 없고 웹 애플리케이션이 변화할 때마다 정책을 변경할 필요도 없다. 공격 유형별로 패턴이 추가되는 형태가 아니기 때문에 항상 일정한 성능을 유지할 수 있는 것도 장점이다.

Why WAPPLES is Intelligent

WAPPLES은 Web Application의 특수성을 반영하여 근본적으로 새로운 개념을 바탕으로 설계된 WAF이다. 1세대, 2세대 WAF는 positive/negative의 두 가지 보안 방식을 유기적으로 결합하지 못하고 단순히 병용하는 수준에 머무름으로써 WAF을 지능화하는데 실패했다. 하지만 지능형 논리 분석 엔진(COCEP 엔진)을 탑재한 WAPPLES은 positive/negative 보안 방식을 유기적, 화학적으로 결합하여 웹 트래픽의 공격성 여부를 스스로 판단하고 대응한다. 이제 ‘안전하고 편리하며 효율적인 웹 애플리케이션 보안’은 3세대로 진보한 지능형 WAF WAPPLES로 달성할 수 있다.

● COCEP Engine

기존 WAF의 기반 구조는 패턴 매칭 엔진이었다. 하지만 WAPPLES의 중추는 웹 트래픽을 분석하고 rule들의 동작을 컨트롤하는 COCEP 엔진이다. COCEP 엔진은 WAPPLE의 지능형 논리 분석 엔진으로, 인간의 사고구조와 동일한 방식으로 웹 트래픽을 분석하여 공격성 여부를 판단한다. 이 엔진은 공격 논리를 스스로 유형화하여 보유하고 있으므로 다양한 판단 기준과 조건을 통해 웹 트래픽의 위험성을 확인할 수 있다. 웹 트래픽이 논리 분석 엔진에 유입되면 해당 트래픽이 규약을 준수하고 있는지, 위험성이 있는지 등에 대해 체계적인 심사가 이루어진다. 트래픽은 애플리케이션 수준에서 그 내용이 분석되어 COCEP 엔진을 구성하는 핵심 요소인 24개의 Rules들을 거치게 된다.

● 24 Detection Rules

WAPPLES의 COCEP 엔진은 24개의 rule들로 구성된다. 각 rule은 다양한 공격 유형에 대한 논리적 분석을 수행하고 그에 대응하는 메커니즘으로 구성되어 있다. 이러한 논리적 분석과 대응은 개별 룰에 내재된 10개 이상의 조건들을 거치는 과정에서 이루어진다.

각 조건들은 black list 방식과 white list 방식을 융합적, 또는 개별적으로 사용하며 이 조건들이 통합된 Rule에 의해 지능적이고 종합적인 공격성 판단이 구현된다. 따라서 WAPPLES을 이용하면 각 Rule들의 적용여부와 대응 수위를 결정하는 것만으로 간편하게 보안정책을 수립할 수 있다. 이렇게 수립된 정책은 기존의 WAF에서와 달리 application의 수정과 공격방식의 발전이 있을 경우에도 수정할 필요가 없는 long-term policy가 된다. 기존의 WAF에서는 공격 논리를 사람이 판단하여 패턴 매칭 DB에 등록해야 했으나 WAPPLES은 공격 논리 분석과 판단을 스스로 수행하기 때문이다.

The strong points of WAPPLES

새로운 개념에서 출발한 지능형 WAF인 WAPPLES은 이전 세대 WAF의 단점들을 근본적으로 해결해 준다. WAF이 자체적인 논리 분석을 통해 웹 공격을 탐지하고 대응한다는 것은 Web Application 보안에 있어 많은 강점을 가져오기 때문이다.

● Solid and Accurate WAF

WAPPLES을 이용한 공격 탐지는 매우 견고하며 정확하다. 2세대까지의 WAF은 새로운 유형 또는 변조된 유형의 공격에 즉각적으로 대응할 수 없었다. 새로운 공격이 등장하면 사람이 공격 논리를 분석하여 해당 패턴을 업데이트해야 했기 때문이다. 하지만 WAPPLES은 스스로 트래픽의 논리를 분석하여 공격을 탐지하므로 신규 공격을 즉각적으로 탐지하고 차단할 수 있다.

한편 기존의 WAF로 강화된 보안 수준을 확보하기 위해서는 등록하는 패턴의 범위를 넓혀야만 했고 이는 필연적으로 false positive의 가능성을 높여 서비스 운영의 어려움을 가져왔다. 하지만 rule들에 입각한 WAPPLES의 분석 엔진은 white list 방식과 black list 방식이 융합된 다양한 판단 기준을 통해 false positive 가능성을 0%까지 낮추고 있다.

● Fast WAF

2세대까지의 WAF은 꾸준한 패턴 업데이트가 필요한데, 패턴 수의 증가는 필연적으로 성능의 저하를 가져온다. 수많은 변형 공격들과 새로운 공격 유형이 등장하는 웹 환경에서 기존 WAF들은 실제로 안정적인 성능을 제공하지 못하고 있다. 제품의 이론적인 성능 수치가 실 환경에서 제대로 구현되지 못하는 것이다. 하지만 WAPPLES은 패턴 추가가 필요하지 않아 성능의 저하가 발생할 여지가 없다.

또한 WAPPLES의 지능화된 엔진은 근본적으로 높은 성능을 제공할 수 있는 구조를 가지고 있다.

기존의 WAF들은 웹 트래픽의 내용을 수많은 패턴과 일일이 비교해야 하지만 WAPPLES은 웹 트래픽이 각 rule들을 통과하는 과정에서 탐지 및 대응이 완료되기 때문이다. 특히 탐지 rule들이 COCEP 엔진 내에 최적화 배열되어 있어 부적절한 트래픽을 빠르게 drop함으로써 추가적인 성능 향상을 실현하고 있다.

● Stable WAF

WAPPLES을 이용하면 안정적인 Web Application 보안이 가능하다. 기존 WAF에서는 Web Application이 수정될 경우 사람의 판단에 의해 정책이 변경되어야 했고 그에 따라 항상 안정적인 보안 수준을 확보하는 것이 어려웠다. 2세대의 WAF이 white list를 자동 생성하는 기능을 제공했음에도 불구하고 해당 기능은 현실적으로 적용되기가 어려워 오히려 보안수준의 저하를 가져오기도 했다. 하지만 WAPPLES은 설치시 설정하는 간편한 정책이 long-term policy에 해당하므로 정책 변경과 관리 없이 일정한 보안 수준을 유지할 수 있다.

한편, 기존의 WAF은 보안관리자와 엔지니어의 개별 역량에 따라 그 기능에 차이가 발생할 가능성이 있었다.웹 공격에 대한 로직 분석과 패턴 관리, 정책 설정을 사람이 수행해야 했기 때문이다(2세대 WAF에서 제공되는 자동화 기능도 여전히 관리자의 수동 설정을 필요로 했다).

하지만 WAPPLES에서는 각 rule의 적용여부와 보안 수준을 결정하는 것만으로 까다로운 웹 보안 정책을 쉽게 수립할 수 있으므로 관리자, 또는 엔지니어의 역량과 관계없이 그 기능을 안정적으로 100% 발휘할 수 있다.

● Easy WAF

WAPPLES은 설치와 운영이 매우 쉽다는 점에서 이전 세대의 WAF와 크게 차별화된다. 웹 보안에 대한 지식이 전무한 관리자도 매뉴얼을 이용하여 WAPPLES을 쉽게 설치하고 운영할 수 있다.

이는 각종 설정과 통계기능이 직관적인 GUI로 제공된다는 점만 아니라, WAPPLES의 근본적인 구조가 관리의 어려움을 수반하지 않기 때문이다.

각 Rule들의 적용여부와 대응수준을 결정하는데 웹 공격에 대한 깊은 이해가 필요하지 않으므로 전문가가 아니라도 개별 Application에 대해 적절한 보안정책을 수립할 수 있다.

또한 Application이 수정되거나 새로운 유형의 공격이 등장할 때에도 WAPPLES에서는 특별한 설정의 변경이 필요치 않다. WAPPLES의 보안정책은 기본적으로 long-term policy에 해당하므로 보안 수준의 변경을 원할 때만 각 rule의 설정을 변경해 주면 된다.

<글 : 정보보호21c편집부> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>