웹 애플리케이션 보안의 격차
서로 다른 보안으로 위험이 발생하는 원리
회사 A와 회사 B의 이야기
서로 다른 것처럼 보이는 웹 애플리케이션과 API 보안 접근 방식에 미묘하지만 중대한 결함을 공유하고 있는 회사 A와 회사 B의 이야기입니다. 이 결함으로 인해 두 회사에는 데이터 유출(관련된 모든 부정적인 결과 포함)이 발생했습니다.
회사 A는 가장 안전한 API 보호 기능을 갖추고 있습니다. 스키마 위반을 모두 차단하고 과도한 요청 속도를 제한하며 최신 위협 인텔리전스를 사용해 알려진 악성 IP 주소를 차단 목록에 추가합니다. 비밀번호 기반 API 인증을 mutual TLS로 대체한다면 더 안전할 수 있지만 아직 침해가 발생한 적은 없습니다.
하지만 이 회사의 API 보안, 위협 인텔리전스 피드, WAF는 모두 서로 다른 벤더의 제품입니다. 또한 벤더가 업데이트를 수행하면서, API 보안에 대한 정보를 제공하는 위협 인텔리전스가 계정 로그인 페이지를 보호하는 WAF와 호환되지 않게 되었습니다. 그 결과 공격자는 이 페이지에서 새로운 SQL 삽입 악용을 사용하여 합법적인 사용자의 이름과 비밀번호를 알아낼 수 있습니다. 이름과 비밀번호를 알아낸 공격자는 스키마 유효성이 검증되었으며 인증된 요청을 API로 전송하여 중요한 데이터를 상당량 획득합니다.
한편 회사 B의 웹 애플리케이션은 DDoS 공격으로부터 완벽하게 보호되고 있습니다. 회사 B는 회사 B의 애플리케이션과 통합하려는 유료 사용자에게 API를 공개하고 있기도 합니다.
공격자는 다크 웹에서 합법적인 유료 사용자의 API 키를 구매합니다. 공격자는 이 키를 이용하여 회사 B의 API 서버에 낮고 느린 DDoS 공격을 시작합니다. 공격자는 불규칙한 간격으로 요청을 전송하는 봇을 활성화합니다. 봇은 허용되는 API 키를 사용하여 각 API 요청을 전송하므로, API 서버에서는 이러한 요청을 합법적인 것으로 받아들입니다. 안타깝게도 회사 B의 백엔드 팀은 다른 모든 서버를 보호하고 있었지만, DDoS 완화 공급자를 통해 API 서버를 프록시하는 것을 잊었습니다.
요청이 서로 쌓이면서 API 서버에 과부하가 걸려 결국 회사 B의 다른 사용자에게 서비스를 제공할 수 없게 도비니다. 실망감을 느낀 많은 사용자들이 유료 계정을 취소합니다.
회사 A와 회사 B의 공통점은 무엇이었나요?
서로 다른 솔루션으로 인한 누락 및 격차 발생
이 예시에서 두 회사의 웹 애플리케이션과 API 보안 접근 방식은 여러 벤더의 솔루션을 여러 가지 짜깁기한 것이었습니다. 솔루션이 통합되지 않았으며 수동 오류가 발생하기 쉬웠습니다.
이것이 문제가 되는 이유를 이해하려면 웹 애플리케이션과 API 보안 프레임워크의 일반적인 구성 요소를 떠올려보세요.
WAF: 웹 애플리케이션과 웹 자산에 대한 공격 차단
봇 관리: 인증 질문이나 악의적으로 의심되는 봇 차단 대응
DDoS 완화: 볼류메트릭 공격이나 낮고 느린 공격 등 어떠한 종류의 DDoS 공격이 발생하더라도 웹 자산을 온라인 상태로 유지
API 보호: API 레이트 리미팅, 스키마 유효성 검사, 인증 등을 포함
회사 A와 회사 B는 이러한 보호 기능을 모두 도입했습니다. 하지만 동급 최고의 웹 애플리케이션 보안 솔루션 제품이었는데도, 서로 달라 공격자가 악용할 수 있는 결함이 있었습니다.
회사 A의 경우 WAF와 API 보호를 통합하지 않고 계층화했기 때문에 공격을 겪고 이를 차단해야 했습니다. 한 쪽에서 차단할 수 있는 공격이 다른 쪽을 통해 빠져나갈 수 있었습니다. 회사 B의 DDoS 방어 기능은 API 인프라를 보호하지 못했고, 봇 관리는 봇에서 발생한 API 요청을 감지하지 못했으며, 인증이 취약하여 쉽게 손상되었습니다.
잠재적인 격차의 일부 예시에 불과합니다. 웹 애플리케이션 보안에는 다음과 같은 일반적인 격차가 있습니다.
제한된 위협 인텔리전스: 최신 위협 인�텔리전스가 아니거나 올바른 위치에 있지 않거나 형식이 호환되지 않습니다. 이 격차는 회사 A에서 발생했습니다.
위협 인텔리전스 출처가 너무 많음: 긍정 오류, 중복, 기타 비효율성이 발생합니다.
봇 긍정 오류: 사용자를 실망시키고 서비스 속도가 느려지며 시행 조치가 느슨해질 수 있습니다.
경고 피로: 2025년 Ponemon Institute 연구에 따르면 기업마다 평균 45개의 고유한 보안 도구를 배포한다고 확인되었는데, 이는 이전 조사 결과와 동일하지만 도구 과다 사용과 경고 피로가 여전하다는 문제를 보여줍니다. 실제로, 최근 업계 분석에 따르면 많은 조직이 현재 60~80개의 다양한 보안 솔루션을 사용하고 있으며, 일부는 최대 140개까지 관리하면서 더욱 가중되는 복잡성과 관리 부담을 떠안고 있습니다.
불충분한 인증: 회사 A와 회사 B는 어떤 형태로든 자격 증명 도용에 취약했습니다.
확장 불가능한 위협 방어: 하드웨어 보안 장비는 대규모 공격이나 다양한 공격을 받는 경우 트래픽 병목 현상이 발생하고 과부하가 걸립니다.
사이버 공격이 복잡해지고 점점 더 정교해지면서 이러한 격차는 더 위험해지고 있습니다. McKinsey에 따르면, ChatGPT 출시 이후 피싱 사이트 감지가 138% 증가했는데, 이는 생성형 AI가 더 설득력 있는 이메일과 딥페이크를 만들어 공격자의 역량을 매우 빠르게 키워주었기 때문입니다.
요즘 공격자는 대상보다 더 빨리 움직이고 전술을 개선하는 경우가 많습니다.
API의 추가적인 보안 위험
현대 조직의 웹 애플리케이션 인프라에서 API는 중요성이 더 커지고 있습니다. 현재 Cloudflare에서 처리하는 동적 트래픽의 상당 부분은 API 기반이며 그 비중은 계속 증가하고 있습니다. 실제로 많은 조직에서 API 우선을 내세우고 있습니다. 이와 더불어, Cloudflare에서는 웹 트래픽보다 많은 비율의 API 트래픽을 악성으로 차단하고 있습니다. 공격자가 API를 집중 공격한다는 점을 보여주고 있습니다.
API는 웹 애플리케이션에 깊이 내장되어 있는 경우가 많으므로 API 보안은 무엇보다 중요합니다. 하지만 내부 팀은 좋은 뜻에서, 보안 팀과 상의 없이 API를 빠르게 배포하는 경우가 많습니다. 그 결과, 미흡한 API 보안이 웹 애플리케이션의 침해 원인인 경우가 많습니다.
안전하지 않은 API와 관련하여 증가하는 위험을 보여주는 뚜렷한 사례로는 TotalEnergies가 있습니다. 2025년, 결함이 있는 API 인프라로 인해 노출된 데이터가 무려 105배나 증가했으며, 2024년 210,715건에 불과했던 데이터가 다크웹 시장에서 공유된 것만 2,200만 건 이상으로 급증했습니다. 이 비약적인 증가는 에너지 및 모든 부문에서 API 보안을 사후 고려가 아닌 핵심 인프라로 취급해야 한다는 긴급한 필요성을 강조합니다.
통합된 웹 애플리케이션 보안 솔루션
회사 A와 회사 B가 여러 보안 제품을 짜깁기하는 대신 모든 웹 애플리케이션과 API 보안 서비스를 하나의 통합 플랫폼으로 결합했다면 어땠을까요? 모든 서비스가 서로 통합되어 있었다면 어땠을까요? 회사의 인프라 상태를 알려주는 데이터가 한 장소에 표시되어 공격과 보안 상태를 신속하게 평가할 수 있었다면 어땠을까요?
회사 A는 모든 웹 애플리케이션과 API 보안 프레임워크 구성 요소에 최신 위협 인텔리전스가 포함되어 있는지 확인하고 공격이 시작되기 전에 차단할 수 있었을 겁니다. 모두 하나의 플랫폼에 있었기 때문입니다. 회사 B는 DDoS 방어 기능을 모든 서버로 더 쉽게 확장할 수 있었을 겁니다.
플랫폼을 사용하면 격차가 줄어들고 관리하기 더 쉬워집니다.
웹 애플리케이션 보안에 통합적으로 접근하려면 모든 유형의 트래픽을 프록시할 수 있는 확장성 높은 인프라가 필요합니다. 지난 수십 년 동안 조직에서는 최신 공격으로부터 방어하고 확장해야 할 때 장비를 구입했습니다. 하지만 클라우드 기반 서비스는 더 쉽게 확장할 수 있고 모든 유형의 인프라를 프록시할 수 있습니다. 통합 플랫폼이 공격을 모두 막을 것을 보장하지는 않지만 가상으로 예를 들었던 회사에 분명히 유용했을 겁니다.
사고 실험 그 이상: 늘어나는 WAAP의 중요성
단지 가상의 사고 실험 예시가 아닙니다. 웹 애플리케이션 및 API 보호(WAAP) 플랫폼은 단순한 이론적 모범 사례가 아니라 빠르게 필수 인프라로 부상되고 있습니다. DataHorizzon Research에 따르면 2023년에 61억 2천만 달러로 평가되었던 전 세계 클라우드 WAAP 시장은 2032년까지 17.8%의 연평균 성장률을 기록하면서 성장할 것으로 예상됩니다.
이러한 증가는 WAF, 봇 완화, DDoS 방어, API 보안을 확장 가능한 클라우드 서비스로 통합해야 할 필요성이 커지고 있음을 보여줍니다. 특히 웹 애플리케이션과 API가 멀티클라우드 환경에서 점점 더 복잡한 위협에 직면하고 있기 때�문입니다.
WAAP는 그저 또 하나의 약어에 불과한 것이 아닙니다. WAF, 봇 관리, DDoS 방어, API 보안, 기타 서비스를 통합하는 것은 요즘 조직에서 점점 더 필수 요소가 되고 있습니다. 인터넷의 글로벌한 특성으로 인해 웹 애플리케이션과 API는 다양하고 점점 더 복잡해지는 공격 벡터에 노출됩니다. 예상대로 데이터 유출이 초래하는 비용도 계속 증가하고 있습니다. 2023년에 전 세계 평균 유출 비용은 445만 달러로 증가했으며, 미국의 조직들이 사고당 약 948만 달러의 가장 높은 재정 부담을 떠안았습니다. 2024년 초, 이 글로벌 수치는 약 488만 달러로 증가했으며, 이는 불과 1년 만에 10% 증가한 것입니다.
또 다른 고려 사항: 다차원적 인프라
오늘 회사 A와 회사 B가 애플리케이션과 API를 처음부터 새로 구축한다면 쉽게 배포할 수 있도록 호스팅 공급자 한 곳을 사용하여 전체를 클라우드에서 호스팅할 수도 있습니다. 하지만 실제로, 대부분의 조직에서는 레거시 온프레미스 데이터베이스 서버, 클라우드 기반 타사 API, 여러 클라우드에서 호스팅되는 애플리케이션 서버를 갖춘 하이브리드 인프라를 배포하고 있습니다. 이러한 배포 형태에는 이점이 많지만 자체적인 보안 문제도 있습니다.
예를 들어 특정 클라우드 공급자가 제공하는 기본 보안이 전체 인프라로 확장되지 않을 수 있습니다. 시작할 때 모든 인프라를 방어하기 위해 찾아서 매핑하는 것도 어려운 과제일 수 있습니다. 마지막으로, 기술 스택의 다른 솔루션과 각각의 보안 제품이 호환되지 않을 수 있습니다.
따라서 WAAP는 중요 웹 애플리케이션 보안 기능을 통합하는 것 외에도 인프라에 구애받지 않아야 합니다. 즉, 모든 유형의 인프라나 클라우드 배포 환경에 위치할 수 있어야 합니다.
인프라에 구애받지 않는 통합 웹 보안
Cloudflare는 클라우드 네이티브이며 인프라에 구애받지 않고 10년 이상 웹 애플리케이션 보안을 제공하고 있습니다. 모든 기능이 단일 제어판에서 하나의 통합 플랫폼으로 제공됩니다. 또한 Cloudflare는 인터넷 트래픽의 상당 부분을 확인하여 초당 00만 78 건 이상의 HTTP 요청을 서비스하고,~190 매일 평균 0억 건의 사이버 위협을 차단하는 이점을 제공합니다. Cloudflare는 이렇게 zero-day 위협과 신규 공격을 특유한 방식으로 확인합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
Gartner는 2022년 Gartner® Magic Quadrant™ 웹 애플리케이션 및 API 보호(WAAP) 부문에서 Cloudflare를 리더로 선정했습니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
서로 다른 보안 솔루션으로 보안 격차가 발생하는 원리
격차가 나타나는 방식을 보여주는 예시
Gartner가 인프라에 구애받지 않는 웹 애플리케이션 보안 플랫폼과의 통합을 권장하는 이유