인공 지능을 활용한 우수한 웹 애플리케이션 방화벽
인공 지능(AI)은 공격자에게 축복과도 같은 존재입니다. AI를 통해 공격자는 기업에 대한 초기 공격의 속도와 혁신을 높일 수 있을 뿐만 아니라, 더 정교한 공격자는 공격이 탐지되었을 때 신속하게 방향을 전환해 몇 시간 또는 며칠이 아니라 몇 분 안에 새로운 공격을 개시할 수 있습니다.
좋은 소식은 AI와 머신 러닝(ML)이 공격자만 사용하는 것이 아니라는 것입니다. Akamai는 창립 이래 ML과 고급 휴리스틱 혁신의 최전선에 서 왔으며, AI와 ML을 지속적으로 실험해 경쟁사보다 앞서 나가고 취약점을 제거하고 있습니다.
AI 기반 웹 애플리케이션 보안 솔루션으로의 전환
보안 리더들은 보안 서비스 벤더사가 사이버 보안 방어를 강화하기 위해 ML과 AI를 통합할 것을 점점 더 기대하고 있습니다. 기업들은 AI를 보안 솔루션에 통합함으로써 OWASP 상위 10대 리스크을 넘어서는 광범위한 웹 애플리케이션 사이버 위협을 탐지하고 대응하는 능력을 향상시킵니다. 이러한 기업들은 사이버 보안 경쟁에서 경쟁 우위를 확보합니다.
AI 기반 웹 애플리케이션 보안 솔루션으로의 전환은 기존의 룰 기반 시스템에서 상당한 발전을 의미하며, 애플리케이션 보안 등을 위한 보다 역동적이고, 능동적이고, 효율적인 방어 메커니즘을 가능하게 합니다. AI는 보안에 대한 진보된 적응적 접근 방식을 제공합니다. AI는 방대한 데이터 세트를 분석해 잠재적인 위협을 식별하고 대응할 수 있는 놀라운 정확성을 가지고 있기 때문에, AI를 통합하는 보안 솔루션은 제로데이 위협을 탐지하고 실시간으로 보호 업데이트를 자동화할 수 있는 더 나은 기회를 가지게 됩니다. 따라서 보안팀의 부담을 줄일 수 있습니다.
이 블로그 게시물에서는 AI 기반 웹 애플리케이션 방화벽(WAF) 이 어떻게 타의 추종을 불허하는 자동화된 보호 기능과 인사이트를 제공함으로써 애플리케이션의 보안을 유지하는 데 어떻게 기여하는지 기술적인 세부 사항을 살펴봅니다.
WAF 정적 탐지만으로는 충분하지 않습니다
기존의 클라우드 기반 WAF는 새로운 공격을 신속하게 탐지하거나 차단하지 못하기 때문에 기업은 불필요한 리스크에 처하게 됩니다. 공격자는 최초 탐지 시점부터 방어까지 걸리는 시간 동안 상당한 피해를 입힐 수 있습니다.
이는 다른 공급업체의 웹 애플리케이션 방화벽이 본질적으로 패턴 인식 능력을 하드코딩하는 정적 WAF 룰 세트와 신호 기반 탐지 메커니즘에 크게 의존하기 때문입니다. 이러한 레거시 접근 방식은 공격자가 아주 작은 변경을 가할 때마다 탐지 격차를 발생시켜 리스크를 증가시킵니다. 하드코딩된 패턴 인식에 의존하는 탐지 방법은 새로운 패턴이 탐지될 때마다 수동으로 업데이트해야 합니다.
이러한 시스템은 알려진 위협에 대해서는 효과적이지만 정교한 제로데이 공격이나 동적이고 다형적인 공격 기법을 처리하는 데 어려움을 겪습니다. 예를 들어, 많은 레거시 시스템의 초석인 정규식 기반 룰은 본질적으로 제한적이며 취약점이 발생하기 쉽습니다. 이 룰은 세심한 수동 관리가 필요하며, 너무 광범위하면 오탐을 유발할 수 있습니다.
다음 예를 살펴봅시다.
SQL 인젝션 패턴
'UNION SELECT+user_pass+FROM+wp_users+WHERE+ID=
양성 패턴
다음 메뉴 옵션에서 가능한 경우 선택
정규식 룰이 ‘select.*from.*where’를 찾는 경우, 두 패턴이 모두 일치할 수 있으며, 이로 인해 오탐이 발생할 수 있습니다. 따라서 이러한 문제에 취약하지 않은 미래 지향적인 정규식을 만드는 것이 어렵습니다. 특히 제로데이 공격의 경우, 추가적인 룰을 만들어야 하는 경우가 많기 때문에 위협 방어 작업이 지연될 수 있습니다.
인공 지능의 장점
정적 탐지의 어려움을 극복하기 위해, 오늘날의 WAF는 탐지와 방어를 자동화하기 위해 AI를 사용합니다. 인공 지능이 이를 수행하는 방법에는 다음과 같은 것들이 있습니다.
- 패턴 인식
- 적응형 학습
- 제로데이 및 비정상 탐지
- 응답 시간 향상
패턴 인식
머신 러닝 알고리즘은 기존의 시스템이 놓치는 데이터의 패턴과 비정상을 식별하는 데 능숙합니다. 예를 들어, 정적 룰로는 할 수 없는 미묘한 패턴을 식별함으로써 정규식 기반 접근법을 보강하거나 대체할 수 있습니다. AI 기반 알고리즘은 정적 기법으로는 너무 세분화되어 식별하기 어려운 대규모 데이터 세트에서 패턴을 식별하는 데 특히 뛰어납니다. 패턴 인식은 긍정적인 보안(좋은 입력의 형태를 인식)과 부정적인 보안(나쁜 입력의 형태를 인식) 모두에 중요합니다.
적응형 학습
AI 기반 시스템은 공격이 발생하면 지속적으로 적응하고, 최적화하고, 학습할 수 있으며 탐지 및 대응 능력을 자동으로 향상시킵니다. Akamai App & API Protector 는 Akamai 플랫폼의 수조 건의 요청으로부터 지속적으로 학습하고, 개선된 지식을 사용해 특정 보호에 대한 권장 사항을 제시하는 동시에(적응형 자체 조정 기능에서 확인 가능) 웹 애플리케이션 및 API 보안을 위한 자동 업데이트를 적용합니다.
제로데이 및 비정상 탐지
AI 모델은 정적 모델로는 불가능한 방식으로 정상적인 행동에서 벗어난 것을 식별합니다. 예를 들어, 웹 트래픽 패턴의 갑작스러운 변화는 알려진 신호와 일치하지 않더라도 공격을 나타낼 수 있습니다. 특히 부정적인 보안은 AI의 혜택을 크게 받습니다. 기존의 룰 세트와 신호가 잘못된 입력의 모양을 정의했기 때문에 이전에 보이지 않았던 잘못된 것이 방어 조치를 트리거하지 않았기 때문입니다. AI 알고리즘은 이전에 본 적이 없는 새로운 행동도 악성적인 것으로 인식할 수 있습니다.
응답 시간 향상
인공 지능은 인간이 할 수 있는 것보다 더 빠르게 데이터를 처리하고 분석합니다. Akamai는 AI를 사용해 탐지 시 경보 속도를 높이고, 자동 업데이트 및 사전 예방적 적응형 권장 사항을 계정에 전달하는 데 걸리는 시간도 단축합니다. 새로 제공되는 신속한 위협 탐지 기능을 통해 새롭게 등장하는 위협과 주요 CVE에 대한 보호 기능을 신속하게 배포할 수 있습니다. 고객은 CVE 조회 툴을 통해 보호 기능을 검증할 수 있습니다.
웹 보안을 위한 멀티레이어 머신 러닝
Akamai는 웹 애플리케이션을 효과적으로 보호하기 위해 멀티레이어 전략을 사용합니다. 이러한 단계의 분리는 경보를 유발하는 특정 텍스트 패턴을 정확히 찾아내고 다중 기법 공격을 정확하게 분류하는 등 여러 가지 장점을 제공합니다. 이러한 멀티레이어 접근 방식은 오탐이 낮은 알려진 공격 패턴을 감지하고 명시적인 지시 없이도 학습 중에 새로운 패턴을 학습할 수 있습니다.
멀티레이어 전략:
- 자연어 처리(NLP)를 통해 HTTP 요청을 n-그램으로 토큰화합니다.
- 잘 알려진 알고리즘을 사용해 n-그램을 기법으로 변환합니다.
- 기법을 공격 공간(SQLi, XSS 등)에 투영합니다.
- 그래디언트 부스팅 트리(GBT) 모델을 사용해 공격 확률을 할당합니다.
- 신경망 모델을 사용해 공격 종류(SQLi, XSS 등)를 분류합니다.
자연어 처리(NLP)를 통해 HTTP 요청을 n-그램으로 토큰화합니다.
HTTP 요청을 토큰화해 키-값 쌍을 만들고 각 값에서 n-gram을 추출합니다(예: ‘Give’, ‘the’, ‘cat’, ‘/etc/password’).
잘 알려진 알고리즘을 사용해 n-그램을 기법으로 변환합니다.
Skip-gram Word2Vec 모델과 같은 잘 알려진 기술을 사용해 n-gram의 기법 표현을 얻어 요청에 대한 더 깊은 맥락적 이해를 가능하게 합니다(그림 1).
그림 1: CBOW 모델과 Skip-gram 모델의 그래픽 표현(출처: https://arxiv.org/pdf/1309.4168v1)
주성분 분석(PCA)을 통해 공격 공간에 기법 투영
잘 알려진 차원 축소 기법인 PCA를 사용해 기법을 공격 공간에 투영해 공격 신호를 추출합니다. 이 방법은 데이터 분석과 사전 처리 모두에 유용합니다.
그래디언트 부스팅 트리(GBT) 모델을 사용해 공격 확률을 할당합니다.
GBT 분류기는 교차 검증을 통해 최적화된 여러 의사 결정 트리를 결합합니다(그림 2). 이러한 접근 방식은 분류 정확도를 향상시키고 공격 확률을 보다 효과적으로 할당합니다.
그림 2: 방정식은 GBT 모델의 반복 학습 과정을 나타냅니다. 여기서 약한 의사 결정 트리가 손실을 최소화하기 위해 순차적으로 최적화됩니다.
신경망 분류기를 사용해 공격 종류(SQLi, XSS 등) 분류
Akamai는 다중 분류 분류기를 사용해 공격 종류(예: 구조화된 쿼리 언어 인젝션[SQLi], 크로스 사이트 스크립팅[XSS], 로컬 파일 인클루전[LFI])를 할당합니다. 멀티레이어 신경망 모델은 가장 높은 확률을 가진 공격 그룹을 선택해 정확한 분류를 보장합니다.
AI 기반 애플리케이션 및 API 보안 확장: AI 기반 Client Reputation 통합
클라우드 기반 WAF가 웹 애플리케이션과 API 보안의 핵심이지만 악성 트래픽으로부터 앱과 API를 보호하기 위해서는 더 광범위한 AI 기능이 필요합니다.
Akamai의 광범위한 포트폴리오 내 확장된 솔루션의 핵심 사례는 공유 IP 주소 탐지를 위한 XGBoost 기반의 AI 기반 Client Reputation 시스템과 웹 공격자, DDoS 공격 봇, 스크레이퍼, 스캐너와 같은 카테고리에 특화된 모델입니다. 이 모델은 여러 업계에서 발생한 과거의 공격으로부터 얻은 인사이트를 수집함으로써 공격자 인프라를 더 빠르고, 더 광범위하고, 더 정확하게 교차 제품 식별을 가능하게 합니다.
AI는 학습하는 데이터와 이를 안내하는 안전 프로토콜에 따라 그 성능이 결정됩니다
Akamai의 인공 지능과 머신 러닝 모델은 매일 발생하는 수십억 개의 사건을 학습함으로써 타의 추종을 불허하는 정확성과 속도를 보장합니다. Akamai의 AI와 ML 플랫폼은 MLOps의 모범 사례를 준수함으로써, 일관성 있고, 확장 가능하고, 안전한 모델 배포를 가능하게 합니다.
그러나 AI는 가드레일과 그 발견 사항에 대한 확인이 필요합니다. AI 구축에 대한 Akamai의 접근 방식은 정확성과 안전성을 모두 보장하도록 설계된 4개의 레이어를 기반으로 합니다.
리서치 - 실험, 모델 지속성, 성능 검증을 촉진합니다
프로덕션 - 전처리 변환, 기능 저장소, 모델 버전 관리를 포함합니다
KPI - 광범위한 시각화 툴을 사용해 모델 성능을 모니터링합니다
자동 재교육 - 검증된 데이터 세트를 사용해 재훈련함으로써 모델의 효율성을 유지합니다
보안을 유지하고 앞서 나가세요.
Akamai는 생성형 인공 지능과 머신 러닝을 활용해 웹 애플리케이션의 보안 방식을 재정의함으로써 사이버 보안의 미래를 만들어 나가기 위해 노력하고 있습니다. 단순히 위협에 대응하는 것이 아니라, AI를 사용해 공격자보다 한발 앞서 나가고, 위협을 사전에 예방하고, 끊임없이 진화하는 리스크로부터 고객을 보호합니다.