보안 접근 방식을 발전시킨 Apree Health

Castlight Health와 Vera Whole Health의 합병으로 탄생한 Apree Health의 사명은 환자가 의료 서비스에 접속하고 참여하는 방식, 의료진이 서비스를 제공하는 방식, 고용주 및 기타 구매자가 의료 서비스 비용을 지불하는 방식을 혁신하는 것입니다. 회사는 기술과 고유한 임상 제공 모델을 활용해 결제 및 헬스케어 서비스 제공의 혁신을 가속하면서 PHI(Personal Health Information)와 상호 작용합니다. Apree는 이러한 정보를 빠르고 안전하게 공유하기 위해 신뢰할 수 있는 파트너인 Akamai 솔루션을 도입했습니다.

Apree는 환자들이 합리적인 가격의 고품질 의료 서비스를 찾고, 의료 보험 세부 정보 및 청구에 접속하며, 혜택을 관리하고, 건강을 추적할 수 있도록 지원하는 의료 내비게이션 플랫폼과 모바일 앱을 통해 기업과 직원의 역량을 강화합니다. 회사의 플랫폼과 앱은 100개 이상의 API 파트너 통합과 1000개 이상의 써드파티 고객 통합을 통해 지원되므로 모범 사례에 기반한 하향식 보안 중심 문화가 필수적입니다.

Apree의 정보 보안 수석 관리자 데이비드 퀴센베리(David Quisenberry)는 "더 나은 의료 서비스를 제공할 수 있는 유일한 방법은 정보 공유입니다. 하지만 이러한 정보는 매우 민감하기 때문에 안전하게 보호해야 합니다."고 말합니다.

정보 보안은 대규모 봇을 이용한 소셜 엔지니어링 및 API 공격 등 오늘날의 공격 종류와 트렌드를 고려할 때 매우 중요합니다. 이러한 환경에서 종합적이고 효과적인 보안을 유지하려면 지속적인 우선순위 지정과 반복이 필요하며, 강력한 보호 조치의 증거를 제시할 수 있어야 합니다.

그러나 Apree에는 이런 방식으로 보안 운영팀의 역량을 강화할 수 있는 적절한 솔루션이 없었습니다. 기본적인 웹 애플리케이션 방화벽이 발생 가능한 문제를 팀에 알리면 보안 운영팀이 이를 수동으로 조사하고 최선의 대응 방안을 정해야 했습니다. 회사는 모바일 앱을 통한 크리덴셜 스터핑 공격을 받았을 당시 조사, 잠재적 영향에 대한 보고, 조치에 필요한 시간과 비용에 굉장한 압박을 느꼈습니다. 

Apree의 수석 정보 보안 분석가인 캣 슈완(Cat Schwan)은 "마치 두더지 잡기를 하는 것 같았습니다. 보안 체계를 더 이상 개선하기가 어려웠습니다."고 말합니다.

Apree의 최우선 과제는 API 공격을 방어하고 그와 관련된 악용을 차단하는 것이었습니다. 이를 달성하기 위해 Akamai의 애플리케이션 및 API 보안 솔루션을 필요에 맞게 설정했습니다. 보안팀은 Akamai와 함께 POST 요청 및 파트너 통합에 사용되는 API의 HTTP 헤더 레이어에 보안 레이어를 추가했습니다. 

Akamai는 많은 업무와 걱정을 야기하는 봇의 홍수로부터 회사와 회사의 모바일 앱을 보호합니다. 18개월 동안 더 이상의 크리덴셜 스터핑을 경험하지 않은 Apree는 이러한 악용을 해결하는 데 드는 오버헤드 비용을 크게 절감했습니다. Apree가 소비자, 고용주, 파트너가 맡긴 민감한 데이터를 자신 있게 보호할 수 있게 되었다는 점도 매우 의미가 깊습니다. 

퀴센베리는 또한 "앱과 헬스케어 가이드에 빠르고 안전하게 접속할 수 있도록 하는 것이 중요한데, Akamai를 통해 이를 안정적으로 보장할 수 있게 되어 엔지니어링 팀이 크게 만족하고 있습니다."라고 설명했습니다.

Akamai와 파트너십을 맺게 된 계기는 API 공격 방어였지만, Apree는 다양한 방식으로 이점을 누리고 있습니다.

필요에 따라 확장 가능한 성능과 보안에 대한 확신은 Apree(당시 Castlight Health)가 BCH(Boston Children’s Hospital), CDC(Centers for Disease Control and Prevention)와 협력해 무료 코로나19 백신 검색 서비스를 출시할 때 매우 중요한 역할을 했습니다. BCH는 업데이트된 코로나19 백신 데이터로 솔루션을 지원하는 기술 인프라를 구축하기 위해 Castlight의 도움을 받았고, Castlight는 최초의 언게이트 경험을 출시했습니다. Akamai의 글로벌 플랫폼은 백신 검색 시 정확한 최신 정보가 자동으로 표시되도록 했습니다.

슈완은 "Akamai는 무단 웹 스크레이퍼로부터 백엔드를 보호하고 리스크와 가시성이 높은 프로젝트와 관련된 엄청난 양의 트래픽을 처리할 수 있도록 지원했습니다. 또한 앱이 포칭되지 않도록 했습니다."라고 말합니다.

Apree가 구축한 DDoS 공격 방어, 오리진 방어, 고급 봇 탐지 등의 애플리케이션 보호 기능은 침입 탐지 시스템과 함께 작동해 신속하게 위협을 탐지하고 인텔리전스를 제공합니다. 회사는 스택의 일부로 Akamai 솔루션을 도입함으로써 공격 기법을 더 빠르고 쉽게 파악할 수 있게 되었습니다.

일례로 Apree가 인젝션 공격을 탐지했을 때 Akamai는 위협 환경에 대한 즉각적인 보호 조치와 가시성을 제공했습니다. 퀴센베리는 "Akamai는 취약점의 우선순위를 정하고 5일 이내에 가상 머신의 98%를 패치하는 데 필요한 인사이트를 제공했습니다."라고 말합니다.

Akamai는 Apree가 보안 기반을 더욱 강화하기 위해 Google Cloud로 전환하는 과정에서도 필수적인 역할을 했습니다. 슈완은 "Akamai 덕분에 환경을 변경하면서 전환하는 것이 훨씬 쉬워졌습니다."라고 말합니다.

초기에 거둔 성과는 Castlight와의 합병 과정에서 Vera Whole Health의 웹 애플리케이션 보안을 한층 강화한 것이었습니다. 슈완은 "이러한 앱을 우리 환경에 매우 간편하게 병합할 수 있었습니다."라고 설명합니다.

실제로 Google Cloud와 Akamai는 모두 운영 보안팀이 구상하는 강력한 API 호출 같은 자동화를 지원합니다. 슈완은 "Akamai는 자동화된 변경 제어를 지원하며, 팀이 보안 제어를 설정하고 이에 대한 증거를 공유할 수 있다는 점이 매우 가치가 큽니다."라고 설명했습니다.

Akamai는 팀이 보안 조치를 더욱 발전시키는 데 집중함으로써 Apree가 미래로 자신 있게 나아갈 수 있도록 돕고 있습니다. 퀴센베리는 "Akamai는 민첩하고 자동화된 보안 아키텍처를 구축하는 데 필요한 기술, 텔레메트리, 인사이트를 제공합니다."라고 마무리합니다.

Apree Health의 사명은 의료 경험을 재정의하고 환자가 의료 서비스에 접속하고 참여하는 방식, 헬스케어 서비스 공급업체가 의료 서비스를 제공하는 방식, 고용주 및 기타 구매자가 의료 서비스 비용을 지불하는 방식을 혁신하는 최초의 엔드투엔드 의료 솔루션을 구축하는 것입니다. Apree Health는 동급 최고의 내비게이션 및 데이터 기반 인사이트, 최첨단 1차 진료 모델, 가치 기반 리스크 모델을 결합해 더 나은 헬스케어 서비스를 제공하고 고객의 삶을 개선합니다.

Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 대표적인 기업들은 매일 수십억 명의 사람들의 생활, 업무, 여가를 지원할 디지털 경험을 구축, 전송, 보호하기 위해 Akamai를 선택합니다. Akamai Connected Cloud는 대규모 분산 엣지 및 클라우드 플랫폼으로 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다. Akamai의 클라우드 컴퓨팅, 보안, 콘텐츠 전송 솔루션에 관해 자세히 알아보려면 akamai.com/ko 또는 akamai.com/ko/blog를 방문하거나 X(기존의 Twitter), 그리고LinkedIn에서 Akamai Technologies를 팔로우하시기 바랍니다.