새로운 기능으로 웹 애플리케이션 보호를 강화하고, 백엔드 API를 확보하고, 악의적인 클라이언트의 활동을 조직에 경고

샌프란시스코, 캘리포니아 – 2019.09.18 - 신뢰할 수 있는 애플리케이션 보호 솔루션 제공업체인 Arxan Technologies는 브라우저 중심의 공격으로부터 데이터 유출을 방지하기 위해 웹 애플리케이션 보호 솔루션의 개선 사항을 발표했습니다. 웹 애플리케이션에서 악의적인 브라우저 확장 프로그램, 뱅킹 트로이 목마, 악성 광고 등의 공격으로 사기성 웹 사이트로 소비자 데이터가 유출되는 것을 방지하기 위해 Arxan for Web 제품의 주요 혁신기술을 공개하고 있습니다.

현대적인 애플리케이션 시스템을 채택하기 위해 조직은 혁신을 주도하고 개발 속도를 높이며 새로운 수익 창출 기회를 제공하기 위해 API에 의존하고 있습니다. 그러나 OWASP의 새로운 API Security Top 10 2019 보고서에 따르면, “API는 PII (Personally Identifiable Information)와 같은 응용 프로그램 논리와 민감한 데이터를 노출하기 때문에 공격자의 표적이 되고 있습니다.1) 기존의 네트워크 보안에서 벗어나 비즈니스 로직을 클라이언트의 애플리케이션으로 옮기면 새로운 공격 영역이 생깁니다. 이는 폼재킹, DOM 변조, 세션 남용, 오버레이 공격, API 남용 등의 위험을 증가시킵니다.

Arxan for Web은 브라우저에서 실행되는 웹 애플리케이션이 승인된 서버 및 API 엔드포인트에 연결되도록 업계 최초로 인앱 방화벽을 포함하고 있습니다. 일반적으로 Magecart 해커 그룹이 사용하는 접근 방식인 폼재킹 공격은 고객이나 조직의 정보 없이도 브라우저에서 고객 데이터를 수신할 웹 사이트를 만들어 주요 데이터를 유출합니다. Arxan의 In-App 방화벽은 웹 애플리케이션이 승인되지 않은 서버에 연결하지 못하게 하여 민감한 고객정보나 재무 데이터가 노출되는 것을 방지합니다. 또한, 새로운 도메인 잠금 기능은 잘못된 도메인에서 앱이 실행 중이거나 앱이나 사용자가 민감한 데이터를 노출하는지 탐지합니다. 도메인 잠금을 트리거 하면 자동 방어하고 조직에 즉시 위협을 알립니다.

“웹 응용 프로그램 및 API는 보호되지 않는 브라우저에서 실행되는 코드에 의존하므로 조직이 무방비 상태가 되어 일반적인 위협에 노출되지 않기 때문에 매우 취약합니다. 위협 환경 및 앱 개발 트렌드가 변화함에 따라, 조직을 보호하여 위협의 원천을 해결하는 솔루션을 제공합니다. Arxan의 제품 관리 부사장 Rusty Carter는 “조직은 Arxan for Web을 통해 웹 애플리케이션, 웹 속성 및 API를 정찰, 무기화 및 악용의 세 가지 데이터 유출 단계로부터 보호하고, 애플리케이션의 클라이언트 측을 대상으로 하는 공격에 중요한 가시성을 제공하여 조직에 대한 피해를 방지 할 수 있다.” 고 말했습니다.

특히 전자 상거래에 의존하여 비즈니스 성장을 주도하는 조직은 Magecart 그룹이 위협적입니다. 시만텍에 따르면, 매월 4,800개 이상의 웹 사이트가 폼 잭킹으로 인해 손상되고 있습니다.2) 그러나 클라이언트를 대상으로 하는 데이터 유출 공격은 웹 응용 프로그램이 직면한 위협 요소 중 하나일 뿐이므로, 계층화된 보안 방식은 매우 중요합니다.

Carter는 “웹 애플리케이션 및 API 공격 기반의 사기는 잠재적인 글로벌 재무에 영향을 미치기 때문에 주의해야합니다. 기존의 WAF(Web Application Firewall)가 데이터 센터에 대한 트래픽만 제어하고 검사할 수 있는 곳에서 Arxan은 엔드포인트에서 서버 및 백엔드 시스템으로의 애플리케이션을 보호합니다.”라고 말했습니다.