웹방화벽 넘어 WAAP로 정체성 확립, 섀도우 API 식별 등 API 보호 기능 대폭 강화
BOLA 등 OWASP API Top 10 위협 차단... 봇 완화 및 DDoS 대응력도 높여

[보안뉴스 조재호 기자] 모니터랩은 자사 ‘웹 애플리케이션 및 API 보호’(WAAP: Web Application & API Protection) 제품의 공식 명칭을 기존 ‘AIWAF’에서 ‘AIWAAP’로 변경하고, API 보안을 중심으로 기능을 고도화한 새 버전을 출시했다고 3일 밝혔다.


이번 명칭 변경은 고객이 제품의 적용 범위를 직관적으로 이해할 수 있도록 ‘WAAP’ 솔루션 정체성을 명확히 하기 위함이다. 제품 이름만 바꾼 것이 아니라 API 보안, 디도스(DDoS) 완화, 봇 완화 등 WAAP 핵심 기능을 전반적으로 강화했다는 설명이다.

새로워진 ‘AIWAAP’는 실시간 트래픽 분석 기반의 ‘API 자동 프로파일링’ 기술을 탑재했다. 기업 내 섀도우 API 등 전체 자산을 자동 식별하고 분류해 API 전반의 가시성을 확보해준다.

또 정의된 API 스키마와 실제 호출 데이터의 유효성을 검증해 정상 호출과 비정상 호출을 정밀하게 구분한다. ‘JWT’(JSON Web Token) 검증 및 페이로드 분석 기능을 통해 ‘객체 수준 인가 취약점’(BOLA) 등 인가 우회 공격을 포함한 ‘OWASP API 톱 10’ 위협을 효과적으로 차단한다.

봇 완화 솔루션은 진화된 ‘핑거프린팅’(Fingerprinting) 기술을 적용해 정교한 봇 탐지 능력을 갖췄으며, DDoS 완화 기능 역시 실시간 로그 분석을 통해 애플리케이션 계층(L7) 공격에 대한 대응력을 높였다.

이광후 모니터랩 대표는 “AIWAAP 공식 출시를 통해 전 영역의 가시성과 검증 기반 운영 체계를 강화했다”며 “웹방화벽 시장에서 선도적 입지를 한층 공고히 하고 통합 보안 경쟁력을 강화하겠다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>