웨비나속 Q&A

F5가 제공하는 WAAP모델은 AI/ML기법으로 트래픽을 학습하고 정상요청과 비정상요청을 실시간으로 판단하여 탐지/차단동작하도록 설계되어있습니다.

본 웨비나에서는 언급되지 않을 예정이지만 F5에서는 OWASP LLM Top 10을 방어하기 위해 제공되는 AI Gateway 솔루션에서는 프롬프트 인젝션이나 민감한 정보 유출을 방어할 뿐만 아니라 반복적인 프롬프트와 공격 벡터의 조합을 방어할 수 있으며 커스텀 정책을 니즈에 맞게 만들어 낼 수 있는 SDK를 제공해 드리고 있습니다.

이러한 우려때문에 저희가 제안하는 API보안은 기존인프라는 그대로 유지한채 별도의 API보안을 적용하는 것을 제안드리고있습니다.

F5는 Shadow API를 자동 식별하는 여러 방식을 제공합니다. 운영 중인 트래픽을 실시간으로 분석하고, 요청,응답의 엔드포인트, 방식, 파라미터, 스키마를 머신러닝으로 추출해서 기존 Swagger/OpenAPI Apec과 비교해 차이를 찾아냅니다. 이 과정에서 코드 기반(Github등), Swagger 문서, DAST 결과, 실시간 트래픽까지 다양한 소스를 함께 분석해 정확도를 높입니다. 자세한 탐지 방식은 오늘 웨비나에서 설명드릴 예정이니 관심있게 봐주시면 감사하겠습니다.

F5의 API 보안 솔루션은 기존에 운영 중인 F5의 BIG-IP와도 보완적으로 통합할 수 있도록 설계돼 있습니다. F5는 Customer Edge(CE)라는 소프트웨어를 제공해서 온프레미스 BIG-IP와 연동해서 API 정보를 SaaS에서 수집할 수 있게 합니다. 기존 인프라를 바꾸지 않고도 F5 Distributed Cloud(XC)의 SaaS 기반 API Discovery, 보안 정책 관리, Shadow API 탐지 기능을 추가로 적용할 수 있습니다.

오탐을 줄이기위해 API별 트래픽 특성을 자동으로 학습하여 정상패턴기반의 탐지모델새ㅔㅇ성 후 이상탐지만 탐지할 수 있습니다. 또한 요청속도나, 사이즈, 지연시간등을 통해 입계값을 조정하고 위협들을 등급화(scoring)하여 행동패턴기반의 위협점수에 대한 가시성을 제공합니다.

F5의 Distributed Cloud WAAP는 L7 API트래픽을 실시간으로 분석하고 탐지 시 즉시 차단하거나 레이트리밋을 적용할 수 있습니다. 그리고 API Endpoint단위로 제어해서 URL 경로별 인증/인가정책 적용이 가능합니다. 또한 API호출에 포함된 JWT 클레임이나 OAuth Scope등을 기반으로 세버적으로 접근제어가 가능합니다. 마지막으로 Open API Spec기반으로 등록되지 않은 API요청을 탐지하고 차단시킬 수 있습니다.

F5의 API보안솔루션은 클라우드 네이티브환경에서 비에이전트방식으로 동작합니다. F5 DIstributed Cloud WAAP나 BIG-IP AWAF는 프록시기반의 보호방식이므로 애플리케이션에 에이전트를 삽입하지 않고, L7트래픽이 흐르는 경로상에 위치해 API요청들을 학습하고 분석하도록 설계되어 있습니다.

F5 Distributed Cloud(XC)는 코드기반의 API 디스커버리를 통해 트래픽을 분석해 Shadow API를 탐지하고, OpenAPI(Swagger) 스펙을 자동 생성하거나 기존 스펙과 비교해 차이를 식별할 수 있습니다. 이를 통해 관리가 어려운 API 엔드포인트를 코드와 연동해서 업데이트하거나 재설계할 수 있게 합니다. 탐지된 API는 카탈로그로 관리되어 그룹별로 일관되게 운영할 수 있도록 제공합니다

가능 합니다. 기존 sawgger파일을 API discovery에 upload해서 known api로 관리 되고, 이후 발견되는 shadown api들을 통합해서 swagger 파일로 제공합니다.

F5의 SaaS 서비스인 Distributed Cloud(XC)는 온프레미스와 클라우드 모두의 API 트래픽을 단일 콘솔에서 관리할 수 있도록 지원합니다. API 경로 추적을 위해 분산된 환경에서도 트래픽을 수집하고 분석해서 API 호출 경로와 종단간 흐름을 가시화할 수 있습니다. 또한 한번 정의된 인증, 권한, WAF, Bot Defense 정책을 온프레미스, 클라우드, 엣지 어디서나 일관되게 적용해서 통합 보안 정책을 구현할 수 있습니다. 하이브리드 멀티클라우드 환경에서도 API 가시성 + 동일한 보안 정책을 유지할 수 있게 설계된 게 강점입니다

말씀대로 AI Agent와 연결된 API는 전통적인 웹트래픽과 다른 비정형 트래픽 패턴을 발생시킵니다. Prompt Injection, API 오남용이나 Data leakage와 같은 데이터노출과 같은 위협이 있습니다.

Shadow API나 승인받지 않은 API를 관리하는 핵심은 먼저 식별하는 것입니다. F5는 트래픽을 분석해서 숨겨진 API를 자동으로 찾고 목록화하고 비인가 API는 차단하거나 권한을 제한하고, 필요한 API에는 인증, WAF, 봇 방어 같은 정책을 적용해 보호합니다. 즉, 찾고 관리하고 보호하는 것이 효과적인 전략입니다

어질 수 있기 때문에 주기적인 Shadow API를 탐지하고 제거하는 것이 좋은 방향이라고 생각합니다.

AI환경을 보호하기위한 국내 구축사례는 현재 테스트를 진행중인 고객사가 여럿있고, 아시아권 해외사례에서는 WEB보안+API보안+AI보안에 대한 포괄적인 보안아키텍처를 구축한 사례가 있습니다.

AI워크로드는 대부분 API기반통신이므로 API에 대한 보안을 제공하고 있고 LLM 모델을위한 OWASP LLM Top10 을위한 AI Gateway 보안플랫폼을 제공합니다.