리뷰 | 포럼 센트리, 인상적인 API 보안 게이트웨이

오늘날 현대 네트워크의 숨겨진 영웅은 API다. 사용자와 네트워크, 시스템, 정보를 잇는 가교 구실을 하는 작은 프로그램과 프로토콜이다. 그러나 동시에 애플리케이션 서버 등의 레거시 시스템을 스마트폰 같은 현대적인 툴과 연결하는데 주저하는 이유이기도 하다. 이 가교를 제어하는 사람이 네트워크를 해킹 또는 통제할 수 있어 공격자의 표적이 되는 경우가 많기 때문이다.

API를 테스트하고 관리하는 방법은 다양하다. 특정 시스템을 다루는 수작업 코드부터 필요 시 API를 생성하기 위해 수 천 개의 에이전트를 설치할 수도 있다. 그 중 하나인 포럼 시스템스(Forum Systems)의 포럼 센트리 API 보안 게이트웨이(Forum Sentry API Security Gateway)는 최신 시스템부터 레거시 시스템까지 모든 것을 연결하는 기기를 사용해 참신한 접근방식을 취하면서 이런 연결을 강화하고 모니터링해 해킹 또는 간섭을 방지한다. API를 보호하고 이런 연결에 대해 보안 정책을 실행해 핵심 네트워크를 보호한다.

포럼 센트리 API 보안 게이트웨이는 하드웨어 기기 형태의 제품이지만 가상화해 네트워크에 소프트웨어로 넣을 수도 있다. 각 기기는 초당 약 1,000개의 트랜잭션을 처리할 수 있으며, 그 이상은 보조 기기를 설치해야 한다. 가격은 각 기업이 필요로 하는 기기 또는 가상 기기의 수에 따라 과금된다.



시작하기
포럼 센트리는 애플리케이션이 위치한 곳과 이런 애플리케이션에 연결해야 하는 자동화된 프로그램을 포함해 최종 사용자 사이에 위치하도록 개발됐다. 따라서 설치하기가 상대적으로 쉽다. 에이전트도 필요 없다. 관리자는 게이트웨이에서 프로그램을 지정하고 허용된 연결 유형만 정의하면 된다.

포럼 센트리가 이처럼 유용한 이유는 가능한 거의 모든 레거시 프로토콜과 프로그램이 기기에 내장됐기 때문이다. 덕분에 개발될 당시에는 전혀 고려하거나 투자하지 않았던 레거시 애플리케이션도 아이폰으로 제어할 수 있다. 포럼 센트리는 양쪽에서 액세스 통제를 관리해 요청과 명령을 변환함으로써 각 부분이 소통할 수 있도록 한다. 레거시 기술을 그대로 사용하고자 하는 기업은 포럼 센트리를 이용해 기존 기술을 현대화하는 간편하고 빠른 해법을 찾을 수 있다.



포럼 센트리는 장치를 연결하기 위한 리버스 프록시(Reverse Proxy)로 작용한다. 따라서 기본적으로 연결 측면에서 모든 것이 거부되고 사용자가 허용되는 연결의 유형에 대한 정책을 생성해야 한다. 기기는 최고의 보안 사례를 활용하는 몇 개의 템플릿 정책을 기본 제공한다. 이를 그대로 사용하거나 원하는 대로 수정할 수 있다. 또는 사용자가 네트워크 등에서 특정 사용자, 장치, 프로그램 등과 연계된 것만 대상으로 정책을 생성할 수도 있다.

포럼 센트리 테스트
이번 리뷰에서는 특정 사용자 그룹이 자신의 구글 계정 로그인을 통해 세일즈포스에 연결하는 방법을 만들어봤다. 우선 구글을 통해 사용자를 검증한 후 포럼 센트리가 세일즈포스 접속에 필요한 특정 사용자 데이터가 포함된 SAML 2.0 토큰(Token)을 생성하고 디지털 서명하도록 했다. 그러면 세일즈포스가 사용자를 검증하고 로그인을 허용했다. 기본적으로 포럼 센트리 내에서 정책을 활용해 이런 세일즈포스 계정을 보호할 수 있다. 또한, 사용자가 기기를 활용할 수 있도록 기업 측면의 SSO(Single Sign On) 프로그램도 포함돼 있다. 이 모든 것을 마법사 같은 구성 인터페이스로 설정할 수 있다.

포럼 센트리는 단순히 연결을 생성하는 것을 넘어 이런 연결을 지속적으로 모니터링한다. 관리자는 기기가 몇 개의 연결과 API를 관리하는지 한 눈에 확인할 수 있다. 또한, 사용자는 초기에 승인됐다고 해도 이후에 네트워크 정책을 위반할 수 없다. 예를 들어 사용자 중 한 명이 허용된 연결 유형보다 많은 데이터를 다운로드하려 시도했다고 가정하자. 또 다른 사람이 방문 승인을 받지 못한 영역에 출입하려 시도했고, 또 다른 사람은 바이러스를 다운로드했다. 그러면 모든 포럼 센트리 제품에 포함된 탑재형 클램(Clam) 백신 프로그램이 이를 감지한다.



이런 규칙 위반 활동은 포럼 센트리에 의해 메인 인터페이스에 수집되고 다른 보안 기기로 전송할 수도 있다. 사용자는 이런 규칙 위반에 포럼 센트리가 대응하는 방식, 차단 여부, 해당 사용자에 대한 트래픽 속도 조정, 경고 메시지 전송 등을 할 수 있도록 프로그래밍할 수 있다.



포럼 센트리는 모든 또는 정책을 위반한 트랜잭션에 대한 자세한 로그 파일을 수집하도록 설정할 수 있다. 로그 파일 자체도 자동으로 보호된다. 로그 파일을 암호화하는 것 외에 관리자는 사회보장번호 등의 개인 정보를 스캔해 로그 파일 안에서 별표로 변환하는 등 예방 조처를 할 수 있다. 이를 통해 로그 자체가 추가적인 보안 위험이 되지 않도록 한다.



결론
포럼 센트리 API 보안 게이트웨이의 액세스 통제 기능은 매우 인상적이다. 또한, 액세스 통제 수준을 넘어 보안과 이를 구성하는 모든 연결 모니터링, 매우 수정하기 편한 보안 정책 기능도 훌륭하다. 심지어 연결성 및 사용자 액세스의 모든 측면을 통제할 수 있어 SSO 프로그램으로 활용하는 것도 가능하다. 대형 네트워크를 운영하는 기업이라면 포럼 센트리가 API, 연결, 사용자 보호에 큰 도움이 될 것이다. ciokr@idg.co.kr