API가 바꾼 웹 보안… WAF 시대 저물고 WAAP로 재편
||2026.02.06
웹 애플리케이션 보안의 초점이 단순 웹 페이지 보호에서 API(Application Programming Interface) 트래픽 보호로 이동하면서 전통적 웹 방화벽(Web Application Firewall; WAF) 솔루션은 이미 수년 전부터 기능을 확장하며 WAAP(Web Application and API Protection)로 진화해왔다. 이에 따라 이 분야 국내 보안 업체들도 WAF를 WAAP로 업그레이드하고, 마케팅과 솔루션 교육 등을 통해 시장 재편 전략을 본격화하고 있다.
API는 국내외 다수 보안 기업과 연구기관 보고서에서 주요 공격 표면으로 지목되고 있다. 클라우드 네이티브 환경 확산과 마이크로서비스 아키텍처(MSA) 도입으로 애플리케이션 내·외부 통신의 상당 부분이 API로 이뤄지고 있기 때문이다. 특히 외부 호출에 대응하기 위해 개방된 API가 급증하면서 관리자 시야 밖에 놓인 이른바 ‘섀도 API(Shadow API)’와 인증·인가 구조의 허점을 노린 공격이 빠르게 늘어나는 추세다.
실제 아카마이(Akamai)가 지난해 12월 발표한 조사 결과에 따르면, 아시아태평양 지역 기업의 80% 이상이 최근 1년간 최소 한 차례 API 보안 사고를 경험한 것으로 나타났다. 응답 기업의 약 3분의 2는 어떤 API가 민감 데이터를 처리하는지조차 명확히 파악하지 못하고 있다고 답했다.
이런 변화 속에서 기존 WAF는 분명히 한계를 드러내고 있다. WAF는 SQL 인젝션, 크로스사이트 스크립팅(XSS) 등 전통적인 웹 공격 방어에는 효과적이지만, API 호출 흐름과 데이터 구조, 토큰 기반 인증까지 정밀하게 검증하는 데에는 구조적 제약이 따른다. 이로 인해 웹 보안은 웹 페이지 보호에 머물던 방식에서 벗어나, 애플리케이션과 API 전반을 함께 보호하는 방향으로 확장되고 있다.
이 같은 흐름 속에서 부상한 개념이 바로 WAAP다. 2018년 글로벌 IT 리서치기업 가트너가 개념을 정립한 WAAP는 기존 WAF 기능을 기반으로 API 보호, 봇(bot) 공격 완화, 디도스(DDoS; 분산 서비스 거부) 공격 대응까지 포괄하는 통합 웹 애플리케이션 보안 체계를 의미한다.
글로벌 보안 업계는 WAAP를 웹 보안의 차세대 표준으로 정의하고 있으며, 특히 멀티·하이브리드 클라우드 환경에서는 서비스형(SaaS) WAAP 선호가 높아질 것으로 보고 있다. 가트너는 초기에는 클라우드 기반 WAAP만을 평가 대상으로 삼았으나, 최근에는 정의된 핵심 기능을 충족할 경우 어플라이언스(Appliance) 기반 WAAP도 배제하지 않는 방향으로 기준을 확장하고 있다.
이 같은 WAAP의 부상에 맞춰 국내 보안 업계도 지난 몇 년간 적극적 대응을 이어왔다. 웹 방화벽 기술을 기반으로 성장해온 국내 보안 업체들이 WAF 제품의 API 보안 기능을 강화하며 WAAP로의 진화를 공식화한 것이다. 2022년 파이오링크는 WAF 어플라이언스 '웹프론트-K(WEBFRONT-K)'를 WAAP로 업그레이드했고, 같은 시기 펜타시큐리티 역시 WAF 어플라이언스 '와플(WAPPLES)'의 WAAP 전환을 선언했다. 펜타시큐리티는 2018년 분사 후 2023년 재합병한 클라우드 기반 보안 서비스(SECaaS) '클라우드브릭(Cloudbric)'의 'WAF+'로 WAAP 기능을 제공하고 있다.
펜타시큐리티와 함께 국산 웹 방화벽 시장의 주요 축으로 평가받는 모니터랩도 이런 흐름에 빠르게 합류했다. 모니터랩은 2023년 자사 WAF 어플라이언스 'AIWAF'가 WAAP로 진화하고 있다고 소개한 데 이어, SECaaS인 '아이온클라우드(AIONCLOUD)'에서도 WAAP 기능을 제공해왔다. 아이온클라우드 WAAP는 2025년 6월 가트너 WAAP 마켓 가이드에서 대표 벤더로 선정되며 글로벌 수준의 기술 경쟁력을 인정받았다.
이어 모니터랩은 이달 3일, 자사 웹 방화벽 제품 'AIWAF'의 명칭을 'AIWAAP'로 변경했다고 발표했다. 단순 기능 고도화를 넘어, 웹 페이지 보호 중심의 WAF에서 API를 포함한 웹 애플리케이션 보안으로 전략 축을 완전히 옮기겠다는 메시지를 제품명에 반영한 행보로 해석된다. 모니터랩은 AIWAAP를 통해 API 보안 역량을 강화하는 동시에, WAAP 제품으로서 디도스·봇 완화 기능을 더욱 고도화해 다양한 공격 시나리오 대응 범위를 확대해 나간다는 계획이다.
이광후 모니터랩 대표는 "보안의 중심이 API로 재편되는 가운데, AIWAAP 공식 출시를 통해 API 전 영역의 가시성과 검증 기반 운영 체계를 강화했다"며 "웹 방화벽 시장에서 입지를 한층 공고히 하고 통합 보안 경쟁력을 높여 나가겠다"고 말했다.
정종길 기자
jk2@chosunbiz.com
