NGINX App Protect WAF – Data Guard를 통한 OWASP API 3(2023) 방어

현대의 API 기반 애플리케이션은 높은 유연성과 확장성을 제공하지만, 동시에 새로운 보안 위협에 노출될 가능성이 커지고 있습니다. OWASP API Security Top 10(2023)은 이러한 위협을 정의하며, 그중 API3:2023 Broken Object Property Level Authorization은 특히 데이터 노출과 관련된 주요 취약점으로 지목됩니다.

이 글에서는 NGINX App Protect WAF와 Data Guard 기능을 활용하여 API 보안 문제를 해결하는 방법을 다룹니다. Juice Shop을 예시로 민감한 데이터의 노출과 마스킹 정책 적용 사례를 통해 NGINX App Protect WAF를 효과적으로 구성 및 활용하는 방법을 설명합니다.

목차

1. OWASP(2023) API 3 Broken object property level authorization란?
2. 환경 구성
3. OWASP API3(2023)
 3-1. OWASP API3(2023) – Juice shop의 취약점
 3-2. NGINX App Protect WAF – DataGuard
4. 결론

1. OWASP(2023) API 3 Broken object property level authorization란?

API Endpoint를 활용하여 사용자가 객체에 액세스할 수 있도록 허용하는 경우 다음과 같은 경우에 보안이 취약합니다.

• API Endpoint는 사용자가 읽어서는 안되는 민간한 데이터를 포함한 개체를 노출합니다.
• API Endpoint를 이용하여 요청했을 때 사용자가 접근할 수 없는 중요한 개체의 속성 값을 변경, 추가삭제할 수 있습니다.

API Endpoint는 각 속성의 민감성을 고려하지 않고 객체를 노출할 수 있습니다. 설계 가정은 최종 사용자에게 결과를 표시하기 전에 클라이언트 측에서 데이터 필터링을 수행하도록 합니다. 이로 인해 API가 최종 사용자에게 필요한 것보다 더 많은 데이터를 반환하여 민감한 데이터를 노출할 위험이 커집니다.

2. 환경 구성

NGINX App Protect 환경구성은 NGINX STORE NGINX App Protect WAF Docker 배포에서 정확한 정보를 확인할 수 있습니다.

Juice Shop(Docker)

NGINX App Protect WAF (Docker) : 5.4.0

NGINX App Protect WAF Compiler(Image) : 5.4.0
NGINX App Protect WAF에서 정책을 적용할 수 있도록 컴파일합니다.

NGINX Plus R33 이상 혹은 NGINX OSS 1.27.2 이상 버전을 사용해야합니다.(NGINX App Protect 5.4.0 기준)

NGINX Plus 용 NGINX App Protect WAF 모듈 또는 NGINX OSS 용 NGINX App Protect WAF 모듈

3. NGINX App Protect WAF – DataGuard

3-1. OWASP API3(2023) – Juice shop의 취약점

Juice Shop의 취약점은 /api/users의 Endpoint로 접근시 User Data가 전부다 나오게 되는 민감한 데이터를 포함한 개체를 노출하고 있습니다.

아래와 같이 email과 이전에 접속했었던 IP 까지 개인정보가 노출되어 있는 것을 확인할 수 있습니다.

위와 같은 취약점을 NGINX App Protect WAF의 정책 파일을 구성하게 된다면 코드 수정 없이 개인정보를 마스킹하여 노출을 차단할 수 있습니다.

3-2. NGINX App Protect WAF – DataGuard

NGINX App Protect WAF – DataGuard 에서는 API Endpoint는 사용자가 읽어서는 안되는 민감한 데이터를 포함한 개체를 노출하는 Endpoint의 중요한 데이터를 마스킹하여 방어할 수 있습니다.

정책 파일을 구성하기 전 masking할 데이터를 확인합니다.

ex) 
        {
            "id": 27,
            "username": "",
            "email": "tester1@testing.com",
            "role": "customer",
            "deluxeToken": "",
            "lastLoginIp": "192.168.200.140",
            "profileImage": "/assets/public/images/uploads/default.svg",
            "isActive": true,
            "createdAt": "2025-01-15T05:22:07.327Z",
            "updatedAt": "2025-01-15T07:56:02.100Z",
            "deletedAt": null
        },

중요한 데이터인 위의 이메일과 마지막 접속 IP를 마스킹합니다.
아래와 같은 정책 파일을 구성합니다.

  1 {
  2      "policy": {
  3          "name": "masking_policy",
  4          "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" }, 
  5          "applicationLanguage": "utf-8",
  6          "enforcementMode": "blocking",
  7          "data-guard": {
  8              "enabled": true,
  9              "maskData": true,
 10              "enforcementMode": "ignore-urls-in-list",
 11              "customPatterns": true,
 12              "customPatternsList": [
 13                  "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}", # email 포멧을 정규표현식으로 작성합니다.
 14                  "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}" # IP 포멧을 정규표현식으로 작성합니다.
 15              ]   
 16          }   
 17      }   
 18 }

3: 정책 이름을 masking_policy로 정의합니다.
4: 정책의 템플릿을 지정하는 template 속성으로, 기본 NGINX 기반 템플릿(POLICY_TEMPLATE_NGINX_BASE)이 사용됩니다.
5: 애플리케이션의 문자 인코딩을 설정하는 applicationLanguage 속성으로, UTF-8로 지정되었습니다.
6: 정책의 강제 실행 모드를 설정하는 enforcementMode 속성으로, blocking은 위반 시 요청을 차단합니다.

7: data-guard 데이터 보호 객체를 지정합니다.
8: 응답을 NGINX App Protect WAF가 가로채 민감한 데이터를 보호합니다.
9: 민감 데이터 마스킹을 활성화합니다.
10: enforcementMode는 데이터를 보호하는 URL을 지정합니다. ignore-urls-in-list를 지정하여 모든 urls에 데이터를 보호합니다.
11: 커스텀 패턴 사용 여부를 나타내는 customPatterns 속성으로, true는 사용자가 정의한 패턴을 활성화합니다.
12: 커스텀 패턴 리스트를 지정합니다. 정규표현식만 정의할 수 있습니다.
13: 첫 번째 커스텀 패턴으로 이메일 주소 형식을 정의합니다. (정규 표현식)
14: 두 번째 커스텀 패턴으로 IP 주소 형식을 정의합니다. (정규 표현식)

NGINX App Protect WAF에서 사용할 수 있도록 NGINX App Protect compiler로 정책 파일을 tgz 파일로 컴파일합니다.

docker run --rm \     
 -v $(pwd):$(pwd) \
 waf-compiler-5.4.0:custom \
 -p $(pwd)/masking.json -o $(pwd)/compiled_policy.tgz

{"completed_successfully":true,"compiler_engine":"express","filename":"/home/ubuntu/nginx-app-protect/json_masking/compiled_policy.tgz","file_size":1761610,"attack_signatures_package":{"version":"2025.01.08","revision_datetime":"2025-01-08T16:57:45Z"},"bot_signatures_package":{"version":"2025.01.13","revision_datetime":"2025-01-13T17:24:07Z"},"threat_campaigns_package":{"version":"2025.01.12","revision_datetime":"2025-01-12T10:29:23Z"}}

컴파일이 완료된 것을 확인할 수 있습니다.

컴파일이 완료 된 compiled_policy.tgz 파일을 NGINX App Protect WAF Docker 마운트된 폴더인 /etc/app_protect/conf로 이동합니다.

NGINX를 reload 하여 구성을 적용합니다.

구성에 적용했었던 정규표현식처럼 email과 IP가 모두 마스킹되어 나오는 것을 확인할 수 있습니다.

로그인한 User Data를 가져오는 과정에서 마스킹이 되어 정확한 데이터를 처리하지 못하는 문제가 발생합니다.

아래 구성처럼 변경하여 특정 URL에 대한 데이터를 마스킹합니다.

  1 {
  2     "policy": {
  3         "name": "masking_policy",
  4         "template": { "name": "POLICY_TEMPLATE_NGINX_BASE" },
  5         "applicationLanguage": "utf-8",
  6         "enforcementMode": "blocking",
  7         "data-guard": {
  8             "enabled": true,
  9             "maskData": true,
 10             "enforcementMode": "enforce-urls-in-list",
 11             "enforcementUrls": ["/api/users"],
 12             "customPatterns": true,
 13             "customPatternsList": [
 14                 "[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}",
 15                 "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}"
 16             ]
 17         }
 18     }
 19 }

10 : enforcementMode를 enforce-urls-in-list로 지정하여 지정된 urls만 데이터를 보호할 수 있도록 지정합니다.
11 : 데이터를 보호 할 url을 지정합니다. /api/users의 Endpoint만 데이터를 보호합니다.

docker run --rm \
 -v $(pwd):$(pwd) \
 waf-compiler-5.4.0:custom \
 -p $(pwd)/allmasking.json -o $(pwd)/compiled_policy.tgz

{"completed_successfully":true,"compiler_engine":"express","filename":"/home/chanok/nginx-app-protect/json_masking/compiled_policy.tgz","file_size":1760117,"attack_signatures_package":{"version":"2025.01.08","revision_datetime":"2025-01-08T16:57:45Z"},"bot_signatures_package":{"version":"2025.01.13","revision_datetime":"2025-01-13T17:24:07Z"},"threat_campaigns_package":{"version":"2025.01.12","revision_datetime":"2025-01-12T10:29:23Z"}}

구성을 적용한 뒤 먼저 데이터 마스킹을 확인합니다.

데이터가 보호 되는 것을 확인할 수 있습니다. 다음으로는 Juice shop의 User Profile을 확인하여 /api/users의 데이터만 마스킹 되는지 확인합니다.

지정된 url만 데이터가 보호 되는 것을 확인할 수 있습니다.

이처럼 NGINX App Protect WAF는 민감한 데이터에 대한 마스킹을 지정하여 민감한 데이터를 보호할 수 있고 지정된 url만 데이터를 보호할 수 있습니다.

4. 결론

NGINX App Protect WAF는 OWASP API Security Top 10(2023)에서 정의한 취약점 중 API3:2023 Broken Object Property Level Authorization에 효과적으로 대응할 수 있는 강력한 보안 솔루션입니다. Data Guard 기능을 활용하여 민감한 데이터를 마스킹함으로써, 클라이언트와 서버 간의 데이터 노출로 인한 보안 위협을 최소화할 수 있습니다. 특히 코드 수정 없이도 정책 파일을 통해 손쉽게 보안 규칙을 구성하고 적용할 수 있다는 점에서 운영 효율성을 제공합니다.

Juice Shop과 같은 시나리오를 통해 확인한 것처럼 NGINX App Protect WAF는 설정된 URL에 대해 정밀한 데이터 보호를 가능하게 하며, 이를 통해 민감한 데이터를 처리하면서도 비즈니스 연속성을 유지할 수 있습니다. 결과적으로, API 보안 강화를 위해 NGINX App Protect WAF는 신뢰할 수 있는 선택지로 자리 잡고 있습니다.

NGINX STORE NGINX App Protect를 방문하여 API Security와 DoS 방어에 대해 더 많은 정보를 확인할 수 있습니다.