Runtime Application Self-Protection (RASP)

개요

Runtime Application Self-Protection(RASP)는 애플리케이션이 실행되는 런타임 환경에서 자체적으로 공격을 탐지하고 차단하는 보안 기술입니다. 기존의 WAF(Web Application Firewall)가 네트워크 경계에서 트래픽을 분석하는 방식이었다면, RASP는 애플리케이션 내부에 통합되어 코드 실행 흐름, 시스템 호출, 데이터 입력 등을 실시간 분석하고 보안 위협에 직접 반응하는 것이 핵심입니다. DevSecOps 환경에서 실시간 방어와 위협 인텔리전스 통합을 구현하는 핵심 기술로 주목받고 있습니다.

---

1. 개념 및 정의

RASP는 애플리케이션 코드 내부 또는 런타임 라이브러리로 탑재되어, 입력 데이터, API 호출, 시스템 상호작용 등을 모니터링하면서 위협을 식별하고 자동 대응합니다.

• Agent 또는 SDK 방식으로 애플리케이션에 삽입됨
• 공격 시도를 애플리케이션 컨텍스트에서 탐지 가능
• 사전 차단뿐 아니라 위협 정보 수집 및 경고 제공 가능

---

2. WAF vs RASP 비교

항목	WAF	RASP
배치 위치	네트워크 레벨 (애플리케이션 앞단)	애플리케이션 내부 (코드 수준)
탐지 방식	트래픽 규칙 기반	실행 컨텍스트 기반 실시간 분석
대응 방식	룰 기반 차단	논리적 차단 + 실행 중단 가능
오탐/과탐	비교적 많음	컨텍스트 기반이라 적음

RASP는 더 정확하고 애플리케이션 지능에 기반한 대응이 가능합니다.

---

3. 작동 방식

단계	설명
1. 런타임 인터셉트	애플리케이션 실행 중 API 호출, 시스템 상호작용 가로채기
2. 입력 분석	사용자 입력, HTTP 요청, 쿼리 문자열 등 분석
3. 위협 탐지	SQLi, XSS, RCE, 권한 우회 등 시도 판단
4. 실시간 대응	공격 차단, 요청 중단, 로그 기록, 경고 발생 등 수행

---

4. 기술 요소

기술	설명	적용 예시
바이트코드 인젝션	Java, .NET 등의 바이트코드에 보안 로직 삽입	JVM 기반 WAS 보호
힙/스택 분석	메모리 영역에서 비정상 동작 탐지	버퍼 오버플로우 감지
데이터 흐름 추적	입력값이 위험한 위치에 도달하는 경로 추적	쿼리 인젝션 차단
머신러닝 탐지	행위 기반 이상 탐지 알고리즘 적용	동적 시그니처 학습 및 우회 방어

RASP는 **코드 실행 컨텍스트에서 공격을 “이해하고 판단”**할 수 있습니다.

---

5. 장점 및 이점

장점	설명	활용 사례
실시간 공격 대응	실행 중 위협 감지 즉시 방어 가능	SQL 인젝션 시도 차단
정확한 컨텍스트 기반 탐지	API 호출 흐름, 사용자 정보, 역할 기반 판단 가능	인증 우회 탐지
DevSecOps 연동 용이	애플리케이션 배포 시 자동화 적용 가능	CI/CD + RASP Agent 통합
오탐률 최소화	환경 기반 보안보다 더 정밀한 위협 판별	웹훅 API 공격 탐지 후 경고만 처리

RASP는 보안팀뿐 아니라 개발팀과 DevOps팀에 모두 실질적인 이점을 제공합니다.

---

6. 고려사항 및 한계

항목	설명
퍼포먼스 이슈	애플리케이션 실행 성능에 영향 줄 수 있음 (5~15% 내외)
언어/프레임워크 제약	일부 플랫폼(Java, .NET, Node.js)에 집중되어 있음
탐지 커스터마이징	사전 설정 정책 없이도 자동 탐지가 되지만, 튜닝 필요
보안 오케스트레이션 연계	SIEM, SOAR와의 연계 전략 필요

도입 시 성능 대비 탐지 정확성, 대응 전략, 아키텍처 적합성 검토가 중요합니다.

---

7. 결론

RASP는 애플리케이션 보안을 “실행 환경 내부에서” 구현하는 차세대 보안 전략입니다. 네트워크 보안이 놓치는 공격을 코드 수준에서 실시간 탐지하고 방어할 수 있으며, DevSecOps 체계에서 자동화, 위협 분석, 피드백 루프를 통해 소프트웨어 공급망 보안을 강화하는 핵심 기술로 자리잡고 있습니다. 단순 보안 솔루션을 넘어, 보안이 애플리케이션의 일부가 되는 구조로의 전환, 그것이 RASP의 본질입니다.