API 성장과 맞물려 증가하는 공격
기존의 보안 방식이 남긴 격차 해소하기
현대의 API: 간편한 사용, 어려운 보안
API, 즉 ‘애플리케이션 프로그래밍 인터페이스’는 오늘날 많은 웹 애플리케이션을 구성하고 있습니다. 더 정확하게 표현하자면, API를 이용하면 서버, 엔드포인트, 소프트웨어를 연결해 단 몇 밀리초만에 모바일 데이터를 클라우드와 동기화하는 일부터 코드 프리 애플리케이션 개발을 구현하는 일까지 수많은 작업이 가능합니다.
모든 것이 인터넷에 연결되어 있는 지금, API를 더 보편적으로 사용할수록 공격자에게는 더 매력적인 목표가 됩니다. API 공격의 비중 역시 역대 최고 수준에 이른 것으로 보입니다. 최근 설문에서는 응답자의 53%가 손상된 API 토큰으로 인한 데이터 유출을 경험했다고 답했습니다.
이러한 급증 현상은 전통적인 보안 관행 및 솔루션에 치명적인 간극이 있음을 보여줍니다. 조직이 더욱 현대적인 보안 솔루션으로 이동하고 있다면 API 보호의 세 가지 핵심 과제를 해결해야 합니다.
멀티클라우드 환경 전체에서 API 서비스의 보안을 유지하기는 어렵습니다.
API 배포 및 보안은 함께 갈 수 없습니다.
기존 보안 서비스는 API 보안을 염두에 두고 설계되지 않았습니다.
이 간극을 해결하려면, 보안 및 엔지니어링 팀이 zero-day 익스플로잇과 맞춤형 공격보다 앞서 나갈 수 있도록 현대적인 API 보안 솔루션에서 확장 가능한 자동 API 위협 방어 기능이 제공되어야 합니다. 여기서 웹 애플리케이션 및 API 보호(WAAP) 솔루션이 등장합니다. 이 솔루션은 API를 관리하고, 다양하고 복잡한 신종 위협으로부터 보호하도록 특별히 설계된 전용 보안 서비스 플랫폼입니다.
API 공격의 대가
API 그 자체와 마찬가지로 API 공격 역시 그 규모와 정교함이 급속도로 증가하고 있고, 이를 해결하기 위한 비용 역시 커지고 있습니다.
미국 증권거래위원회의 보고서에 따르면 API 노출로 인해 T-Mobile에는 상당한 데이터 침해가 발생했습니다. 공격자는 두 달에 걸쳐 3천7백만 개의 고객 계정에 담긴 청구 정보, 이메일 주소, 전화번호 등의 개인 데이터에 접근했습니다.
패치가 되지 않은 API 취약점 때문에 더 큰 규모로 표적이 되었던 Twitter의 경우, 사용자가 연결된 이메일 주소와 전화번호에 접근할 수 있었습니다. 이 버그는 7개월 동안이나 방치되었고 이미 공격자는 2억3천5백만 사용자의 계정 정보를 게시해버렸습니다.
조직의 서비스 사용자 수가 대기업보다 적더라도 API 취약점이 있으면 재앙으로 이어질 수 있습니다. 중요한 사용자 데이터가 유출되면 브랜드 평판과 고객 신뢰에 심각한 타격이 생기고, 내부망 이동이 유발되며, 급격한 재정 손실을 입고 법적으로도 지속 연루될 수 있습니다.
그렇다면 조직에 정확히 어느 정도로 비용이 들까요? 한 가지 추정에 따르면 API 보안 사고(API 오류 또는 익스플로잇으로 인한 침해)는 미화 약 410~750억 달러의 연간 손실로 이어집니다.
API 보안을 위한 3가지 과제
공격에 앞서 API를 보호하기 위한 과정에서 조직이 겪는 기본적인 과제는 세 가지입니다.
하이브리드 및 멀티클라우드 환경 전체에서 API 서비스의 보안을 유지하기는 어렵습니다. 평균 규모의 조직은 알려진 API 수백 가지를 대개 멀티클라우드나 하이브리드 환경에서 관리합니다. 이렇게 분산적인 배포 환경에서는 API를 보호하고 감독하는 프로세스가 상당히 복잡해지고, 규모를 늘리려면 중요한 내부 자원까지 소모해야 합니다. 관련 보고에 따르면 응답자 중 78%가 250개 이상의 API 토큰, 키, 인증서를 네트워크에서 관리하고 있으며, API 사용량이 증가하면서 여러 환경에서 수동 보안 프로세스를 관리하는 부담 때문에 부주의에 따른 실수가 발생할 수 있다고 답했습니다.
API 배포 및 보안은 함께 갈 수 없습니다. 엔지니어와 개발자는 계속 API를 만들어 게시하고 있지만, 보안 팀과 협력하여 API를 보호하는 경우는 많지 않습니다. API 개발량이 빠르게 늘어나면서 배포 전 모든 취약점을 감지하여 패치하기란 거의 불가능하며, 결국 그 부담은 보안 팀에게 넘어갑니다.
전통적인 보안 서비스는 API 보호를 염두에 두고 설계되지 않았습니다. 데��이터 탈취부터 인증 익스플로잇까지, API 공격은 특정 API 기능 및 잠재적인 취약점을 깊이 있게 맥락적으로 이해하여 이용하는 경우가 많습니다. 일반적인 공격으로부터 API를 보호할 수 있도록 기존 도구 세트(웹 애플리케이션 방화벽, 봇 관리, DDoS 완화 등)의 기능이 계속 늘어나고 있지만, 이 도구들은 API 위협의 특수한 성격에 대비해 설계되지 않았으며 API를 문서화하고 분석하고 대규모로 방어하는 데 필요한 세부 제어 기능을 제공하지도 않습니다.
과제를 해결하는 WAAP
특정 API 취약점에 맞춘 전술을 이용하는 공격자를 막으려는 조직은 API 동작 및 위험을 깊이 있게 이해하고 엔지니어링 팀과 보안 팀의 운영을 간소화하는 등 위협 방어 방식을 맞춤 조정해야 합니다
Gartner에서 “웹 애플리케이션 및 API 보호(WAAP)”라고 부르는 클라우드 기반 보안 스택에 속하는 현대적인 API 보안 솔루션이 늘어나고 있습니다. 일반적인 WAAP 솔루션은 다음과 같은 주요 기능을 갖추고 있습니다.
차세대 웹 애플리케이션 방화벽(NGFW)을 갖추어 의도치 않은 트래픽을 필터링하고, zero-day 익스플로잇을 방어하고, 네트워크 보안 정책을 시행합니다.
분산 서비스 거부(DDoS) 방어 기능을 갖추어 볼류메트릭 공격과 장기적인 공격을 모두 완화합니다.
봇 관리 기능을 갖추어 지문, 휴리스틱, 머신 러닝의 조합으로 악의적인 봇 동작을 차단합니다.
API 보호 기능을 갖추어 API 트래픽을 분석 및 분류하고, 트래픽 관련 제어를 사용자 지정하면서도 JavaScript 익스플로잇에 대비하여 클라이언트측을 강력하게 보호합니다.
WAAP 솔루션의 주요 이점은 API에 대한 더 뛰어난 가시성과 제어권을 조직에 제공한다는 점입니다. 보안 팀은 API 검색 기능으로 API 엔드포인트를 검색, 분류, 모니터링하고, API 악용 감지 기능으로 고급 이상 감지를 수행해 악의적인 트래픽 패턴을 추적, 분석하여 볼류메트릭 공격을 차단할 수 있게 됩니다.
WAAP는 복잡하고 지속적인 공격으로부터 API 보호를 강화하는 한편 멀티클라우드 환경에서도 API를 보호하도록 도와줍니다. 중앙 API 카탈로그는 조직 API의 기준을 확립하는 데 유용하며, 이러한 기준으로 보안 팀이 가시성을 잃지 않고 일관된 정책을 적용할 수 있습니다.
WAAP의 “리더”
Gartner의 최근 WAAP 벤더 평가에서 Cloudflare는 웹 애플리케이션 및 API 보안 부문 “리더”로 선정되었습니다.
285개 이상의 데이터 센터에 걸친 전역 네트워크와 초당 평균 4천5백만 건의 HTTP 요청을 처리할 수 있는 능력을 갖춘 Cloudflare는 네트워크 패턴, 공격 벡터, API 트래픽에 관한 독보적인 통찰력을 보유하고 있습니다. API 검색 기능, API 관리 및 분석, 트래픽에서 이상 행동을 모니터링하여 볼류메트릭 DDoS 공격과 악의적인 봇 활동 등을 완화하는 계층형 API 방어 기능 등의 통합 보안 서비스 제품군은 이와 같은 가시성을 통해 더욱 확장되고 강화됩니다.
Cloudflare의 WAAP 포트폴리오는 보안 팀이 직접 구성하고 관리해야 하는 업무 부담을 덜어줍니다. 조직에서 Cloudflare 보안 센터를 이용하면 추가로 배포하거나 확장하지 않아도 API 환경의 위협을 하나의 위치에서 추적, 조사, 완화할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
Gartner® Magic Quadrant™ 웹 애플리케이션 및 API 보호(WAAP) 부문에서 Cloudflare가 리더로 선정된 이유를 알아보세요!
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
API가 공격자들의 주요 표적인 이유
53%의 조직이 손상된 API 토큰 때문에 데이터 유출을 경험한 이유
API 보안의 3가지 과제
WAAP가 API 문제를 해결하는 방법