섀도우 API란?

섀도우 API는 관리되지 않는 API로, 이를 사용하는 조직에 심각한 위험을 초래할 수 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • '섀도우 API' 정의
  • 섀도우 API가 위험한 이유 알아보기
  • 섀도우 API와 좀비 API의 대비

글 링크 복사

섀도우 API란?

'섀도우' API는 해당 API를 사용하는 조직에서 관리하거나 보안을 유지하지 않는 모든 애플리케이션 프로그래밍 인터페이스(API)를 의미합니다. 섀도우 API는 앱 개발 프로세스 중 또는 다른 비즈니스 기능을 실행하기 위해 개발자 및 조직 내 다른 사용자가 도입하는 경우가 많습니다.

섀도우 API가 반드시 악의적인 목적으로 사용되는 API는 아닙니다. 그러나 조직의 IT 및 보안 팀의 통제를 받지 않으므로 새로운 취약점과 공격에 대한 보호가 불가능합니다.

섀도우 API가 위험한 이유는?

섀도우 API는 본질적으로 악의적인 것은 아니지만, 상당한 위험을 초래할 수 있습니다. 조직의 IT 및 보안 팀에서는 API 보안 기준을 적용하고 개선할 책임이 있지만, 해당 팀에서 확인 가능한 API와 엔드포인트만 보호할 수 있습니다. 이들 팀에서 인지하지 못하는 종속성이 있는 경우 잠재적인 데이터 노출을 추적하거나 규제 준수를 보장하거나 공격을 차단할 수 없습니다.

섀도우 API로 인해 발생하는 가장 일반적인 위험은 다음과 같습니다.

  • 데이터 노출: 섀도우 API는 중요한 데이터에 액세스할 수 있습니다. 이러한 API가 손상되거나 공격을 받으면 데이터가 노출되거나 도난당할 수 있습니다.
  • 내부망 이동: 섀도우 API는 공격자가 중요한 시스템과 계정에 액세스할 수 있는 진입점을 제공할 수 있습니다. 조직의 환경에 침투한 공격자는 기밀 정보를 훔치거나 이 액세스 권한을 사용하여 추가 공격을 시작할 수 있습니다.
  • 패치되지 않은 취약점: 조직에서는 아직 모니터링 및 관리하지 않은 API의 새로운 API 취약점을 패치할 수 없습니다. 섀도우 API가 이미 기본적인 API 공격 및 위험(예: OWASP API 보안 상위 10위)으로부터 보호되고 있더라도 새로운 익스플로잇으로 인해 공격자가 진입할 수 있는 지점이 생길 수 있습니다.
  • 규정 미준수: 많은 조직이 데이터 개인정보 보호법 (예: GDPR 또는 CCPA)의 적용을 받습니다. 섀도우 API를 사용하면 개발자나 다른 사용자가 이러한 규정을 준수하지 않는 방식으로 데이터를 처리할 수 있으며, 이로 인해 벌금이나 기타 심각한 처벌을 받을 수 있습니다.

API 검색이란?

API 검색은 조직 내에서 사용되는 모든 내부 및 타사 API를 카탈로그화하는 프로세스입니다. API는 애플리케이션 개발 강화부터 마이크로서비스 및 기타 외부 기능 연결에 이르기까지 매우 다양한 용도로 사용되므로 조직에서 수백 개(또는 수천 개)는 아니더라도 수십 개의 API를 사용하는 경우가 흔합니다.

API 검색을 통해 조직에서는 애플리케이션 개발을 간소화할 수 있을 뿐만 아니라 제대로 인벤토리화되거나 보호되지 않은 잠재적인 섀도우 API를 발견할 수도 있습니다. 이러한 이유로 API 검색은 API 보안 관행을 개선하고 구현하는 데 있어 중요한 첫 단계입니다.

섀도우 API와 좀비 API의 비교

섀도우 API는 활발하게 사용되고 있으며 관리되지 않는 API입니다. 반면 좀비 API는 더 이상 사용되지 않거나 폐기된 API입니다. 섀도우 API와 달리 좀비 API는 조직에서 이미 식별하고 관리하고 있을 수 있지만, 활발하게 사용되지는 않습니다.

섀도우 API와 좀비 API는 모두 일반적으로 보안이 유지되지 않은 채로 방치되어 손상되고 공격을 실행하는 데 사용될 수 있으므로 이들과 상호 작용하는 조직에 심각한 위험을 초래합니다.

Cloudflare에서는 섀도우 API로부터 어떻게 보호할까요?

Cloudflare API Gateway에는 모든 API 엔드포인트를 자동으로 검색, 모니터링, 보호하는 API 검색 기능이 포함되어 있습니다. 들어오는 요청은 OpenAPI 스키마에 대해 유효성이 검사되고, OpenAPI 스키마는 부적합한 요청을 차단하고 긍정적인 보안 모델을 시행하는 데 사용됩니다. Cloudflare API 검색의 작동 방식에 대해 자세히 알아보세요.