74%의 조직에서는 이제 API를 우선시합니다
포인트 솔루션 때문에 더 큰 취약점이 생성되는 과정
2022년 말, T-Mobile에서는 데이터 유출이 발생했습니다. 악용된 API로 인해 3,700만 개의 고객 계정이 노출된 것입니다. 이 유출과 T-Mobile에 영향을 미친 다른 사건으로 인해 연방통신위원회(FCC)와 3,150만 달러의 합의가 이루어졌습니다. 다른 많은 회사들도 계정 탈취 및 신용카드 정보 도용을 통한 사기로 이어질 수 있는 API 공격을 겪고 있습니다.
소프트웨어 개발을 위한 애플리케이션 프로그래밍 인터페이스(API)의 사용이 빠르게 증가하고 있습니다. 이러한 추세는 혁신을 가속화하는 데는 도움이 되지만, 기업에 새로운 위험을 초래하기도 합니다.
생성형 AI에 사용되는 대규모 언어 모델(LLM)을 포함하여 새로운 특징, 기능, 데이터 소스를 소프트웨어로 통합하는 과정을 간소화하기 위해 API가 점점 더 많이 사용되고 있습니다. API 협업 플랫폼 공급자 Postman의 보고서에 따르면 2024년 설문조사 응답자의 74%가 API를 우선시하는 조직이며, 이는 전년도의 66%보다 증가한 수치입니다. Gartner의 보고에 따르면 설문 응답자의 80% 이상이 내부적으로 API를 사용하고 있으며, 70% 이상이 SaaS 벤더가 제공하는 API와 같은 타사 API도 사용하고 있습니다.
안타깝게도 API를 사용하여 새로운 기능과 데이터 소스로 소프트웨어를 연결하면 조직의 공격면도 확장됩니다. API는 zero-day 익스플로잇, 분산 서비스 거부(DDoS) 공격, 인증 남용 등 다양한 공격의 대상이 되었습니다.
가장 중요한 API 위험은? 조직에서 이러한 위험을 해결하여 API의 이점을 계속 극대화할 수 있는 방법은 무엇일까요?
API 보안 위험 및 기존 솔루션의 한계 이해하기
공격자에게 API는 주요 표적입니다. 많은 공격자는 조직에서 적절한 보안을 구현하지 않고 새로운 API를 빠르게 채택하는 경우가 많다는 점을 정확하게 인식하고 있습니다.
이들 공격자는 API 취약점을 이용하기 위해 다양한 방법을 찾고 있습니다. 많은 경우 상위 API 보안 위험 중 하나인 권한 부여 및 인증의 약점을 이용합니다. 이러한 위험은 웹과 모바일 애플리케이션의 경우보다 API의 경우에 훨씬 더 심각합니다. API에는 웹이나 모바일 애플리케이션과 마찬가지로 하드 코딩하거나 일반 텍스트로 남길 수 없는 중요하고 동적인 정보가 포함될 수 있습니다. API에 인증이 부족하거나 지나치게 관대한 권한 부여 정책이 있는 경우 해당 API는 무단 데이터 액세스로 이어질 수 있는 취약한 개체 수준 권한 부여(BOLA) 공격에 취약해집니다.
다른 공격자들은 요청 제한이 없는 API에 압도적인 수의 요청을 전송하여 DDoS 공격을 시작합니다. 공격자가 BOLA, DDoS 등의 공격에 성공하면 신용카드 정보, 의료 정보, 기타 개인 식별 정보 (PII) 등 API를 통해 전달되는 다양한 사용자 데이터에 액세스할 수 있습니다.
조직에서는 API 트래픽을 보호하기 위해 기존의 웹 애플리케이션 방화벽(WAF) 규칙을 사용하는 경우가 많습니다. 그러나 이러한 솔루션에서 사용되는 알려진 위협만 차단하는 '소극적' 보안 모델은 많은 최신 API 특정 공격을 포��착하는 데 적합하지 않습니다. 한편, 너무 많은 조직에서 앱 및 API 보안을 위해 여러 가지 포인트 솔루션을 패치워크 방식으로 구현하고 있어 적용 범위의 공백이 발생하고 관리 복잡성이 가중되고 있습니다.
다각적인 기업 API 보안 전략으로 위험에 대처하기
취약점을 제거하고 모든 API 특정 공격을 차단하려면 다각적인 기업 API 전략이 필요합니다. 팀에서는 모범 사례를 구현하여 기업 전체에서 어떤 API를 사용하는지 더 잘 이해한 다음, 취약점을 정확히 찾아내고, 악의적인 트래픽을 차단하며, 데이터를 보호하고, 관리를 간소화해야 합니다.
가시성 향상: 무언가가 존재하는지를 모르면 그것을 보호하기란 어렵습니다. 그러나 많은 IT 및 보안팀에서는 조직 전체에서 사용 중인 API에 대한 완전한 설명 또는 가시성을 확보하지 못하고 있습니다. API 호출 및 HTTP 요청에 대한 최근 분석에 따르면, 조직에는 자체에서 생각한 것보다 공개 API 엔드포인트가 33% 더 많습니다.
API 검색은 이러한 필수 구성 요소를 보호하는 중요한 첫 단계입니다. 내부 및 타사 API 목록을 작성하면 '섀도우 API' 사용을 없애고 일관된 API 보안 전략을 �구축하는 데 도움이 될 수 있습니다.
동시에 API 검색은 기존에 미리 구축된 기능을 찾아내어 개발 효율성을 높이는 데 도움이 될 수 있습니다. API 카탈로그를 구축하면 개발자가 필요한 기능을 쉽게 찾고 통합할 수 있으며, 이미 API에서 다루는 기능에 대한 코드를 작성하지 않아도 됩니다.머신 러닝 활용: API 검색은 지루한 수동 프로세스여야 할 필요가 없습니다. 머신 러닝을 사용하는 서비스를 이용하면 분석되지 않았을 API 트래픽을 스캔할 수 있습니다.
머신 러닝으로는 API 보호도 개선할 수 있습니다. 특히 머신 러닝 기반 서비스를 사용하면 시간이 지남에 따라 느리게 실행될 수 있는 공격 감지 작업을 할 수 있습니다. 이들 공격은 볼류메트릭 기술을 식별하는 도구를 회피하도록 설계되었습니다.API 위험 상태 파악: 조직에서 어떤 API를 사용하는지 더 잘 이해했다면, 이제 API의 잠재적 위험을 식별해야 합니다. 물론, 잠재적인 문제를 발견하고 해결하는 것은 특히 조직에서 API 보안을 처음 접하는 경우 아주 힘든 것으로 보일 수 있습니다. 올바른 API 보안 도구를 구현하면 팀에서 잘못된 인증 구성, 중요한 데이터 유출 위험, BOLA 공격 취약점 등을 정확히 찾아낼 수 있습니다. 그런 다음 보안 상태를 개선하기 위한 제어와 정책을 추천할 수 있습니다.
능동적인 보안 모델 만들기: API를 더 잘 보호하려면 조직에서는 알려진 위협만 차단하는 수동적인 보안 모델을 극복해야 합니다. '능동적' 보안 모델을 구현하면 악의적 트래픽을 더 많이 포착할 수 있습니다. 사용자는 OpenAPI 스키마를 준수하는 트래픽만 수락하고 다른 요청은 모두 차단할 수 있습니다.
데이터 손실 방지 구현: API 전략은 API를 통해 교환될 수 있는 중요한 데이터의 유출을 차단해야 합니다. 선제적인 접근 방식을 취하는 것이 가장 좋습니다. 응답 페이로드에서 중요한 데이터를 지속해서 스캔하면 데이터 유출 시도를 식별하고 방지하는 데 도움이 될 수 있습니다.
API 도구 통합: 여러 API를 채택하면 개발자가 애플리케이션 기능을 빠르게 강화할 수 있는 효과적인 수단이 제공되지만, 이미 복잡한 IT 환경이 더욱 복잡해집니다. 도구를 통합하여 애플리케이션을 구축하고, 성능을 개선하며, 보안을 강화하면 가시성을 개선하고 IT 환경에 대한 제어 능력��을 다시 확보할 수 있습니다.
클라우드 연결성을 이용하여 다중 포인트 솔루션을 탐색하지 않고도 API 검색, 애플리케이션 개발, 성능 최적화, 보안을 처리하는 통합 플랫폼을 제공할 수 있습니다. 통합 플랫폼을 사용하면 개발 프로세스에 보안을 더 잘 통합하여 개발 프로세스 초기에 잠재적인 보안 문제를 해결하고 새로운 기능을 신속하게 제공하는 데 장애가 되는 요소를 제거하는 강력한 DevSecOps 워크플로우를 구축할 수 있습니다.
API 세계로 나아가기
API 우선 기업을 이끌고 있든, 혁신적인 개발을 가속화하기 위해 사례별로 API를 채택하든, 이러한 필수 인터페이스를 보호하는 것이 최우선순위가 되어야 합니다. 공격자들은 API를 취약한 대상으로 보고 있음을 분명히 했습니다. 올바른 기업 보안 API 전략을 구축하면 다중 포인트 솔루션으로 인해 발생할 수 있는 관리 복잡성을 추가하지 않고도 취약점을 해결할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
API 보안에 대한 CISO 가이드 전자책에서 API 보호에 대해 자세히 알아보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
혁신을 가속화하는 데 핵심적인 API의 주요 취약점
기존 보안 전략의 한계
API 보안 모범 사례로 취약점을 제거하고 위협을 더 잘 감지하는 방법