[데이터넷] 클라우드는 레고블록에 비유된다. 클라우드 서비스는 작은 기능 단위로 개발된 레고블록을 조립해 사용하는 방식이라는 뜻이다. 컨테이너, 서버리스 컴퓨팅, 마이크로 서비스 아키텍처(MSA) 등 새로운 개발환경으로 개발된 기능(모듈)을 API를 이용해 조립해 새로운 서비스로 만들어낸다. API는 여러 기능을 조합할 수 있도록 도와주는 기능을 하며, 표준화된 플랫폼으로 개발돼 클라우드 서비스를 제한 없이 확장할 수 있도록 한다.
아카마이는 API를 이해할 수 있는 사례로 피자를 주문할 수 있는 방법을 소개했다. 전화로 직접 주문하거나 직접 방문해 사 올 수 있으며, 홈페이지나 전용 앱을 통해 PC·모바일로 주문할 수 있고, AI 스피커, 스마트TV, SNS, 스마트워치 등을 이용할 수도 있다. 수많은 방법으로 들어온 주문을 각 매장에 전달해 소비자가 원하는 피자를 만들어 주어야 하며, 신용카드, 현금, 각종 간편결제 서비스를 이용해 결제도 원활하게 이뤄져야 한다. 피자 주문과 결제에 필요한 API도 수백개에 이른다는 설명이다.
API는 여러 기술을 연결하는데 필수적인 플랫폼이며, 개별 서비스들은 다른 서비스와의 연동을 위해 표준 API를 개발해 공개한다. 아카마이 조사에 따르면 전체 웹 트래픽의 25%가 API 트래픽인 것으로 나타났으며, 클라우드가 확산되면 이 비중은 더 높아질 것이다.
API 중계 서비스만으로도 비즈니스를 하는 기업도 등장했다. 트윌리오(Twilio)는 세상에 존재하는 모든 API를 연동하는 서비스를 제공하는 기업으로, 온라인으로 예약하면 문자를 보내는 서비스, 음성과 문자 메시지를 전달하는 콜센터 서비스, 이메일과 연동된 서비스 등 다양한 API 매칭 서비스를 제공하고 있다.
API 인증 정보 도용한 공격 다수 발생
API는 모든 클라우드 서비스를 연결할 수 있는 플랫폼이기 때문에 공격도 많이 받고 있다. 파이어아이의 ‘효과적인 클라우드 보안에 대한 접근 방법’ 백서에서는 API를 이용해 금융정보를 도용하는 과정을 설명한다.
공격자는 클라우드 계정 액세스 권한을 획득한 후 클라우드 인증을 사용해 API 키를 만들고 스크립트에 API 키를 사용해 스토리지 위치를 열거한 후, 각 스토리지 위치에 교육 데이터를 검색하고 이를 변경해 수많은 허위 이벤트를 삽입한다. 야간에 금융 시스템이 사기거래 분석 배치 작업을 실행할 때 수백만개의 허위 거래를 포함하도록 한 후 다음날 사기거래 모델을 만들 때 의심스러운 계좌로 거액의 거래가 이체된다해도 정상적인 거래로 인식되도록 한다.
파이어아이 백서에서는 공격자들이 API 접근 권한을 획득한 후에는 익스플로잇을 전혀 사용하지 않고 공격을 진행했다는 점을 강조한다. 이 같은 지능적인 공격을 막기 위해서는 API 보안은 기본으로 탑재돼야 하며 보안운영센터(SOC)에서 면밀한 조사가 이뤄져야 한다고 백서에서는 강조한다.
API 인증과 권한관리에 실패하면 중간자 공격(MITM)을 통한 데이터 탈취가 발생할 수 있으며, 공격자가 클라우드로 침투해 공격 거점을 만들 수 있는 빌미를 제공할 수 있다. 과도한 API 요청으로 애플리케이션 다운타임을 발생시킬 수 있다.
김욱조 라드웨어코리아 상무는 “API는 보안키를 갖고 있지만, 퍼블릭 클라우드에서 이를 제대로 관리하지 못해 해커들이 쉽게 탈취할 수 있다. 대부분의 API는 오픈돼 있기 때문에 공격하기 매우 쉽다. 실제로 클라우드 운영 환경을 분석하면 대부분의 클라우드 인프라에 암호화폐 채굴 악성코드가 다수 설치돼 있는 것을 알 수 있다”며 “API 보안은 클라우드 보안에서 가장 먼저 해결해야 할 문제”라고 지적했다.
보안 강화된 API 사용해야
API를 보호하기 위해서는 보안이 강화된 API 플랫폼을 사용하며, API 인증 권한을 강화하는 것이 좋다. API를 노리는 공격은 주로 악성봇을 이용하기 때문에 악성봇 탐지 솔루션을 사용하는 것도 제안된다.
라드웨어의 ‘봇매니저’는 AI를 이용해 실시간으로 API 공격을 탐지하고 차단한다. 또한 라드웨어 ‘클라우드 워크로드 보호(CWP)’ 솔루션으로도 비정상 API 활동을 감지할 수 있으며, 웹방화벽을 통해서도 비정상적인 봇의 활동을 탐지할 수 있다.
아카마이는 API 보안을 위한 ‘API 게이트웨이’를 제안한다. 전 세계 2400개 데이터센터에 설치된 24만대의 엣지 서버를 통해 API를 확장할 수 있다. 아카마이 엣지서버가 API 역할을 수행, 데이터센터 위치 및 갯수와 관계없이 마이크로서비스로 모듈화된 API별로 관리할 수 있다.
