API 보안 솔루션 필수…API 게이트웨이·웹방화벽에 기능 추가
[데이터넷] 클라우드는 작은 서비스 단위를 레고블록처럼 조립해 완성해나가는 마이크로서비스 아키텍처를 택한다. 소프트웨어 재사용성과 이식성을 높여 쉽고 빠르게 서비스를 개발할 수 있게 하기 위해서다. 작게 개발된 서비스는 API로 연결된다. 지난해 아카마이가 발표한 보고서에 따르면 전체 웹트래픽의 25%가 API 트래픽이며 클라우드가 확산되면 API 트래픽 비중은 크게 높아질 것으로 예상된다.
API는 각기 다른 애플리케이션을 연결하는데 사용되며, 중요한 정보도 이동되기 때문에 보안에 각별히 신경써야 한다. 그러나 많은 경우 API는 자체 개발하거나 개발된 오픈소스를 사용하고, 보안 점검을 제대로 하지 않는다. API 개발 과정에서 제거하지 못한 취약점이나 알려지지 않은 신규 취약점, 접근권한을 잘못 설정하는 등의 구성·운영 오류로 인한 사고를 막지 못한다.
API 보안 심각성에 대한 경고는 전문 기관을 통해 꾸준히 제기되고 있다. 가트너는 “2022년까지 API가 엔터프라이즈 웹 애플리케이션 데이터 침해의 큰 원인이 될 것”이라고 밝혔으며, 화이트햇시큐리티는 “API 서버를 통한 해킹 시도를 경험한 기업은 25% 이상이다. 해킹을 겪지 않은 16%의 기업은 공격 시도조차 알지 못하는 상태”라고 지적했다. 또한 라드웨어는 “기업의 82%가 API 조작 시도를 감지했다”고 분석했다.
아카마이는 ‘2020년 인터넷 현황 보고서’를 통해 “최근 2년간 발생한 854억 여 건의 크리덴셜 어뷰즈 공격 중 20%가 API 엔드포인트로 식별된 공격이었다”고 설명했다. 아카마이는 또한 이 보고서의 금융 서비스 대상 공격 파트에서 “금융기관을 노린 크리덴셜 어뷰즈 공격의 75%가 API를 직접 공격한 것”이라고 밝힌 바 있다.
API 오류로 영국항공 23억달러 벌금
API 악용 공격은 매우 자주 일어나고 있으며, 특히 금융기관은 API를 통해 개인 식별정보, 신용카드 정보, 제 3자 제공 금융서비스 연결을 위한 정보 등을 제공하는데, 이러한 정보가 유출돼 심각한 사고를 겪을 수 있다.
API 공격 피해가 잇달아 발생하자 OWASP는 지난해 API 보안위협 톱 10을 발표하고 해당 취약점을 해결하라고 권고한 바 있다.
문성준 엔시큐어 대표는 “클라우드 전환이 본격화된 국내에서도 API 보안에 관심을 가져야 한다. 예를 들어 금융권은 오픈뱅킹 서비스를 통해 API로 다른 금융기관·핀테크 기업과 중요 정보를 공유하는데, API 취약점이나 논리 오류를 이용한 침해 사고가 발생할 위험이 매우 높다”고 말했다.
API 보안 기업 국내 진출
API 보안 피해가 심각한 상태인데, 이를 해결할 수 있는 전문 솔루션을 찾기 어렵다. 대부분의 경우 API 게이트웨이에서 제공하는 기본 보안 기능이나 웹방화벽으로 위협을 제어할 수 있다고 설명한다. 그러나 가트너는 “범용 애플리케이션 보안 솔루션만으로 웹 API를 보호 하는 것은 비효율적”이라며 API 보안 전용 솔루션이 필요하다고 강조했다.
엔시큐어는 이스라엘 보안기업 임비전의 ‘API 이상징후 관리 플랫폼(AMP)’을 국내에 소개하며 API 보안 시장을 열어가고 있다. AMP는 머신러닝을 이용해 실시간으로 API 위협을 탐지하고 모니터링하며, 자연어 처리 기술을 통해 더욱 정교한 이상징후 처리가 가능하다. 제로 프로비저닝으로 관리 복잡성을 제거하며, 다양한 API 프로토콜을 지원한다.
문성준 대표는 “API를 사용하는 모든 서비스에 보안이 필요하다. 금융·이커머스·클라우드 뿐 아니라 전자정부의 대국민 서비스 등에도 API가 사용되며, 보안은 필수”라며 “임비전 솔루션 판매 뿐 아니라 매니지드 서비스 사업자·클라우드 보안관제 사업자 등과의 협력도 다양하게 진행할 것”이라고 말했다.
API 보안 전문 솔루션으로 알려진 것은 임비전이 유일하다. 대부분의 경우 API 게이트웨이, 웹방화벽으로 해결하는데, 이 솔루션들은 API의 알려진 취약점 점검, 사용 권한 통제 등의 기본 기능만을 제공해 공격 방어에 한계가 있다.
그러나 임퍼바는 웹방화벽에 RASP를 연동해 API 이상행위를 찾아낼 수 있다고 소개한다. 운영중인 애플리케이션의 행위를 모니터링하는 RASP는 이스트-웨스트 트래픽을 모니터링해 API 집중적인 마이크로 서비스를 보호한다.
아카마이는 인텔리전트 엣지 플랫폼을 통해 제공되는 API 게이트웨이를 통해 API 보안 문제를 해결할 수 있다고 소개한다. 아카마이 위협 인텔리전스와 웹 위협 방어 기술을 연계한 API 게이트웨이는 API 트래픽이 급증해도 원활하게 처리할 수 있으며, 클라이언트 위치에 게이트웨이 인프라를 복제할 필요가 없다. 쉽게 개발하고 사용할 수 있어 전담 클라우드 인프라 간리 비용과 운영비를 줄일 수 있다.
