“애플리케이션·API, 보안 최대 과제”
상태바
“애플리케이션·API, 보안 최대 과제”
  • 김선애 기자
  • 승인 2021.03.04 17:18
  • 댓글 1
이 기사를 공유합니다
라드웨어 “기업 55%, 올해 ‘API 보안에 크게 투자할 계획’”
“기업 98%, 애플리케이션 공격·82%, 봇 공격 당해”

[데이터넷] 애플리케이션과 API 보안이 최대 위협으로 지목됐다. 라드웨어의 ‘웹 애플리케이션과 API 보호 현황’ 보고서에 따르면 기업의 55%가 애플리케이션과 API 보안이 2021년 ‘높음’ 또는 ‘매우높음’ 수준의 우선 과제가 될 것이라고 밝혔으며, 59%는 일관성과 가시성 문제를 해결하기 위해 2021년 중 API 보호에 투자하거나 크게 투자할 계획이라고 말했다.

이 조사는 라드웨어 의뢰로 오스터맨 리서치가 지난해 11월 1000명 이상 직원을 보유한 조직의 의사결정권자 205명을 대상으로 실시한 것으로, 보고서에서는 “애플리케이션 보안 관리에서 가장 중요한 문제는 플랫폼 간 정책 일관성 및 이벤트 가시성”이라며 “조만간 API 남용은 가장 중대한 위협이 될 것”이라고 밝혔다.

또한 37%의 조직은 이미 발생했을 수 있는 데이터 유출을 인식하지 못하고 있으며, 55%의 조직은 애플리케이션과 API 보안이 2021년 중에 ‘높음’ 또는 ‘매우 높음’ 수준의 우선 과제가 될 것이라고 답했다.

보고서는 “구축과 사용이 간편한 API는 애플리케이션 개발 속도를 높이고 시스템 간에 민감한 데이터를 전달한다. 5분의 2에 달하는 조직에서 절반 이상 애플리케이션이 API를 통해 인터넷 또는 타사 서비스에 노출된다”며 “많은 조직에서 API 보안에 대한 우려가 점점 더 커지고 있다. 응답자 중 55%는 이 영역이 ‘최우선 순위’라고 말하고, 59%는 2021년에 이 영역에 ‘막대한 투자’를 하고 싶다”고 밝혔다.

▲API 사용과 관련된 문제에 대한 우려 수준
▲API 사용과 관련된 문제에 대한 우려 수준

“모바일 앱 보안 부재”

응답자의 98%는 2020년 애플리케이션에 대한 공격이 있었다고 답했으며, 82%는 봇 공격을 받았다고 밝혔다. 불법 봇 활동을 감지하고 방어할 수 있는 전용 솔루션이 있음에도 불구하고 이를 활용하는 조직은 1/4에 불과하다. 응답자들은 봇 공격의 성공 가능성이 다른 유형의 공격보다 더 높다고 말한 반면, 정교한 악성 봇에 대응하는 데 자신 있는 응답자는 39%에 불과했다.

디도스 공격에 대한 경고도 이어졌다. 설문조사 대상자 중 89%는 자신의 웹 애플리케이션을 타깃으로 삼은 디도스 공격을 경험했으며 공격 중 1/3은 매주 발생했다. 애플리케이션 계층에서의 디도스 공격은 흔히 HTTP/S 플러딩의 형태를 띤다. 응답자 중 80%는 애플리케이션에 대한 DoS 공격을 받고 있다고 밝혔다.

코로나19로 인해 모바일 앱 사용이 늘어나면서 이로 인한 위협도 높아졌다. 업무와 교육, 엔터테인먼트, SNS 등을 위해 모바일 앱 사용이 증가했는데, 모바일 앱은 웹 애플리케이션과 동등한 수준의 보안을 갖추고 있지 않았다.

자체의 개발 수명주기에 보안이 완전히 통합된 모바일 앱은 36%에 불과하며, 대부분의 모바일 앱은 보안이 부재하거나(22%) 추가형(bolted-on) 보안만 유지하고 있다(42%). 모바일 앱은 타사에서 개발하는 것이 일반적이지만, 민감한 데이터를 소유한 기업은 보안 개발 관행을 주의해야 한다.

퍼블릭 클라우드 보안 신뢰 낮아

프로덕션 애플리케이션 중 70%는 기업 데이터센터가 아닌 프라이빗 클라우드 또는 퍼블릭 클라우드 공급업체에서 호스팅된다고 밝히면서도 현재 개발 중인 애플리케이션이 퍼블릭 클라우드에서 호스팅될 가능성은 낮다고 설명했다.

57%의 조직은 컨테이너화된 애플리케이션을 사용하고 있지만 응답자 중 52%는 컨테이너 사용이 재정적 효율성을 보장하지 못했다고 답했다. 대부분의 고위급 응답자들은 신기술이 동등하거나 더 나은 수준의 앱 보안을 제공한다고 확신하지만, 이러한 믿음은 해당 응답자가 보안을 중시하는 직위를 맡고 있는지 여부에 따라 그 정도가 다르다.

92%의 조직에서 보안 담당자는 CI/CD 아키텍처에 대한 발언권이 없으며, 사실상 해당 아키텍처를 현재 상태 그대로 보호해야 해야 한다는 어려움을 토로했다. 또 89%의 조직에서 정보 보안 팀은 보안 솔루션에 대한 예산을 소유하지 않는 것으로 나타났다.

응답자들은 퍼블릭 클라우드 마이그레이션에서 발생하는 신뢰 문제를 지적했다. 27%의 응답자만이 클라우드 공급업체에서 제공하는 보안을 ‘완전히 신뢰’한다고 답했다. 퍼블릭 클라우드로 마이그레이션한 기업 중 47%는 프로덕션 앱 호스팅에 둘 이상의 인프라 공급자를 이용하고 있다.

퍼블릭 클라우드로 마이그레이션하면 애플리케이션 보안에 관한 오해 및 신뢰성 문제가 발생하는 경우가 많다. 설문에 따르면, 퍼블릭 클라우드의 강력한 보안에 대해 갖는 신뢰도는 조직의 퍼블릭 클라우드 사용이 증가하면서 더 감소하는 것으로 나타났다.

Tag
#라드웨어 #API 보안 #애플리케이션 보안
저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
최신순 추천순
김환기 2021-03-09 17:56:54
API 보호하기 위해서는 어디 솔루션이 제일 좋을까요
주요기사