웹·API 보안 통합 솔루션으로 마이데이터 보호
[데이터넷] 마이데이터 서비스에서 가장 민감하게 받아들여지는 것이 개인정보 전송이다. 마이데이터는 여러 기업과 개인정보를 공유하고 분석해 개인 맞춤형 금융 서비스를 제공해야 하기 때문에 실시간 안전하게 데이터를 전송해야 한다.
금융위원회와 금융보안원이 2월 발간한 ‘금융분야 마이데이터 기술 가이드라인’에서는 개인정보 전송 시 API 등 정해진 방식을 이용해야 한다고 적시하고 있다. 마이데이터 관련 기업들은 오픈뱅킹 서비스를 위해 준비된 오픈API를 사용하면 안전하다고 생각하지만, 금융권 오픈API는 제한된 금융기관에서만 사용한 것으로, 다양한 기업과 데이터를 연동해야 하는 마이데이터는 다양한 환경에서 안전성이 검증된 API 보안 기능을 요구한다.
가트너 조사에서는 IT·보안 의사결정권자의 50%가 API 보안이 API 전략의 중요 과제라고 답했으며, 임퍼바 조사에서는 2022년 API 남용으로 인한 공격이 빈번하게 발생할 것으로 예상했다.
API 보안 위협은 기업이 사용 중인 API 관리에 소홀하고, API 타깃 공격 탐지와 차단이 부족하며, API 접근제어 부족, 논리적 설계 오류 등에 의해 발생한다. 따라서 API 보안을 위해서는 공격자에게 노출되기 전 API를 관리해야 하며, API의 종류와 특징을 분류해 ▲모바일·웹 등 클라이언트 타입 ▲내부·개인·B2B·공개용 등 API 적용 범위, 클라우드·온프레미스·하이브리드 등 위치 ▲데이터 민감성과 제품 소유자, 비즈시 목표 등 사업방향 ▲전송 플랫폼과 업데이트 주기, 개발 방법론 등 기 술의 특수성을 고려하는 것이 필요하다.
API 취약점 경로를 분석하며, 저장소와 저장장 치에 보안되지 않은 API 키, 애플리케이션의 하드코드 된 API, API 로직 결함, 스니핑 된 API 호출 등의 취약점을 점검한다. API 수명주기 전체에 API 보안을 적용하며, API 보안 테스트(AST)는 지속적인 API 품질 테스트에 통합해 적 용하는 등 지속적인 API 보안이 이뤄지도록 한다.
분산시행모델을 사용해 경계 뿐 아니라 전체 아키텍처에서 API를 보호하도록 하며, MS AD 등 ID 인프라와 연계한 API 관리 혹은 웹 방화벽을 통한 API 보호, API 보호 솔루션을 통한 보호를 지원해야 한다.
김한기 임퍼바코리아 영업대표는 API 보안을 위해 점검해야 할 상기 사항을 설명한 후 “최근 사이버 공격은 웹 애플리케이션 취약점과 API에 집중되고 있다. API 보안 취약점이나 섀도우 API를 이용한 공급망 공 격 발생 가능성도 매우 높으며, 마이데이터 서비스에 도 이런 위협에 대응할 수 있는 방안이 반드시 마련돼야 한다”고 지적했다.
임퍼바는 웹방화벽과 런타임 애플리케이션 자가방어(RASP) 솔루션을 이용해 WAAP(Web Application API Protection) 보안을 제공한다. 마이데이터 사업자에게 반드시 필요한 웹 보안과 API 보안, 실행 중인 애플리케이션 보안을 통합 제공한다. 또한 API 보안 솔루 션 기업 클라우드벡터를 인수하면서 WAAP 역량을 한 층 강화한다.
RASP는 사용자 영역의 프론트 계층 대응(XSS, HTMLi, OGNi, XXE 공격 등)과 서버 영역의 백엔드 계층 대응(SQLi, CMDi 공격 등)이 가능하다. 알려지지 않은 위협과 공급망 공격 방어, 써드파티 코드 취약점 공격 방어도 지원한다. 웹 애플리케이션 내에서 이상행위를 탐지하기 때문에 애플리케이션 변경이나 관리되지 않은 코드로 인한 공격도 사전에 차단할 수 있다.
