[웹 보안④] API 보안 기술 경쟁 시작
상태바
[웹 보안④] API 보안 기술 경쟁 시작
  • 김선애 기자
  • 승인 2021.08.04 09:00
  • 댓글 0
이 기사를 공유합니다

API 보안 전용 솔루션 국내 공급…마이데이터 시장 공략
RASP로 애플리케이션 이상행위 탐지해 API 보안 기능 지원

[데이터넷] 가트너가 클라우드 웹방화벽의 진화한 모델이라고 설명한 WAAP는 API 보안을 통합한 것이다. API는 애플리케이션 간 정보를 송수신하는 표준화된 전송규격과 절차를 말하며, 애플리케이션으로 운영되는 클라우드에서는 API가 필수다. 우리나라 마이데이터 사업도 기관 및 서비스 간 정보전송을 위해 표준 API를 사용할 것을 권고하고 있다.

API는 애플리케이션 간 중요한 정보가 유통되는 만큼 공격도 집중된다. 2019년 OWASP가 API 보안 위협 톱 10을 지정했을 만큼 API 보안은 심각한 문제로 떠오르고 있다. 특히 개발자의 실수, 논리적 오류로 API를 통해 민감한 데이터가 노출되거나 평문 데이터가 전송되고, API 키가 유출돼 공격자들이 API를 통해 중요한 정보를 탈취하거나 명령을 조작할 수 있다. 임퍼바 조사에 따르면 API 남용으로 2019년 10억건이상 침해가 발생했다.

API 보안은 API를 직접 노리는 공격 방어와 API와 연결돼 있는 애플리케이션과 사용자에 대한 불법 접근을 막는 기술이 필요하다. 또 개발자가 실수로 API 설정을 잘못해 민감한 데이터가 노출될 수 있으며, API 오남용으로 중요한 데이터가 쉽게 유출되거나 공개될 수 있다.

API 보안을 위해서는 공격자에게 API가 노출되기 전에 관리해야 하며, API를 분류하고 취약점을 분석해 적절한 대응 방안을 마련하는 것이 필요하다. API 취약점 경로는 주로 저장소와 저장장치의 보호되지 않은 API 키와 애플리케이션에 하드코딩된 API, API 로직 결함, 스니핑된 API 호출 등이 있다. 그래서 API 보안을 위한 전용 솔루션이 등장했다.

엔시큐어가 국내에 공급하는 임비전의 ‘AAMP’는 사용중인 모든 API를 시각화하고 호출 흐름을 분석해 실시간으로 위협을 감시한다. 자체 개발한 자연어 처리(NLP) 알고리즘을 활용해 보안 담당자는 API 보안 지식이 상대적으로 적어도 문제에 대해 쉽고 빠르게 대응할 수 있다.

비즈니스 로직에 직접적으로 영향을 미치는 의미 있는 이상 징후를 탐지하며 스마트 분석 기술을 활용해 오탐율이 매우 낮다. 머신러닝 기반으로 API 공격을 분석하고 위험을 평가해 알려지지 않은 API 위협으로부터 보호할 수 있으며 공격 패턴을 자동으로 분류 및 그룹화하여 사전에 위협을 탐지할 수 있다.

임비전은 API 보안 테스트 툴 ‘블래스트’를 제공해 소프트웨어 개발 주기에 통합, API 보안 취약점을 사전에 제거한다. 엔시큐어는 이 솔루션으로 마이데이터 API 보안 시장을 만든다는 계획을 밝힌다.또한 임퍼바의 RASP, 웹방화벽과 연동해 웹·API 보안을 한층 강화한다.

RASP로 애플리케이션 라이프사이클 보호

임퍼바는 API 보안 기업 클라우드벡터(Cloud Vector)를 인수하며 API 보안을 강화하고 차별화된WAAP를 완성한다. 클라우드벡터는 모든 API를 지속적으로 자동 검색하며, 심층 검사를 통해 API를 자동으로 페이로드로 카탈로그화하고, 데이터 계층에서 분석을 통한 심층 API 통찰력을 제공한다.

또한 임퍼바는 런타임 애플리케이션 자가방어(RASP) 솔루션을 통해 애플리케이션의 전체 라이프사이클에 걸친 보안을 제공한다고 강조한다.

▲RASP 작동 원리(자료: 임퍼바)
▲RASP 작동 원리(자료: 임퍼바)

RASP는 운영 중 애플리케이션 행위를 분석해 이상행위 여부를 판단하고 대응하는 솔루션으로, 개발·배포 과정에서 탐지하지 못한 취약점이나 운영 중 새롭게 발견된 취약점을 이용한 공격을 차단한다. 애플리케이션과 함께 동작하며, 시큐어 소프트웨어 개발 라이프사이클(SSDLC)의 핵심으로 동작하고, 코드·환경에 종속되지 않으며, 설치와 운영의 편의성을 제공한다. 또애플리케이션에 패치 형태로 설치돼 남북 공격 뿐 아니라 동서 공격 대응도 가능하다.

김한기 임퍼바코리아 영업대표는 “솔라윈즈 사고 후 미국 NIST SP 800-53 Rev.5에서 공급망 공격 제어 방안으로 RASP를 포함시켰다. 공격자는 검증된 소프트웨어에 악성코드를 삽입해 다양한 계층의 보안 시스템을 회피하기 때문에 개발·테스트 중 취약성을찾는 SAST·DAST로 막을 수 없다. NIST는 RASP를 이용해 애플리케이션 내부에서 분석하고 모니터링하는 기법이 필요하다는 것을 강조했다”고 설명했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.