앱 스스로 보해 설치·운영 효율성 제고…API 보안 솔루션 런칭으로 보안 강화
[데이터넷] API(Application Program Interface)는 다른 애플리케이션과 의사소통을 위한 사용자 인터페이스로, 정보를 송수신할 때 사용 규칙을 제공하는 것이다.
API를 사용하면 똑같이 반복되는 소스코드 중복을 없애면서 표준화를 꾀할 수 있고, 소스코드의 재사용성을 높여 개발 생산성을 올리는 효과를 낼 수 있다. 또한 애플리케이션 내부 구조를 몰라도 그 애플리케이션을 무리 없이 사용할 수 있다. 이것이 API를 활용하려는 이유이며, 최근 클라우드와 데브옵스로 대표되는 업무 환경 변화에서 API 사용이 필수로 여겨지는 이유이기도 한다.
API가 디지털 트랜스포메이션 변화를 위한 필수적인 요소로 부각되고 있고 기업과 파트너·협력사, 고객 등 디지털 생태계 전반에서 API를 통한 애플리케이션, 데이터에 액세스할 수 있게 되면서, API를 대상으로 한 해커의 공격 또한 크게 증가하고 있다.
가트너에 따르면 IT·보안 의사결정권자의 50%가 API 보안이 API 전략의 중요 과제라고 답했으며, 2022년까지 API 오용이 가장 빈번한 공격 벡터가 될 것이라고 예측하고 있다.
마이데이터, API 보안 필수
우리나라에서는 마이데이터 사업에서 기관 및 서비스 간 정보 전송을 위해 표준 API를 사용할 것을 권고하고 있다. 마이데이터는 흩어진 개인 신용정보를 한곳에 모아 보여주고 재무 현황·소비패턴 등을 분석해 적합한 금융상품을 추천하는 등 자산·신용관리를 도와주는 서비스로, 마이데이터 API 의무화 시점이 유예, 12월 1일부터 API를 통한 서비스를 순차적으로 개시하고 내년 1월 1일부터는 전면적으로 시행하도록 하고 있다.
금융위원회와 금융보안원이 발간한 ‘금융분야 마이데이터 기술 가이드라인’에서는 개인정보 전송시 API 등 정해진 방식을 이용해야 한다고 가이드하고 있다. 마이데이터 서비스를 도입하는 금융권 오픈API 서비스는 다양한 기업과 데이터를 연동을 위한 다양한 환경에서 안전성이 검증된 API 보안 기능을 요구하고 있다.
API 보안 위협 대응을 위해서 API 라이프사이클 전반에 대한 위협 방어가 필요한다. 오픈 API Top10 2019에 명시돼 있는 것과 같이 취약한 사용자 인증, 과도한 데이터 노출, 리소스 부족 및 속도 제한, 부적절한 자산관리, 로깅 및 모니터링 부족 등 API 사용 환경 전반에 대한 보안 위협 대응을 권고하고 있다. 이를 위해 인증 및 API 게이트웨이, 웹 방화벽 및 API 보호 솔루션 등을 통한 위협 대응을 요구하고 있다.
임퍼바는 WAAP(Web Application API Protection) 및 런타임 애플리케이션 자가방어(RASP) 솔루션을 통해 API 라이프사이클에 대한 위협 방어를 제공한다. 마이데이터 사업자에게 반드시 필요한 웹 보안과 API 보안 그리고 실행 중인 애플리케이션 보안을 통합해 제공한다.
<그림 1>과 같이 WAAP 솔루션 도입을 통해 SQL 인젝션, 결합 파싱 공격, 엔티티 확장 공격, 스키마 포이즈닝 등의 정적 보안 위협에 대한 공격 차단을 수행하며 자동화된 봇 프로그램을 이용한 API 공격 대응을 제공한다. WAAP 솔루션의 경우 API 게이트웨이 외부 구간에서 남북(North-South) API 트래픽에 대한 보안 위협 대응을 제공한다.
임퍼바 RASP는 API 서비스를 제공하는 애플리케이션 자체에 대한 자가 방어 기능을 제공한다. 일반적으로 애플리케이션의 경우 취약점이 발견되더라도 오픈소스·소프트웨어를 사용하는 경우가 대부분이기 때문에 즉각적인 보안 패치를 적용하기 어렵다.
임퍼바 RASP는 오픈API 서비스를 제공하는 애플리케이션에 설치돼 애플리케이션 취약점에 대한 제로데이 패치 기능을 제공한다. 이를 통해 오픈API 및 애플리케이션 서비스를 대상으로 알려지지 않은 위협과 공급망 공격 그리고 써드파티 코드 취약점 공격에 대한 방어기능을 수행한다. 또한 웹 애플리케이션 내에서 이상행위를 탐지하기 때문에 애플리케이션 변경이나 관리되지 않은 코드로 인한 공격도 사전에 차단할 수 있다.
WAF·RASP·API 보안으로 웹 애플리케이션 보호
임퍼바는 A금융기관 마이데이터 서비스에 RASP 솔루션을 구축, 마이데이터 API 서비스에 대한 강화된 보안 서비스를 제공한다. 마이데이터 API 보안 서비스 운영과정에서 애플리케이션 행위를 분석해 이상행위 여부를 판단하고 대응하며, 개발·배포 과정에서 탐지하지 못한 취약점이나 운영 중 새롭게 발견된 취약점을 이용한 공격을 차단한다.
임퍼바 RASP는 API 애플리케이션과 함께 동작하며, 코드·환경에 종속되지 않고, 설치와 운영의 편의성을 제공하며 애플리케이션 서비스에 패치 형태로 설치돼 남북 공격뿐 아니라 동서 공격 대응도 가능하다.
임퍼바는 API 보안 전문 기업 클라우드 벡터(Cloud Vector)를 인수해 API 보안을 한층 강화하고 있다. 클라우드 벡터는 모든 API를 지속적으로 자동 검색하며, 심층 검사를 통해 API를 자동으로 페이 로드로 카탈로그화하고, 데이터 계층에서 분석을 통한 심층 API 통찰력을 제공한다.
클라우드 벡터는 WAAP를 기반으로 2021년 4분기에 서비스를 론칭할 계획이며 이후 컨테이너 서비스 환경에서도 API 보안 서비스를 제공할 계획이다. 웹·애플리케이션 보안 부문 글로벌 리더 기업인 임퍼바는 앞서 설명한 WAAP, RASP 및 클라우드 벡터 솔루션을 통해 API 라이프사이클 전반에 대한 보안 위협 방어 서비스를 국내 주요 고객들에게 제공할 계획이다.
