[데이터넷] 아이씨티넷(사장 강종철)은 API 보안 전문기업 노네임시큐리티와 파트너계약을 체결했다고 6일 밝혔다. 아이씨티넷은 노네임시큐리티 파트너 계약을 통해 마이크로서비스, 마이데이터, 디지털 전환, 클라우드 전환 등을 빠르게 진행하고 있는 국내 고객에게 API 통합보안 솔루션을 공급할 계획이다.

노네임시큐리티의 API 통합보안 솔루션은 API 자산현황관리, API 런타임 보안, 해커의 공격에 필요한 정보 사전차단 기능, API 개발단계에서의 테스트 등을 AI/머신러닝 기반 플랫폼을 통해 제공한다. OWASP의 API 보안 TOP10 리스크의 모든 보안취약점에 대해 탐지·분석할 수 있으며 RESTful API, GraphQL, gRPC, JSON-RPC 등 모든 API와 API 게이트웨이에서 관리하지 못하는 로그(Rouge) API, 섀도우 API 등 기업에서 사용중인 전체 API에 대해 개발단계부터 운영까지 전반적인 API 관리·통합보안 기능을 제공한다.

“API 보안이슈로 전체 프로젝트 35% 개발 지연”

S&P 글로벌 산하 451리서치에 따르면 글로벌 인터넷 트래픽 중 83%가 API 콜에 의해 발생하고 있으며 평균 API 사용률이 매년 200% 증가하고 있다. 그럼에도 불구하고 사용중인 API 현황파악을 거의 하지 못하고 있으며, 26% 정도만 수동으로 관리하고 있는 실정이다. 전체 보안사고 중 약 41%가 API 관련 보안 사고이며, 이 중 63%는 침해·데이터 소실 관련 사고다.

가트너에서도 마이크로 서비스, 디지털전환, 클라우드 서비스 확대에 따라 급증하고 있는 API가 가장 빈번하고 손쉬운 해킹표적이 될 수 있다고 설명하며, API 보안 이슈로 전체 프로젝트의 약 35%가 개발 지연되고 있다고 밝혔다.

노네임시큐리티는 API 보안 전문 솔루션을 공급하는 스타트업으로 2020년 설립된 후 2년만에 포춘 선정 500대 기업의 20% 이상, 스타벅스 등 다수의 유명 글로벌 기업에 공급됐다. 2022년 ‘RSAC 2022’에서 최고의 혁신보안기업, 가장 주목받는 클라우드 보안기업으로 선정됐다.

API 형상관리·런타임 보안·리콘 기능 제공

노네임시큐리는 API 형상관리(API Posture Management) 기능을 제공, 사용중인 모든 API의 인벤토리를 파악, 분석할 수 있다. 각 API에 대한 구성·변경사항, API에 접속하는 데이터 타입, 사용자 수 등 세부적인 내용을 정교하게 분석한다.

개인정보 등 민감한 데이터들을 식별할 수 있어 어떤 API가, 어떤 형태로, 어떤 사용자가 민감한 정보가 포함된 API에 접속하고 있는지 확인하고 관련정보를 관리자에게 제공한다. 표준 API, 비표준 API 및 로그(Rogue), 섀도우 API 등 모든 API에 대해 적용 가능하다.

API 런타임 보안(API Runtime Security) 기능도 지원해 자동화된 AI/머신러닝 기반 플랫폼을 통한 실시간 트래픽 분석을 실시한다. API 보안 취약점을 탐지해 데이터 유출, 조작, 정책 충돌, 이상 징후, 기타 API 취약점 공격에 대해 실시간으로 세밀한 내용을 파악, 분석하고 조치 할 수 있다. 웹방화벽, 방화벽 등 다양한 보안 솔루션과 통합해 관련 위협을 즉시 차단할 수 있다. 동일한 보안 위협 탐지시에는 통합된 보안솔루션들을 통해 자동적으로 차단 조치 할 수 있다.

사이버 킬 체인 선제 대응을 위한 리콘(Recon) 기능은 해커의 행동 양식을 기반으로 해커가 악용할 수 있는 공격경로를 파악할 수 이게 한다. 주기적으로 API 최상위(Root Level), 하위 도메인을 수집하고 공개소스 저장소 등을 사전 수집 탐색해 API 인터페이스 인터넷 공개여부, API 키, 기타 기밀사항 유출 그리고 WAF, CDN 바이패스 여부등의 이슈를 사전에 파악하여 API 공격 사각지대를 사전에 제거할 수 있다.

더불어 액티브 API 테스트(Active API Testing) 기능으로 데브옵스와 결합, 개발단계에서부터 API 보안테스트를 수행, 사전에 보안 취약점을 탐지, 분석을 할 수 있다. 각 개발단계마다 온디멘드로 적용할 수 있고 CI/CD 파이프라인과 통합할 수 있어 ‘시프트 레프트(Shift Left)’ 구현이 가능하다.

또한 프로그램 인프라 변경없이 보안 취약점을 파악하고 API 적용전에 빠르게 리스크를 발견, 제거할 수 있어 전체 개발시간을 단축하고 비용을 절감할 수 있으며 보안 위험도를 제거한 보다 안전한 소스코드를 사용할 수 있다. 이를 통하여 기업은 API 보안테스트를 위한 별도의 솔루션 도입을 위한 비용을 절감할 수 있는 추가적인 이점을 얻을 수 있다.

“API 보안 시장 개척 자신”

노네임시큐리티 플랫폼은 아웃오브밴드 방식으로 구축하기 때문에 기존 인프라 변경없이 손쉽게 구현할 수 있으며 온프레미스 뿐만이 아니라 SaaS 형태의 클라우드 또는 하이브리드 등 다양한 환경에서 구축 운영이 가능하다.

강종철 아이씨티넷 사장은 “API 보안이 화두가 되고 있는 만큼, API 보안의 글로벌 최고업체인 노네임시큐리티와의 파트너 계약을 계기로 본격적으로 보안사업을 확장해 나갈 예정”이라며 “관련 기술인력 영입도 완료했으며, 여러 기업과 관련 미팅을 진행하고 있다. 빠른 시간 내에 고객을 확보하면서 시장을 확대시킬 것”이라고 밝혔다.

김선애 기자 다른기사 보기