웹 보안·AI 기반 API 보안 솔루션으로 보호해야
[데이터넷] 전 세계 인터넷 통신의 57%가 API 통신이며, 기업이 파악하지 못하는 섀도우 API가 30.7%에 이르는 것으로 나타났다.
클라우드플레어의 ‘2024 API 보안 및 관리 보고서’에 따르면 클라우드와 애플리케이션 사용 증가로 API 사용이 크게 늘고 있지만, 대부분의 조직은 사용중인 API를 정확하게 파악조차 하지 못하고 있으며, API 오남용 및 취약점 등으로 인한 보안 문제를 겪고 있는 것으로 나타났다.
트래픽 오류 절반, API 요청 건수 초과로 발생
API 보안위협은 API 자체의 취약성과 가시화되지 않은 섀도우 API, 설계상의 오류로 인한 것이 대부분이다.
섀도우 API의 위험성을 예로 들어보면 2022년 호주 통신사 옵터스(Optus)는 인증되지 않은 API를 이용해 고객 데이터베이스에 액세스 한 것으로 밝혀졌다.
만일 의료기관에서 API를 이용해 특정 시스템에 대한 액세스 권한을 부여하고 있다는 것을 알지 못한 상태에서, 공급업체가 침해를 당해 공격자가 API를 악용, 환자 데이터를 유출했다면 해당 의료기관은 막대한 벌금과 피해보상, 신뢰하락 등의 피해를 입을 수 있다.
클라우드플레어가 모든 계정의 API를 분석한 결과, 59.2%의 조직이 API의 절반 이상에 대해 ‘쓰기’ 액세스를 허용하고 있는데, 이렇게 설정하면 사용자와 다른 앱이 시스템을 변경할 수 있기 때문에 악용되기 쉽다.
API 병목현상으로 장애가 발생, 비즈니스 수행이 어려워지는 일도 빈번하게 발생한다. 클라우드플레어는 API 오리진에서 수조건의 트래픽 오류를 탐지했는데, 그 중 51.6%가 API 엔드포인트에 대한 분당 특정 요청 수를 초과해 서버가 자동으로 API 트래픽을 제한하는 429 오류였다. 공격자는 이 오류를 이용해 디도스 공격을 단행하고 비즈니스를 중단시킬 수 있다.
또 다른 오류로 ‘401 권한없음’이 있으며, 이것은 계정이 탈취됐거나 사용자가 실수로 잘못된 자격증명을 입력했을 수도 있고, 애초에 API 권한 설정이 잘못됐을 수도 있다. 그러나 소비자가 이해했을 때 이 오류 메시지가 나오면 해당 사이트에 대한 불신을 가질 수 있다.
보안 고려 없는 개발 환경으로 API 위협 높아져
보고서는 올해 더 많은 API가 배포될 것이며, 위험도 한층 증가할 것이라고 예측했다. 더 빠르게, 더 효율적으로 개발하고 배포하는 데브옵스 환경에서 개발자는 API 취약점이나 논리오류를 제대로 점검하지 않고 서비스에 적용한다.
보고서에서는 개발자의 73%가 보안팀이 요구하는 작업과 도구가 ‘생산성과 혁신에 방해된다’고 생각하고 있으며, 87%의 CIO는 소프트웨어 엔지니어와 개발자가 ‘새로운 제품과 서비스를 더 빠르게 출시하기 위해 보안 정책과 제어를 타협하고 있다’고 여긴다는 사실을 언급했다.
AI로 인해 API 접근과 사용이 더 늘어나면서 API 위협은 한층 더 높아진다. 보고서에서는 API 호출 비용을 악용한 공격을 사례로 들었다. 생성형AI 앱은 호출당 몇 센트의 비용이 드는데, 공격자가 AI앱의 API에 수백만건의 악의적인 호출을 하면 금전적 손실로 이어질 수 있다.
비즈니스 로직을 이용한 사기 증가도 보고서는 경고했다. 애플리케이션의 계정 생성, 로그인, 전자상거래 등의 작업을 위해 API를 사용하는데, 공격자가 API 요청을 조작할 수 있다. 예를 들어 게임 서비스에서 공격자가 대규모로 새 계정을 자동으로 생성해 확률을 조작할수 있으며, 크리덴셜 스터핑과 한정된 상품을 대규모 계정으로 구입, 다른 곳에서 비싸게 되파는 공격도 가능하다.
API 보안과 개인정보 보호를 위한 규제가 강화되고 있어 이에 대한 준비도 필요하다. PCI DSS는 3월 31일 API 보안을 명시한 PCI DSS v4.0를 시행한다. 카드 결제를 전송하거나 처리하는 모든 조직은 API 취약성을 해결하고 적절한 API 인증을 보장해야 한다.
보고서는 API 보안과 관리 효율성을 높이기 위한 방법으로 앱 개발과 가시성, 성능, 보안을 통합 관리하며, API 게이트웨이를 통해 포지티브 모델로 전환할 것, 그리고 지속적인 API 성숙도 측정과 개선을 권고했다.
더불어 웹 방화벽, DDoS 방어 등의 웹 보안 솔루션을 이용하며, API 보호를 위한 AI 기반 전문 솔루션을 사용할 것을 제안했다.
