NGINX 인수한 F5 “보안 강구된 효율적인 API 아키텍처가 필요하다”

기업에서 디지털 혁신을 추진하는 데 있어 애플리케이션프로그래밍인터페이스(API)의 역할이 커지고 있다. API는 쉽게 말해 프로그램과 프로그램 사이를 이어주고 소통하는 역할을 담당하는 도구다.

디지털 시대에서 비즈니스 환경에서 요구되는 민첩성과 효율성을 확보하고, 혁신적인 애플리케이션 서비스를 빠르게 제공할 수 있게 만들어준다. 결과적으로 API를 활용해 기업의 경쟁력을 높여 비즈니스 성과를 높이는데 크게 기여할 수 있다.

현대화된 데이터센터 인프라와 애플리케이션을 구현하는데 있어 API는 필수요소로 떠올랐다.

신기욱 F5네트웍스코리아 상무는 최근 바이라인네트워크가 개최한 금융산업을 위한 세미나에서 “API는 데이터센터 인프라와 애플리케이션의 패러다임을 크게 바꾼다”며 API의 중요성을 크게 강조했다.

그에 따르면, 현재의 데이터센터 인프라는 단일한 모놀리식(monolithic) 구조다. 단순화시켜 말하면, 서버에 애플리케이션을 올려 서비스를 전달한다. 네트워크와 보안 운영팀이 인프라를 관리하고 있지만 CICD(Continuous Integration and Continuous Delivery) 구현이 어려운 환경이다.

API는 이같은 인프라를 소프트웨어 중심 인프라로, 개발과 운영이 통합적으로 이뤄지는 데브옵스(DevOps)와 CICD가 가능한 인프라로 바꾼다.

신 상무는 “네트워크와 보안이 API를 통해 서로 연결돼 통신이 이뤄진다. 서드파티(3rd Party)도 API로 연결될 수 있다. 네트워크와 보안 운영은 물론 개발과 운영이 하나의 팀으로 전환돼 새로운 서비스를 빠르게 만들 수 있는 융합 인프라를 만들 수 있다”라면서 “API는 기민성이 뛰어난 클라우드와 컨테이너 인프라를 창출할 수 있게 만든다. API가 없다면 이같은 인프라를 구현할 수 없다”고 설명했다.

모든 기능과 서비스가 담겨져 완성된 형태로 제공되는 애플리케이션의 모놀리식 구조도 API가 변화시킨다. 필요한 각각의 기능을 만들고 각 기능을 API로 연결해 결과적으로 하나의 애플리케이션 서비스를 제공하는 형태가 된다. 이같은 애플리케이션을 현대화된 애플리케이션이라고 말할 수 있다.

신 상무의 얘기다. “예전에는 하나의 애플리케이션에 모든 기능이 들어가 있었다. 새로운 기능을 추가하려면 전체 코드를 열어 삽입한 뒤에 버그를 찾는 등 다방면에서 품질보증(QA) 테스트를 완료한 뒤에 제공했다”라면서 “이제는 새로운 서비스가 필요하면 기능을 만들고 API만 연결하면 된다. 굉장히 빠르게 새로운 서비스가 제공될 수 있고 문제가 생긴다고 하더라도 전체 서비스에 영향을 미치지 않는다. 해당 기능에서 나타난 문제만 해결하면 된다.”

그는 “이같은 현대화된 애플리케이션은 컨테이너화된 인프라에서 구현할 수 있다. 애플리케이션이 다양한 기능으로 쪼개져 마이크로서비스로 제공되는 것이 바로 현대화된 애플리케이션으로 변화된 형태”라고 덧붙였다.

신 상무는 금융사들이 모놀리식 구조로 만들어진 금융 서비스를 마이크로서비스가 가능한 현대화된 애플리케이션으로 전환해야 더 나은 서비스를 제공할 수 있고 경쟁력을 가질 수 있다고 강조했다.

그는 “전체 서비스를 한꺼번에 바꿀 수 없다면 지금 일부라도 시작해야 한다”라면서 “금융사에서 오픈뱅킹이 시작됐다. A사의 금융 애플리케이션에서 B, C, D사의 계좌를 등록해 조회하고 이체할 수 있게 된다. 이 역시 API 통신으로 가능해진 것이다. API로 인한 변화는 이미 시작됐다는 점에서 지금 고민하고 살펴봐야 한다”고 제안했다.

API 서비스를 활용하는 환경에서는 API 보안관리가 매우 중요하다는 점도 지적했다. 이미 인터넷 트래픽의 83%는 API 관련 트래픽이 차지하고 있는데다, API 취약점을 이용한 해킹 공격이 일어나고 있고 대규모 정보유출 사고도 잇달아 발생했다는 이유에서다.

신 상무가 제시한 주요 사고 사례다. “2015년 API 취약점을 이용해 틴더(Tinder)에서 사용자 계정을 활용한 페이스북 크리덴셜 스터핑 공격시도가 발생했다. REST API 취약점으로 인해 150만개의 웹사이트가 해킹됐다. 우버의 API 정보가 유출되기도 했다. 캐피털원의 계정정보가 털려 1억5000만 건의 금융 개인정보가 유출된 것은 API 취약점으로 발생했다.”

신 상무는 “가트너는 API 보안 아키텍처로 안티디도스(Anti-DDoS), 애플리케이션딜리버리컨트롤러(ADC)와 콘텐츠딜리버리네트워크(CDN), 봇마이그레이션, 웹 애플리케이션 방화벽(WAF)를 적용해야 한다고 제시하고 있다”라면서 “이와 함께 사용자 인증도 적용, 관리해야 한다”고 제시했다.

이를 위해서는 무엇보다 “효율적인 API 서비스 아키텍처가 필요하다”며 신 상무는 “1:1로 사용자가 수많은 API로 연결된 서비스마다 각각 통신이 이뤄지게 되면 비효율적이기 때문에 중앙에 API 게이트웨이를 만들어 통신을 수행하는 것은 물론 보안까지 강화할 수 있게 해야 한다”고 했다.

컨테이너·쿠버네티스 환경에서 대표적인 API 게이트웨이는 쿠버네티스 인그레스 컨트롤러(Kubernetes Ingress Controller, KIC)다.

F5네트웍스는 현대화된 애플리케이션을 위한 오픈소스 웹서버 프로그램으로 최근 전세계적으로 많이 사용되고 있는 엔진엑스(NGINX)를 지난 5월 인수했다. 엔진엑스는 오픈소스 웹서버뿐 아니라 로드밸런서, 웹서버, 콘텐츠 캐시, API 게이트웨이, 중앙집중적인 모니터링과 관리를 수행하는 컨트롤러를 모두 제공한다. 기존에 제공해온 WAF 등 보안 솔루션과 더불어 효율적이면서도 보안이 강화된 API 서비스 아키텍처를 구축할 수 있도록 지원한다는 방침이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다