엔시큐어 “API 보안, 가시화·위협탐지·테스트 고려해야”

By성아인

“응용 프로그래밍 인터페이스(API) 보안업체를 선택할 때 가시화, 위협탐지, 테스트 이 세 가지를 기본으로 가져가는 게 기본 요소입니다.” 

바이라인네트워크가 주최한 ‘클라우드 네이티브 시큐리티& 제로트러스트 컨퍼런스 2023’에서 엔시큐어 손장군 이사는 ‘오픈 API 보안 사고 사례 및 대응 방안’를 발표하며 이같이 제안했다. 또 최근 웹 트래픽 80% 이상이 API 트래픽인 가운데 API 보안에 대한 가이드라인과 솔루션 도입에 대해 어떤 관점이 필요한지 설명했다. 엔시큐어는 API 보안 관리로 ‘노네임 API 보안 관리 플랫폼’을 제공하는 기업이다. 

API 보안이 필요한 이유는 API가 이제 필수적이기 때문이다. 손 이사는 “최근 서비스간 경쟁이 치열해질 뿐만 아니라 서비스가 마이크로화되는 상황에서 API를 쓸 수 밖에 없는 환경”이라고 설명했다. 대개 API라고 하면 외부 기업간거래(B2B) API를 많이 생각하지만, 손 이사는 이날 외부 B2C API, 내부 API까지 전부 아울러 설명했다.

API는 이미 빈번한 공격대상이기도 하다. 가트너그룹은 “2022년까지 API가 빈번한 공격 대상으로 전환돼 2023년에 2배로 급증할 것이다”고 분석한 바 있다.  

API 보안 사고를 살펴보면, 대부분은 인증과 권한을 뛰어넘어 일어났다. 손 이사는 “웹보안, 시큐어 코딩, 모바일 보안 등 다양한 애플리케이션 보안을 연구하는 민간 국제연구기관 OWASP API 보안 위협 2019 TOP 10에서 인증과 권한을 넘어 정보를 빼갔던 것이 많았다면, 2023년 동일 조사에서는 이와 같은 항목이 더 증가했다”고 말했다. 조사 결과에 따르면 2019년 항목에 있던 설정에 대한 미흡은 모두 사라지고, 인증과 권한과 관련된 위협이 더욱 세분화했다. 손 이사는 “잘못된 부분으로 접근해 정보를 탈취하는 사례가 늘어나고 있다”고 덧붙였다.

실제 다양한 보안 사고가 API 사고다. 손 이사가 소개한 대표적인 사례는 지난해 호주 최대 통신사 옵투스(Optus)가 1조1200만달러에 달하는 고객 개인정보를 탈취 당한 사건이다. 해당 사건 공격자는 옵투스에게 1000만달러를 요구했다. 국내에서는 2021년 말 네이버파이낸셜 마이데이터 100명 고객 정보가 유출된 사례도 있었다. 사용자 인증 과정이 손상되거나 보안 구성 오류인 경우도 나타났다.

모든 트래픽을 동일하게 보는 웹 방화벽 등으로는 API 보안이 어렵기 때문에 API 보안 기술이 필요하다는 게 송 이사의 설명이다. 그는 API 보안에 대해 “웹 방화벽은 API 위협이 있어도 모두 정상으로 본다”고 경고하며 “API는 다른 웹트래픽과 성격이 다르기 때문에 API를 전문으로 하는 보안 방식이 필요하다”고 강조했다. 웹방화벽과 소스코드 분석툴도 당연히 필요하다. 또 API 게이트웨이에서 이야기하는 보안은 암호, 접근 제한 수준으로 “로지컬한 영역을 막기 어렵다”며 API 보안의 필요성을  힘줘 말했다.

송 이사의 설명에 따르면 API 보안을 언급하는 다양한 연구나 가이드라인 권고는 ‘가시화 상태관리/ 위협탐지/테스트’ 3가지를 중시한다.

우선 가시화 상태 관리는 API 보안에 있어서 레거시, 섀도 API를 포함한 모든 API 검색 및 평가를 의미한다. 송 이사는 “중요 정보를 다루는 API, 인증정보를 다루는 API 등을 알기 어렵다”며 “한 고객사 사례를 보면 각각의 API 숫자를 세보면 마이데이터 하나만 800~1000개의 API를 가지는데 ,수시로 업데이트되고 새로운 API가 추가된다”고 설명했다. 이렇게 역동적인 환경에서는 매번 변경을 확인하기 어렵다는 이야기다. 

또 위협탐지에 대해 API 위협을 리얼타임, 리얼타임에 준하게 파악하는 런타임 위협 탐지 기능이 필요하다. 송 이사는 마지막으로는 보안 테스트를 할 수 있는 기능이 필요하다고 덧붙였다.

마지막으로 그는 “보안 관점에서 보면 해커가 취약점을 찾으면 공격 시간보다 수정이 더 오래 걸린다”며 “이에 대해 각 개발 워크플로우나 다양한 워크플로우를 태워 자동화할 수 있는 솔루션들이 나오고 있다”고 설명했다. 더해 API 보안만 전문으로 하는 엔시큐어의 노네임을 포함해 API 보안 도입을 위한 다양한 솔루션과 플랫폼 도입을 고민할 때 세 가지를 기본적으로 고려햘 것을 당부했다.

 글. 바이라인네트워크
<성아인 기자> aing8@byline.network 

노는 게 제일 좋아

aing8@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다