소프트프릭 “AI·ADR 결합한 API 거버넌스로 보안 혁신 이끈다”
김동철 소프트프릭 대표 인터뷰
인공지능(AI)과 클라우드, 모바일 서비스의 확산으로 기업의 디지털 구조는 더욱 복잡해지고 있다. 여러 시스템과 애플리케이션이 서로 데이터를 주고받으며 연결되는 환경에서, 그 중심 역할을 하는 ‘애플리케이션 프로그래밍 인터페이스(API)’가 이제는 모든 서비스의 핵심 통로이자 보안의 최전선으로 떠오르고 있다.
국내 API 보안 스타트업인 소프트프릭(Softfreak)의 김동철 대표는 “API는 프로그램과 프로그램이 서로 대화하는 통로이자 디지털 서비스의 혈관”이라고 설명한다. 우리가 스마트폰에서 날씨 앱을 열어 “오늘 날씨 어때요?”라고 물으면, 이 질문은 앱이 기상청 서버로 API 요청을 보내는 과정이다. 서버는 “맑고 25도 입니다”라는 데이터를 다시 API 응답으로 돌려준다. 눈에 보이지 않지만 로그인, 결제, 주문, 배달, 사내 업무 시스템까지 대부분의 디지털 서비스는 이 과정을 거친다.
요즘 서비스 중 API가 없는 건 없다. 은행 앱이든 배달 플랫폼이든, 기업 내부의 서비스형 소프트웨어(SaaS)까지 모두 API로 연결돼 있다. 결국 API가 멈추면 서비스 전체가 멈춘다. 공격자 입장에서는 API가 가장 효율적인 침투 경로다. 사용자에게는 정상적인 요청처럼 보이지만 내부 로직이나 인증 절차의 빈틈을 노려 데이터를 빼간다. 결국 API를 보호한다는 건 서비스의 신뢰와 기업의 평판을 지키는 일이다.
소프트프릭은 2022년 설립된 3년차 API 보안 전문 스타트업이다. 기업의 API 생태계를 통합 관리·보호하는 플랫폼을 중심으로, 보안·거버넌스·애플리케이션 탐지·대응(ADR)등 데이터 흐름 중심의 기술을 자체로 개발하고 있다. 창업 3년 만에 클라우드·금융·공공기관 등으로 고객의 폭을 넓혀가고 있다. 김 대표는 보안 전문기업인 케이사인과 샌즈랩 등에서 보안 솔루션 개발과 서비스 기획을 담당하며, 국내 보안 시장의 변화를 현장에서 경험한 전문가다. 그는 여러 시스템 통합(SI) 프로젝트를 수행하며 기존 경계형 보안의 한계를 절감했다.
데이터가 클라우드와 모바일로 흘러가기 시작하면서, 더 이상 방화벽만으로는 보호가 어렵다는 걸 느꼈다. 서비스 간 통신이 모두 API로 이루어지는데, 정작 이 ‘데이터의 길목’인 API를 지키는 기술은 국내에 없었다.
김 대표는 이 문제의식을 계기로 2022년 소프트프릭을 창업했다. 초기에는 웹 애플리케이션 방화벽 고도화 프로젝트를 진행했지만, 클라우드 전환과 모바일 API 폭증을 계기로 사업 방향을 틀었다. API의 흐름 자체를 제어해야 진짜 데이터 보안이 가능하다는 판단이었다. 이후 그는 단순한 침입 차단이 아닌 ▲API 가시성 ▲API 거버넌스 ▲인공지능(AI)의 API 대상 위협 대응을 아우르는 종합 API 관리 플랫폼을 만들고 있다.
API와 API 보안의 개념을 쉽게 설명해준다면?
API는 프로그램과 프로그램이 서로 대화하는 통로다. 스마트폰에서 날씨 앱을 열고 ‘오늘 날씨 어때요?’라고 물으면, 이 질문은 앱이 기상청 서버로 API 요청을 보내는 과정이다. 서버는 ‘맑고 25도’라는 데이터를 다시 API 응답으로 돌려준다. 이처럼 눈에 보이지 않지만, 로그인과 결제, 배달 주문 등 대부분의 디지털 서비스가 API로 연결돼 있다.
API는 디지털 서비스의 혈관과 같다. 이 혈관이 막히거나 새면 데이터가 바로 유출된다. 로그인 API가 취약하면 계정 탈취로 이어지고, 결제 API가 노출되면 금전 피해로, 고객정보 API가 허술하면 개인정보 유출로 이어진다.
문제는 기업들이 수백, 수천 개의 API를 운영하면서도 정작 어디에 무엇이 있는지 모른다는 점이다. 관리되지 않는 ‘섀도우 API’가 생기고, 공격자는 이런 숨은 통로를 노린다. 결국 API 보안은 단순히 침입을 차단하는 게 아니라, 보이지 않는 통신을 보이게 하고, 이상 행위를 즉시 탐지·차단하는 기술로 진화하고 있다. API 보안은 기업의 신뢰성과 고객 데이터 보호를 떠받치는 핵심 인프라가 될 것이라고 본다.
API 보안과 관련해 은행에서 발생한 ‘1원 인증’ 공격 사례를 들은 적 있다. 어떤 문제였나?
1원 인증은 은행 계좌로 1원을 송금하고 송금 메모를 확인해 본인 인증을 완료하는 절차다. 사용자 입장에서는 단 한 번의 인증이지만, 내부적으로는 계좌 확인·송금 요청·결과 조회·코드 검증 등 여러 개의 API가 순차적으로 호출된다.
공격자는 이 구조를 악용해 인증 API를 자동화 도구나 봇으로 수천, 수만 번 반복 호출한다. 기업은 단 한 명의 사용자를 위한 요청을 수만 건 처리해야 하고, 이 과정에서 서버 과부하와 비용 증가, 심한 경우 서비스 장애까지 발생한다.
더 심각한 건 공격자가 이 절차를 자동화해 계좌 검증, 계정 생성, 보이스피싱 준비 등 악용 행위로 확장할 수 있다는 점이다.
이런 공격이 가능한 이유는 API가 정상 로직처럼 보이기 때문이다.공격자는 정식 경로를 이용하므로 일반 보안 장비로는 구분하기 어렵다. 결국 행위 기반 탐지, 즉 정상처럼 보이지만 정상과 다른 행위를 식별하는 기술이 필요하다.
국내 API 보안시장의 수요는 어느 정도인가?
국내는 아직 초기 단계지만 글로벌 시장은 이미 빠르게 성장하고 있다. 미국에는 이미 솔트시큐리티 같은 API 보안 전문 기업들이 등장했고, 아카마이(Akamai)는 지난해 6500억원 규모로 API 보안 전문 기업인 노네임시큐리티를 인수하기도 했다.
국내에서도 클라우드·마이데이터 확산으로 API 호출량이 폭증하면서 보안 수요도 함께 늘고 있다. 과거에는 웹 방화벽(WAF)이 주요 방어 수단이었지만, 이제는 API가 어떤 데이터를 주고받는지, 인증·권한이 제대로 작동하는지까지 세밀히 살펴봐야 한다. 웹 공격만 차단하는 시대는 저물고 있다. 특히 금융, 공공, 통신, 스마트시티처럼 서비스와 데이터가 얽힌 분야는 API 취약점으로 인한 사고 위험이 크다. 최근 현장에서는 단순한 필터링보다 API의 가시성, 자산 관리, 이상 탐지기능을 요구하는 추세다.
소프트프릭의 기술적 강점은?
소프트프릭은 단순한 차단 기술이 아닌, API 생태계 전체를 관리하는 플랫폼을 지향한다. 보안은 막는 것이라는 인식이 일반적이지만, API 보안은 보이는 것부터 시작해야 한다.
소프트프릭의 대표 솔루션 ‘파핌 시큐리티(F-APIm Security)’는 API를 자동으로 탐색해 인벤토리를 구성하고, 숨은 섀도우 API까지 찾아낸다. ‘OWASP API Top10(전세계 보안전문가들이 참고하는 OWASP라는 국제 비영리단체가 발표한 API 보안 취약점 10대 목록)’에 기반한 룰셋으로 ▲인증 우회 ▲과도한 데이터 노출 ▲비인가 접근 등 주요 공격 패턴을 실시간 탐지하며, API 요청·응답 안에 포함된 개인정보를 자동 식별해 마스킹한다.
기술적으로는 ‘확장 버클리 패킷 필터(eBPF)’ 기반의 커널 이벤트 수집을 통해 암호화된 트래픽조차 복호화·분석하고, 미러링·프록시 구조로 서비스 지연 없이 실시간 차단한다. 프록시 구조는 사용자와 서버 사이에 중간 지점을 두고 데이터를 대신 전달·감시하는 방식으로, 서비스 흐름을 바꾸지 않으면서도 위험한 트래픽만 선별해 차단할 수 있다. 이를 통해 모든 이벤트와 정책 결정은 블랙박스처럼 기록되어 사후 감사·포렌식에 활용할 수 있다.
또 다른 차별점은 ADR 기술이다. API 호출이 서버 내부에서 실제로 어떤 프로세스를 실행하고, 어떤 시스템 이벤트(파일 접근·권한 변경 등)를 유발하는지까지 추적한다.즉, API 외부의 요청과 내부 동작을 하나의 타임라인으로 통합 분석하는 구조다.
한국인터넷진흥원과 함께 ‘API 적응형 보안’ 기술을 개발하고 있는 것으로 알고 있다. 어떤 기술인가?
적응형 보안 기술의 핵심은 머신러닝 기반의 자동 학습이다. 기존 보안은 미리 정해둔 룰에 따라 공격을 탐지했지만, 공격 패턴은 계속 바뀐다. 소프트프릭의 기술은 AI가 스스로 API의 정상 행위 패턴을 학습하도록 설계됐다. 예를 들어 평소 9~18시에만 들어오는 API 호출이 새벽에 몰리거나, 기존에 없던 호출이 등장하면 AI가 즉시 경고를 띄운다. 또 대규모언어모델(LLM)을 적용해 이름·주소·전화번호처럼 패턴이 일정치 않은 개인정보도 맥락을 통해 탐지한다.
공격자는 여러 API를 단계적으로 호출해 침투하는데, 소프트프릭은 이를 ‘API Call Sequence 기반 악성 행위 탐지’로 추적해 공격이 완성되기 전에 차단한다. 현재 기술은 대부분 완성됐으며, 한국정보통신기술협회(TTA) 검증만 남았다. 새 API가 추가되거나 트래픽이 변해도 AI가 자동으로 적응해 보안팀이 룰을 일일이 수정할 필요가 없다. 말 그대로 스스로 진화하는 API 보안을 구현할 수 있다.
API 보안을 넘어 ‘API 거버넌스’라는 개념도 나오고 있다. API 거버넌스는 보호 개념과 어떻게 다르며 왜 필요한가?
API 보호가 API에 대한 공격을 막는 보안 기능이라면 거버넌스는 운영 체계다. 기업에는 수많은 API가 존재한다. API마다 권한 체계, 인증 방식, 데이터 포맷이 제각각이면 통제가 불가능하다. 예를 들어 어떤 API는 JWT(JSON Web Token, 로그인 후 서버가 발급하는 암호화된 인증 토큰으로, 사용자가 다시 비밀번호를 입력하지 않아도 신원 확인이 가능한 방식) 인증을, 다른 API는 단순 키 인증을 사용헌다. 서로 다른 테스트용 API가 운영에 남아 있다면 이것은 단순 취약점이 아니라 거버넌스 실패라고 볼 수 있다.
소프트프릭은 기업이 사용하는 모든 API를 한눈에 확인하고, 규정에 맞게 점검하며, 위험 요소를 자동으로 개선할 수 있는 체계를 구축했다. 또 ‘소프트웨어 자재명세서(SBOM)’개념을 적용해, 각 API가 어떤 외부 프로그램이나 구성 요소를 쓰는지도 투명하게 관리하게 했다. 이렇게 수집·관리된 데이터는 단순한 자산 정보에 그치지 않는다.
소프트프릭은 이를 ADR 기술로 확장해, API 호출이 실제 시스템에서 어떤 파일 접근이나 네트워크 행위를 유발하는지를 AI가 실시간으로 분석한다. 결국 거버넌스는 단순한 방어를 넘어 API 생애주기 전체를 통합 관리하는 보안 운영 체계를 의미한다.
향후 API 보안이 중요해질 산업군은 어디인가?
가장 빠르게 늘어나는 곳은 금융과 공공이다. 마이데이터 서비스처럼 기관 간 데이터 교환이 많아지면서 API 노출 범위가 넓어졌다. 차세대 산업으로 주목받는 자율주행, 헬스케어, 물류, 에너지, 로봇 산업 등 데이터 중심 산업도 마찬가지다.
또한 최근에는 챗GPT와 같은 대규모언어모델의 API가 새로운 보안 위협으로 떠오르고 있다. 기업 내부 데이터를 외부 AI 모델과 연결할 때, 어떤 데이터가 오가는지 파악하지 못하면 내부 기밀이 그대로 유출될 수 있다. 이제 API 보안은 IT 부서의 기술 이슈가 아니라, 기업 신뢰와 경쟁력을 좌우하는 경영 과제가 되고 있다.
올해 실적과 향후 계획은?
올해 매출은 50억~60억원으로 예상하고 있다. 영업이익과 당기순이익은 지난해보다는 다소 감소했다. 올해 연구개발(R&D) 투자를 대폭 늘였기 때문이다. 당기순이익이 작년(2024년) 기준 15억원 정도였다.
최근에는 공통평가기준(CC) 취약점 분석 솔루션을 완성했고, API 보안과 통합 관리 기능을 결합한 차세대 제품도 준비 중이다. 또한 국내뿐 아니라 베트남 하노이 과학기술대학교와 협력해 해외 연구 인력을 채용하는 등 인재 양성에도 힘을 쏟고 있다.
장기적으로 소프트프릭은 5년 내 기업공개(IPO)를 목표로 하고 있으며, 글로벌 시장 진출도 병행할 계획이다. 한국의 보안 기업들이 해외에서 안착하기 어려운 이유를 그동안 충분히 경험해온 만큼, 이번에는 전략적으로 접근해볼 계획이다.
끝으로, API 보안을 고민하는 기업에 한 마디
앞으로 API 보안을 고려하고 있다면, 보이는 것부터 시작해야 한다. 조직 내 API가 몇 개인지, 누가 만들었는지, 어디서 호출되는지 모르면 방어가 불가능하다. 그리고 개발자들이 수행하는 API 개발·배포·운영 전 과정에 보안을 내장해야 한다. 사람의 실수로 생기는 위험이 가장 많기 때문이다.
마지막으로 머신러닝 기반 정상 행위 학습으로 ‘정상처럼 보이는 비정상’을 찾아야 한다. 모든 걸 거버넌스 체계로 묶어야 한다. 체계를 만드는 순간 사고는 줄고, 비용도 함께 줄어든다. 개발하고 서비스를 제공한다면 API 보안은 필수다. 놓치지 않고 시작했으면 좋겠다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
