Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 모든 곳에서 기업 데이터와 애플리케이션을 보호하는 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 자신감 있게 비즈니스를 성장시키는 데 필요한 업계 최고 수준의 안정성, 확장성, 전문성을 제공하는 Akamai를 신뢰합니다.
API(애플리케이션 프로그래밍 인터페이스)는 최신 소프트웨어 애플리케이션의 필수 구성요소입니다. 데이터베이스, 애플리케이션, 플랫폼이 서로 통신하고 정보를 교환할 수 있도록 함으로써 API는 디지털 생태계가 제대로 작동하는 데 필수적입니다. 또한 방대한 양의 민감한 데이터에 접속하거나 전송할 수 있습니다. 이러한 사실로 인해 API는 사이버 범죄자들에게 매우 인기 있는 공격 기법으로 자리 잡았으며, CISO에게는 API Security 위협을 방지하는 것이 최우선 과제가 되었습니다.
API란 무엇일까요?
API는 애플리케이션이 다른 시스템과 통신하고 데이터를 공유할 수 있도록 하는 룰과 프로토콜을 정의합니다. 이러한 상호 연결성을 통해 개발자는 새로운 빌드를 통해 기능과 서비스를 처음부터 다시 만들 필요 없이 기존 애플리케이션의 기능과 서비스를 활용하는 앱을 구축할 수 있습니다. 그 결과 API는 소프트웨어 개발을 가속하고 혁신, 협업, 자동화를 지원합니다.
사이버 범죄자가 API를 표적으로 삼는 이유
API 사용이 폭발적으로 증가하면서 API Security 위협이 점점 더 강력해지고 있습니다. API는 종종 중요한 기능을 활성화하기 때문에 비즈니스를 방해하려는 공격자에게 매력적인 표적입니다. 또한 API는 적절히 보호되지 않은 엔드포인트를 노출시켜 애플리케이션의 데이터와 서비스 또는 더 광범위한 IT 환경에 접속할 수 있습니다. 또한 API는 대량의 개인 식별 정보(PII), 금융 데이터 및 기타 민감한 정보를 처리합니다. 최신 앱 및 마이크로서비스 아키텍처에서 API에 대한 의존도가 높아짐에 따라 새롭고 광범위한 공격 표면이 만들어졌으며, 악의적 공격자가 API 코드의 취약점을 악용할 수 있는 기회가 점점 증가하고 있습니다.
API Security가 중요한 이유
API Security 솔루션은 사이버 위협과 취약점으로부터 API를 보호해 대외비 정보를 보호하고 API가 제공하는 데이터와 서비스의 가용성을 보장하는 데 도움이 됩니다. API Security는 일반적으로 인증, 권한 확인, 검증, 암호화를 포함해 API 엔드포인트를 보호합니다.
기업은 광범위한 API Security 위협을 성공적으로 방어함으로써 잠재적으로 파괴적인 공격을 방지하고 중요한 사이버 보안 목표를 달성할 수 있습니다.
- 민감한 데이터 보호: API는 종종 많은 민감한 정보를 처리합니다. 우수한 API Security는 민감한 사용자 데이터와 PII를 노출하는 보안 유출을 방지하고 공격자가 애플리케이션과 IT 시스템에 무단으로 접속하는 것을 방지하는 데 도움이 됩니다.
- 신뢰 유지: 데이터 유출은 기업의 평판을 크게 손상시켜 신뢰를 잃고 비즈니스 기회를 잃을 수 있습니다. 보안 API는 데이터를 보호하고 서비스의 안정성을 보장함으로써 사용자, 고객, 파트너의 신뢰를 유지하는 데 도움이 됩니다.
- 컴플라이언스 보장: 많은 업계가 민감한 데이터의 보호를 의무화하는 규제 요구사항의 적용을 받습니다. 보안 API는 기업이 이러한 규정을 준수하고 법적 처벌과 벌금을 피하는 데 도움이 됩니다.
- 서비스 중단 방지: 사이버 범죄자들은 DoS(Denial-of-Service) 공격 및 사용자와 고객의 서비스 가용성에 영향을 미칠 수 있는 기타 중단의 일환으로 API를 표적으로 삼는 경우가 많습니다. API의 보안을 보장하는 것은 비즈니스 운영과 생산성을 유지하는 데 매우 중요합니다.
API Security 위협의 종류
API Security 위협의 종류에는 어떤 것이 있나요? OWASP API Security 상위 10대 리스크는 Open Worldwide Application Security Project에서 결정한 가장 위험한 API Security 위협 목록입니다. 이러한 위협과 기타 위협은 다양한 API Security 문제를 악용합니다.
인증 및 권한 확인 문제
인증은 API에 접속하려는 사용자, 디바이스 또는 애플리케이션이 실제로 누구인지 또는 무엇인지를 확인하는 프로세스입니다. 권한 확인은 인증된 엔티티가 API로 수행할 수 있는 작업을 결정합니다. 공격자는 인증 프로토콜의 취약점을 악용하거나 권한 확인을 우회해 API에 대한 무단 접속을 얻을 수 있습니다. 이를 API 남용 또는 비즈니스 로직 남용이라고 하며 데이터 유출, 무단 트랜잭션 또는 기타 악성 활동으로 이어질 수 있습니다. 이 분야의 API Security 위협의 종류는 다음과 같습니다.
손상된 인증: 취약하거나 잘못 설정된 인증 메커니즘을 통해 공격자가 정상적인 사용자를 가장할 수 있습니다.
손상된 오브젝트 수준 권한 확인: 액세스 제어를 제대로 적용하지 못하면 권한이 없는 사용자가 민감한 데이터에 접속하거나 수정할 수 있습니다.
손상된 오브젝트 프로퍼티 수준 권한: 이 위협은 오브젝트의 특정 프로퍼티에 대한 무단 접속을 포함합니다.
데이터 노출 및 데이터 유출
이러한 API Security 위협을 통해 공격자는 API를 통해 과도하거나 부적절하게 마스킹된 데이터를 반환해 해커가 API 응답을 분석해 민감한 정보를 추출할 수 있습니다. 일반적인 API Security 위협은 다음과 같습니다.
- 과도한 데이터 노출: API는 필요한 것보다 더 많은 데이터를 반환할 수 있으므로 민감한 정보가 노출될 리스크가 높아집니다.
- 불충분한 데이터 마스킹: PII와 같은 민감한 데이터를 적절히 마스킹하지 않으면 데이터 유출로 이어질 수 있습니다.
인젝션 공격
인젝션 공격에서 공격자는 API가 인풋을 처리하는 방식의 취약점을 악용하기 위해 악성 코드가 포함된 API 요청을 만듭니다. 백엔드 시스템이 코드를 실행할 때 공격자는 무단 접속 권한을 얻거나, 데이터를 조작하거나, 기타 유해한 작업을 수행할 수 있습니다. 인젝션 공격은 다음과 같습니다.
SQL 인젝션: API 요청에 악성 SQL 쿼리를 삽입해 데이터베이스를 조작하거나 접속합니다.
명령어 인젝션: API 요청에 악성 코드를 삽입해 서버에서 임의의 명령을 실행합니다.
서비스 거부(DoS)
DoS 공격과 분산 서비스 거부 또는 DDoS 공격은 단기간에 API에 대량의 요청을 전송해 API의 처리 용량을 압도합니다. 결과적으로 API가 충돌하거나 속도가 느려지고 정상적인 사용자가 사용할 수 없게 될 수 있습니다.
보안 설정 오류:
이 범주의 API Security 위협을 통해 공격자는 API와 환경의 올바르지 않거나 안전하지 않은 설정을 활용할 수 있습니다. 해커는 이러한 설정 오류를 악용해 무단 접속을 얻거나, 권한을 에스컬레이션하거나, 시스템을 감염시킬 수 있습니다. 일반적인 표적으로는 안전하지 않은 엔드포인트, 노출된 디버깅 정보, 패치되지 않은 API 취약점 등이 있습니다.
안전하지 않은 기본 설정: 이러한 공격은 안전하지 않은 기본 설정을 악용합니다.
불완전한 설정: 이러한 공격은 보안 설정을 적절히 구성하지 못하는 것을 이용합니다.
중간 머신(MITM) 공격
MITM 공격에서 해커는 클라이언트와 API 간의 통신을 가로채서 민감한 정보를 훔치거나, 데이터를 조작하거나, 통신 스트림에 악성 코드를 삽입합니다. MITM 공격의 장점은 다음과 같습니다.
암호화 부족: 전송 중인 데이터를 암호화하지 않으면 공격자가 데이터를 가로채고 읽기가 더 쉬워집니다.
취약한 암호화: 오래되거나 취약한 암호화 프로토콜 사용.
인증정보 유출
공격자는 소셜 엔지니어링 기법을 사용해 정상적인 인증정보를 얻고 권한 있는 API 키에 접속하는 경우가 많습니다. 이를 통해 API에 접속할 수 있는 정상적인 사용자 또는 관리자로 가장해 로그인할 수 있습니다. 또는 공격자는 무차별 대입 공격을 사용해 작동 조합이 발견될 때까지 반복적으로 암호를 추측할 수 있습니다.
API 악용
공격자는 의도하지 않았거나 악의적인 행동이나 결과를 생성하는 결함을 악용해 API를 악용하거나 오용할 수 있습니다. 예를 들어, 공격자는 SSRF(Server-Side Request Forgery)를 사용해 API를 조작해 내부 시스템에 무단 요청을 보냅니다. 이로 인해 내부 서비스에 대한 무단 접속과 데이터 유출이 발생할 수 있으며, 이로 인해 대규모로 비용이 많이 드는 데이터 스크레이핑 공격이 발생할 수 있습니다.
API Security 과제
API Security 위협으로부터 기업을 방어하는 팀은 여러 가지 문제를 극복해야 합니다.
가시성 부족: API는 여러 서비스, 써드파티 통합 작업, 마이크로서비스를 포함하는 복잡한 생태계 내에 존재하는 경우가 많습니다. 오픈 소스 API와 써드파티 API가 혼합되면 보안팀은 보안은 물론 디지털 환경의 모든 API를 식별하고 인벤토리화하는 데 어려움을 겪는 경우가 많습니다.
실시간 요구사항: API는 실시간으로 요청을 자주 처리해야 하기 때문에 지연 시간을 유발할 수 있는 보안 조치를 구축하기가 어렵습니다.
급격한 확산 및 API 확산: 많은 기업에서 API는 여러 팀이 빠른 속도로 개발하며, API를 관리하거나 보호하기 위한 중앙 프레임워크가 없는 경우가 많습니다. 따라서 다양한 플랫폼에서 일관된 보안을 보장하기가 어렵습니다.
신속한 개발 주기: 최신 소프트웨어 개발의 빠른 개발 주기로 인해 보안이 간과될 수 있습니다. CI/CD(지속적인 통합 및 배포) 파이프라인에는 취약점이 적절히 해결되었는지 확인하는 적절한 보안 테스트가 없을 수 있습니다.
API Security 위협을 방어하는 방법
기업은 API Security 위협을 성공적으로 방어하기 위해 여러 보안 조치를 도입하는 것이 현명합니다.
강력한 인증 및 권한 확인 OAuth 및 MFA(멀티팩터 인증)와 같은 강력한 인증 방법을 사용하면 권한이 부여된 사용자만 API에 접속할 수 있습니다. 기능 수준의 권한 확인 및 손상된 오브젝트 수준의 권한 확인 검사를 구축하면 민감한 데이터에 대한 무단 접속을 방지할 수 있습니다.
실시간 트래픽 분석: 올바른 매개변수 내에서 작동하는 API도 악용될 수 있기 때문에 API 트래픽의 동작을 분석하는 것이 API를 보호하는 데 매우 중요합니다. 트래픽 분석은 한 국가에서 시작된 후 한 시간 후에 다른 국가에서 시작된 API 호출과 같이 기준 예상과 다른 API 행동의 변화를 살펴봅니다.
강력한 API 테스트: API를 프로덕션에 적용하기 전에 취약점을 평가하는 것은 문제가 시작되기 전에 API 라이프사이클을 보호하는 방법입니다. 이러한 관행은 개발자가 혁신을 지원하는 API의 보안을 잠재적으로 손상시키지 않으면서 혁신에 보조를 맞추는 데 도움이 됩니다.
API 게이트웨이: API Gateway는 모든 API 요청의 엔트리 포인트 역할을 하며 인증, 전송률 제한, 트래픽 관리, 캐싱 등의 작업을 관리해 DDoS 공격을 실시간으로 방지합니다.
전송률 제한 및 스로틀링: 전송률 제한 및 스로틀링은 특정 기간 동안 API가 처리할 수 있는 요청 수를 제한함으로써 DoS 및 DDoS 공격을 방지하는 데 도움이 될 수 있습니다. 이를 통해 트래픽이 많은 상황에서도 정상적인 사용자가 API를 계속 사용할 수 있습니다.
인풋 검증: 모든 인풋 데이터를 검증하면 SQL 인젝션 및 과도한 데이터 노출과 같은 많은 일반적인 공격을 방지할 수 있습니다. API가 유효하고 예상되는 데이터만 처리하도록 하면 보안 취약점의 리스크를 줄일 수 있습니다.
보안 통신 사용: TLS(Transport Layer Security)를 사용해 전송 중인 데이터를 암호화함으로써 공격자가 민감한 정보를 가로채지 못하도록 보호할 수 있습니다. 클라이언트와 API 간의 모든 통신이 암호화되도록 보장하는 것은 데이터 기밀성과 무결성을 유지하는 데 필수적입니다.
정기적인 감사 및 API 보안 테스트: 정기적인 보안 감사 및 테스트를 수행하면 공격자가 악용하기 전에 취약점을 탐지하고 해결하는 데 도움이 될 수 있습니다. 자동화된 보안 테스트 툴을 CI/CD 파이프라인에 통합해 지속적인 보안 모니터링을 보장할 수 있습니다.
API 관리 및 게이트웨이 솔루션: API 관리 및 게이트웨이 솔루션을 사용하면 API Security에 대한 중앙 집중식 제어를 제공할 수 있습니다. 이러한 툴은 보안 정책을 적용하고, API 사용을 모니터링하고, 잠재적인 보안 위협을 탐지하는 데 도움이 될 수 있습니다.
제로 트러스트 아키텍처 구축: 제로 트러스트 보안 모델을 도입하면 기본적으로 위치에 관계없이 어떤 사용자나 디바이스도 신뢰하지 않습니다. ID와 권한을 지속적으로 확인하면 권한이 부여된 사용자만 API에 접속할 수 있습니다.
웹 애플리케이션 방화벽(WAF) 사용: 웹 애플리케이션 방화벽을 사용하면 SQL 인젝션 및 크로스 사이트 스크립팅(XSS)과 같은 일반적인 웹 기반 공격으로부터 API를 보호할 수 있습니다. WAF는 악성 요청을 차단하고 추가적인 보안 레이어를 제공하도록 설정할 수 있습니다.
API Security 모범 사례
기업은 특정 API Security 솔루션을 구축하는 것 외에도 이러한 모범 사례를 준수하여 API Security를 개선할 수 있습니다.
OWASP 지침 준수: OWASP(Open Worldwide Application Security Project)는 API Security을 위한 포괄적인 가이드라인을 제공합니다. OWASP API Security 상위 10대 취약점은 가장 중요한 API Security 리스크를 강조하고 이를 방어하기 위한 권장 사항을 제공합니다.
안전한 API 엔드포인트: 모든 API 엔드포인트가 인증 및 권한 확인 검사를 통해 적절히 보호되도록 하면 무단 접속을 방지하는 데 도움이 될 수 있습니다. 적절한 접속 제어 조치를 구축하고 엔드포인트 설정을 정기적으로 검토하면 보안을 강화할 수 있습니다.
JWT(JSON 웹 토큰) 사용: 안전한 데이터 교환을 위해 JSON 웹 토큰을 사용하면 API 요청이 인증되고 승인되도록 할 수 있습니다. JWT는 당사자 간에 정보를 안전하게 전송하는 방법을 제공하며 API 요청의 무결성과 진위성을 확인하는 데 사용할 수 있습니다.
API 행동 모니터링: API 행동을 모니터링하면 보안 위협을 나타낼 수 있는 비정상적이거나 의심스러운 활동을 탐지하는 데 도움이 됩니다. 로깅 및 모니터링 솔루션을 구축하면 API 트래픽에 대한 검색 노출도를 제공하고 잠재적인 보안 인시던트를 식별하는 데 도움이 될 수 있습니다.
개발자 교육: 개발자에게 API Security 모범 사례를 교육하고 API 테스트를 통해 보안을 API 개발 프로세스에 통합하면 보안 취약점을 방지하는 데 도움이 될 수 있습니다. 안전한 코딩 관행에 대한 교육과 리소스를 제공하면 API의 전반적인 보안을 강화할 수 있습니다.
보안 측정 자동화: 자동화는 API 라이프사이클 전반에 걸쳐 보안 조치를 일관되게 적용하는 데 도움이 됩니다. 자동화된 툴은 보안 테스트, 모니터링, 보안 정책 적용에 사용되어 인적 오류의 가능성을 줄일 수 있습니다.
API 키 보호: API 요청을 인증하는 식별자인 API 키는 적절히 보호되지 않으면 노출될 수 있습니다. MFA를 사용하고 API 키를 안전하게 저장하면 무단 접속으로부터 보호할 수 있습니다.
봇 방어: 악성 봇은 API를 악용해 크리덴셜 스터핑이나 민감한 데이터 스크레이핑과 같은 자동화된 사이버 공격을 수행할 수 있습니다. 봇 방어 전략을 구축하고 API 트래픽을 모니터링하면 이러한 활동을 탐지하고 방지하는 데 도움이 될 수 있습니다.
FAQ
API Security는 무단 접속을 방지하고, 데이터를 암호화 및 보호하고, 일반적인 취약점을 해결하기 위해 API를 보호하는 데 더 좁게 초점을 맞춥니다. 애플리케이션 보안은 코드, 인프라, 사용자 데이터를 포함한 전체 애플리케이션을 보호하는 데 중점을 두어 범위가 더 넓습니다.
API 엔드포인트는 애플리케이션이 데이터를 얻거나 작업을 수행하기 위해 다른 서비스에 접속할 수 있는 특정 주소 또는 URL입니다.