숨어 있는 API 위협에 대한 API 위협을 보여주는 공격 트렌드
올해는 Akamai의 위협 인사이트와 데이터 분석 결과를 공유하는 인터넷 현황 보고서(SOTI) 발표 10주년이 되는 해입니다. 운영 및 위협 생태계가 발전함에 따라 이러한 보고서의 초점은 수년에 걸쳐 바뀌었습니다. 올해의 주요 변화: 웹 애플리케이션 공격과 API 공격을 단일 세트로 보는 대신, 더 자세한 상황 인식이 가능하도록 분리했습니다.
API 보안의 가장 중요한 주제는가시성에 대한 필요성입니다. 비즈니스 혁신으로 인해 API 사용이 증가했지만, API가 빠르게 배포되면서 좀비, 섀도, 악성 API와 같은 사각지대가 생겨났습니다. 따라서 모든 API를 찾아서 관리하려면 사이버 관리가 필요합니다.
가장 최근의 SOTI 보고서인 숨어 있는 API 위협에 대한 API 위협을 보여주는 공격 트렌드는전통적인 웹 공격뿐만 아니라 남용이나 직접 공격을 유발할 수 있는 체계 및 런타임 문제와 같은 API 관련 공격을 포함하여 웹사이트와 API 모두를 공격하는 일련의 공격에 대해 중점적으로 설명합니다. 또한 이 보고서는 위협과 새로운 컴플라이언스 문제를 방어하기 위한 모범 사례도 다룹니다.
보고서의 핵심 인사이트
웹 공격의 총 29%가 12개월 동안(2023년 1월~12월) API를 표적으로 삼았습니다. 이는 API가 사이버 범죄의 집중 분야임을 나타냅니다.
API에 대한 공격의 범위는 OWASP(Open Web Application Security Project) API 보안 상위 10개를 넘어섰으며,공격자들은 주로 로컬 파일 인클루전(LFI), 구조화된 쿼리 언어 인젝션(SQLi), 크로스 사이트 스크립팅(XSS)과 같은 검증된 방법을 사용하여 표적에 침투합니다.
비즈니스 로직 남용은 API 행동에 대한 기준선을 설정하지 않으면 비정상적인 API 활동을 탐지하기 어렵기 때문에 매우 중요한 문제입니다. 기업은 API 활동의 비정상을 모니터링하는 솔루션이 없을 경우, 인증된 API로 내부에서 데이터를 천천히 스크레이핑하는 새로운 데이터 유출 기법인 데이터 스크레이핑과 같은 런타임 공격의 리스크에 노출됩니다.
API는 오늘날 대부분의 디지털 혁신의 핵심이므로 로열티 사기, 남용, 권한, 카딩 공격과 같은 관련 사용 사례와 업계 트렌드를 이해하는 것이 무엇보다 중요합니다.
기업들은 초기에 컴플라이언스 요건과 새로운 법률을 고려함으로써 아키텍처를 재설계하는 일이 없도록 주의해야 합니다.
공격받고 있는 API
API가 고객과 파트너 기업 모두에서 핵심 역할을 수행함에 따라, API는 점점 더 중요하고 가치 있는 정보로 연결되는 관문이 되고 있습니다. 많은 보안 기업의 도전 과제는 API 인프라/프로그래밍 기술이 부족하다는 것입니다. 또한 많은 기업은 API에 대한 포괄적이고 정확한 설명을 갖고 있지 않으며, 이러한 거버넌스 부족으로 인해 공격표면이 얼마나 큰지 파악하기가 어렵습니다.
Akamai 리서치에 따르면 API는 기존의 공격과 API 관련 기술 모두의 표적이 되고 있으며 이를 방지하기 위해서는 복합적인 보호 조치가 필요합니다. 실제로 2023년 1월부터 12월까지 전체 웹 공격의 약 30%가 API를 표적으로 삼은 것으로 나타났습니다(그림 1).
API 악용 및 기타 보안 도전 과제
기업들은 OWASP API 보안 상위 10대 취약점에서 강조한 리스크 외에도 체계 문제 및 런타임 문제로 분류되는 일반적인 취약점과 같은 수많은 다른 API 보안 문제에 직면해 있습니다.
1. 체계 문제는 기업의 API 구축 결함과 관련이 있습니다. 체계 문제를 나타내는 알림은 보안 팀이 공격자가 악용하기 전에 우선 순위가 높은 취약점을 식별하고 해결하는 데 도움이 됩니다. 가장 일반적인 체계 문제는 다음과 같습니다.
- 섀도 엔드포인트
- 인증되지 않은 리소스 액세스
- URL의 민감한 데이터
- 허용적인 CORS 정책
- 과도한 클라이언트 오류
2. 런타임 문제는 긴급한 대응이 필요한 활성 위협 또는 행동입니다. 본질적으로 중요한 경우가 많지만, 이러한 알림은 보다 명시적인 인프라 유출 시도와는 달리 API 남용 형태를 취하기 때문에 다른 종류의 보안 알림보다 더 미묘합니다. 대부분의 런타임 문제는 다음과 같습니다.
- 인증되지 않은 리소스 접속 시도
- 비정상적인 JSON 속성
- 경로 매개변수 퍼징 시도
- 불가능한 시간 여행
- 데이터 스크레이핑
또한 보안 프로그램이 다룰 수 있도록 API가 직면하는 세 가지 일반적인 도전 과제를 한발 물러서서 살펴보는 것도 중요합니다. API 남용 및 악용.
1. 가시성: 프로그램이 모든 API를 확실히 보호하도록 하기 위한 프로세스 및 기술적 제어 수단을 갖추고 있나요? API는 종종 혁신의 일부이거나 신제품에 내장되어 있기 때문에 많은 API가 기존 웹 제품과 동일한 수준의 지침, 보호 및 검증을 제공하지 못하므로 이는 중요한 문제입니다.
2. 취약점: 기업 API가 개발 모범 사례를 따르고 있나요? OWASP의 가장 일반적인 잘못된 코딩 문제를 피하고 있나요? 또한 취약점을 추적하고 확인하고 있나요?
3. 비즈니스 로직 남용: 예상 트래픽 기준선이 있나요? 의심스러운 활동이 무엇인지 파악했나요?
이러한 질문에 대한 답변은 여러분이 이해해야 할 내용의 기초가 됩니다. 전반적인 목표는 조사를 수행할 수 있는 가시성과 능력을 확보하고 위협을 신속하게 방어할 수 있는 프로세스를 수립하는 것입니다. 이는 고객 대면 및 내부 API 모두에 해당됩니다. 전체 SOTI 보고서에는 위협 방법론에 대한 업계별 사례 연구가 포함되어 있습니다.
API 환경에 대한 가시성 강화
API 프로그래밍의 품질을 해결한 후에는 모든 API가 보안 프로그램에 의해 보호되는지 확인해야 합니다. "잘 모르는 공격은 방어할 수 없습니다"는 오래된 속담이 이 시나리오보다 더 맞은 적은 없습니다. 다음은 관리 목표의 몇 가지 기준입니다.
- 탐색 - 기업 내 API 인벤토리에 대한 가시성
- 리스크 감사 - 발견된 각 API의 리스크 체계에 대한 가시성
- 행동 탐지 - 각 API에서 활성 위협을 확인하기 위한 정상적인 사용 및 비정상적인 남용에 대한 가시성
- 조사 및 위협 탐색 - 전문 위협 탐색팀이 발견한 API 자산 내부에 숨어 있는 위협에 대한 가시성
API 검색 및 관리의 이점
좋은 소식은 일단 API를 발견하고 관리하면 큰 이점을 얻을 수 있다는 것입니다. 그림 2의 익명화된 예는 이러한 패턴이 한 기업 고객에게 어떻게 전개되었는지를 보여줍니다.
1월과 2월에는 기업이 섀도 API를 제거하고 체계화하며 API 보안 체계를 일부 초기 개선하기 위한 초기 조치를 취하면서 초기 감소가 있었습니다. API 자산이 변경되면서 체계 알림이 가끔 급증하는 현상이 관찰되었습니다. API 가시성을 활용하여 가능한 취약점을 신속하게 해결할 수 있었습니다.
다음 5단계를 통해 이러한 이점을 누릴 수 있습니다.
그림자에 빛 비추기
조직화
API 체계 강화
위협 탐지 및 대응 개선
더 강력한 공격 개발
컴플라이언스가 보안 프로그램을 형성하는 방법
보안 프로그램을 고려할 때는 컴플라이언스를 잊지 마십시오. 오늘날, API 법률 및 규정은 아직 많지 않지만, 고객을 올바로 보호하기 위해 활용해야 하는 모범 사례(코딩 관행에 대한 OWASP 가이드)와 가이드(미국 국립 표준 연구소 등)이 있습니다.
유럽 연합의 글로벌 데이터 보호 규정(GDPR)과 같은 현재 규정에는 API가 포함되어 있으며 결제 카드 업계 데이터 보안 표준(PCI DSS) v4.0과 같은 새로운 표준에서도 API와 API 보안의 중요성을 구체적으로 명시하고 있습니다.
API를 공격으로부터 안전하게 보호하는 방법
보안 프로그램을 통해 모든 API를 보호하기 위해 노력하면서 검색, 조사 및 방어 기능을 평가해야 합니다. 다음으로, 레드 팀은 인증 및 노출된 데이터에 대한 보안 체계는 물론 JSON 속성 및 스크레이핑과 같은 런타임 문제를 테스트해야 합니다.
이 검증 테스트는 영향을 방어하기 위한 최신 프로세스를 확보하기 위해 퍼플 팀 연습으로 구축되어야 합니다. SOTI 보고서에서 검토된 사용 사례(로열티 사기 및 카딩 공격 등)는 테스트 계획에 사용할 수 있는 훌륭한 템플릿입니다.
자세히 보기
전체 보고서에는 아시아 태평양 및 일본(APJ), 유럽, 중동 및 아프리카(EMEA) 등 지역별 API 공격 트렌드도 포함되어 있습니다. 최신 위협에 대해 자세히 알아보고 다른 인사이트를 얻으려면 보안 리서치 허브를 방문하시기 바랍니다.