요구사항을 충족하지 못하는 포괄적인 API 보안 도입
최근 SANS Institute의 리서치에 따르면, 애플리케이션과 API를 표적으로 삼는 위협이 증가하고 있음에도 대부분의 기업은 아직 넓은 범위를 포괄하는 API 전용 컨트롤을 이용하지 않고 있습니다.
API 보안 테스트 툴의 부재
2023년 SANS의 API 보안 설문조사에 따르면 API 보안 테스트 툴을 보유한 기업은 응답자의 50% 미만에 불과한 것으로 나타났습니다. API 검색 툴을 사용하는 응답자는 이보다 더 적었습니다(29%). 또한 이 보고서는DDoS와 부하 분산 서비스에 포함된 API 보안 컨트롤의 경우 응답자의 29%만 사용 중인 것으로 나타나 ‘잘 활용되고 있지 않다’고 밝혔습니다.
공격이 증가하는 현실을 감안할 때 우려되는 트렌드가 아닐 수 없습니다. Akamai의 최근 인터넷 현황 보고서 '보안 격차의 허점: 애플리케이션 및 API 공격의 증가'에서 보고한 대로, 2022년은 애플리케이션 및 API 공격이 기록적으로 많은 해였습니다. 그러나 SANS 설문조사에서 기업에 가장 큰 보안 리스크가 무엇이라고 생각하는지에 대한 응답을 살펴보면, 포괄적인 범위의 API 툴을 도입하지 않는 것도 놀랍지는 않습니다.
2023년 7월에 발표된 보고서는 대부분 미국에 거주하는 231명의 응답자를 대상으로 설문조사를 실시했습니다. 응답자의 78%는 현재 애플리케이션 보안에 관여하고 있으며, 15%는 향후에도 관여할 계획이 있다고 답했습니다.
간과되는 API 리스크
기업의 상위 3가지 리스크 순위를 묻는 질문에 응답자들은 ‘재사용 가능한 인증정보를 얻기 위한 피싱’을 가장 많이 꼽았으며, ‘누락된 패치를 악용하는 공격자’, ‘취약한 애플리케이션/API를 악용하는 공격자’가 그 뒤를 이었습니다. 가중치 순위에서 최하위를 차지한 항목은 ‘잘못 설정된 서버/서비스’였습니다. 기업은 API가 초래할 수 있는 리스크에 대해 잘 알고 있지만, 이에 대한 투자를 우선순위를 두고 있지 않습니다.
다양한 보안 컨트롤 및 프로세스
SANS Institute의 새로운 보안 트렌드 이사 존 페스카토레(John Pescatore)는 보고서에서 "API 리스크를 발견하고, 평가하고, 방어하는 것은 여러 보안 컨트롤과 프로세스를 통해 완벽한 커버리지를 제공해야 하는 복잡한 문제입니다."라며 "이미 널리 사용되고 있는 애플리케이션 수준의 툴은 부분적인 커버리지를 제공할 수 있지만, 전체 커버리지를 제공하는 API 보안 관련 컨트롤은 아직 널리 사용되고 있지 않습니다."라고 설명했습니다.
API 실행 방법 (및 API 개수)의 이해
SANS 보고서는 또한 기업들이 환경에서 실행 중인 API가 얼마나 많은지 제대로 파악하지 못하고 있다고 지적합니다. 응답자의 3분의 2 이상이 프로덕션에서 실행 중인 API 인벤토리의 정확도가 75% 미만이라고 답했습니다.
기업들은 수년간 네트워크, 컴퓨터, 애플리케이션을 포함한 정확한 자산 인벤토리를 확보하는 데 어려움을 겪어 왔습니다. 실행 중인 API의 위치 (및 개수)를 파악하려면 더 많은 주의를 기울여야 합니다. 보고서는 "취약한 API가 공격의 가장 일반적인 접속 지점이 되고 있기 때문에 API 인벤토리의 정확도를 높이고 검색 작업을 더 자주 수행해야 합니다."라고 이야기합니다.
구매자들은 API 보안을 위해 다양한 방향을 모색하고 있습니다.
그러나 이러한 API 보안 격차를 해소하기 위해 새로운 툴을 도입하는 방안에 대해서는 공감대가 이뤄지지 않았습니다. 응답자들에게 현재 사용하지 않는 솔루션 중 향후 2년 내에 도입할 계획이 있는 솔루션에 대해 질문한 결과, 다음과 같이 다양한 답변이 나왔습니다.
- 보안 웹 게이트웨이 (14%)
- 동적 애플리케이션 취약점 테스트(13%)
- 웹 애플리케이션 방화벽 (13%)
- 콘텐츠 전송 네트워크 내 앱/API 보안 기능(13%)
- API 보안 테스트(12%)
- API 검색(10%)
구매자들이 애플리케이션 및 API 보안을 위해 다양한 솔루션을 찾고 있기 때문에 Akamai처럼 포괄적인 솔루션을 제공할 수 있는 벤더사의 역할이 더 중요해졌습니다. 기업은 여러 분야를 아우르는 강력한 서비스 조직을 갖춘 공급업체를 통해 봇 관리, 웹 애플리케이션 방화벽, 기타 필요 기능을 이용함으로써 상당한 혜택을 얻을 수 있습니다.
XDR 기술
또한XDR(Extended Detection and Response)을 사용해 모든 API 활동에 대한 가시성을 제공하고, 리스크 체계를 파악하고, 정상 행동과 악성 행동을 이해함으로써 위협을 차단하는 새로운 기술이 등장해 API 보안에 있어 상당한 혜택을 제공하고 있습니다.
Akamai는 최근 Neosec를 인수하여 이러한 트렌드를 더욱 발전시킵니다. 이제 기업은 최소 30일간의 API 행동 분석과 Akamai 콘텐츠 전송 네트워크가 제공하는 가시성을 결합해 전례 없는 수준의 API 행동 애널리틱스를 얻을 수 있습니다.
제한 없는 리소스 소비와 안전하지 않은 API 소비를 포함한 몇 가지 새로운 리스크가 목록에 추가된 새로운 OWASP 상위 10대 API 보안 리스크를 살펴보면, SANS 설문조사가 이러한 결과의 흥미로운 배경이 되어주고 있음을 알 수 있습니다.
프레임워크에 대한 합의
OWASP: 설문조사 결과에 따르면 보안 전문가들은 가치 있다고 생각하는 프레임워크에 대해 어느 정도 동의하는 것으로 나타났습니다. 응답자의 절반 이상이 애플리케이션/API 리스크를 정의하는 데 사용하는 방법으로 OWASP 상위 10대 API 보안 리스크 (55%), MITRE ATT&CK 프레임워크 (55%), OWASP 상위 10대 API 보안 리스크 (52%)를 꼽았습니다. 클라우드 보안 연합 (40%)과 인터넷 보안 중요 보안 제어 센터(33%)가 상위 5위권을 차지했습니다.
여전히 중요한 개발자 보안 교육
보고서는 또한 일반적으로 기업이 개발자에게 보안 교육을 제공하는 데 여전히 집중하고 있다는 사실을 발견했습니다. 개발 직원에게 보안 교육을 제공한다고 답한 기업은 응답자의 75% 이상이었습니다. 보고서에 따르면 응답자의 70% 이상이 보안 팀의 25% 이상을 대상으로 애플리케이션 보안 교육을 제공한다고 답했습니다.
가시성 및 방어
Akamai App & API Protector 는 웹 애플리케이션 및 방화벽 보호, 봇 관리, API 보안, DDoS 방어를 위한 포괄적인 앱 및 API 솔루션을 제공해 강력한 방어는 물론 기업 자체 환경의 위협에 대한 가시성을 제공합니다. 가장 복잡한 분산 아키텍처에서도 취약점을 빠르게 탐지하고 전체 웹 및 API 자산 전체에서 위협을 방어합니다.
