Akamai, API 보안 두 배 강화

API 의 사용이 폭발적으로 증가하고 있습니다. API는 우리의 세상과 그 안에서의 경험을 강화합니다. 우리가 매일 디바이스에서 즐겨 쓰는 애플리케이션은 여러 API와 통신해 소셜 미디어 활동, 쇼핑, 은행 업무뿐 아니라 어린이집에 있는 자녀 확인까지 가능하게 합니다. 재택근무를 할 때에도 API를 사용해 기업 애플리케이션 및 서비스와 통신합니다.

API는 디지털 혁신, 모바일 및 IoT(Internet of Things) 도입, 오픈 뱅킹과 같은 비즈니스 이니셔티브에 힘입어 전 세계 거의 모든 업계에서 사용되고 있습니다. API는 B2B와 B2C에서 사용되어 경제 전반의 비즈니스를 활성화합니다. 최신 애플리케이션을 작성하는 거의 모든 기업은 이러한 애플리케이션을 구동하고 비즈니스 간 서비스 통합하기 위해 API를 사용합니다.

그 결과로 API는 공격자에게 가장 매력적인 공격 기법 중 하나가 되었습니다. Akamai의 데이터에 따르면, API 공격 은 매년 109%씩 증가합니다. 2023년 보고서에서는 고객의 78%가 지난 12개월 동안 API 관련 보안 인시던트를 경험한 적이 있다고 답했습니다. API 보안은 점점 더 중요한 우선 순위로 부상하고 있으며, Akamai는 고객을 위해 API 보안 기능 두 배 강화에 나섭니다.

Akamai는 NoName Security 인수를 통해 이미 200% 성장 이라는 놀라운 성과를 보인 Akamai API Security에 대한 고객 수요를 더 가속할 수 있게 되었습니다. 이 분야에서 Akamai와 Noname은 모두 리더로 인정 받고 있으며, 이번 인수로 API 보안 분야의 선두주자가 되는 데 필요한 추가 역량을 확보했습니다.

Web Application and API Protection(WAAP) 플랫폼은 OWASP API 보안 상위 10대 취약점에 대한 공격으로부터 웹 애플리케이션과 API를 방어하는 데 중요한 역할을 합니다. 하지만 모든 문제를 해결하지는 못합니다.

다른 벤더사들은 WAAP가 모든 종류의 API 공격을 해결할 수 있다고 주장하지만, 실제로는 WAAP 솔루션 대부분이 공격, 특히 남용 공격을 방어하는 데 필요한 가시성과 심층적인 API 보안을 제공하지 못하는 것이 사실입니다. 이는 WAAP 솔루션이 API 요청과 응답 간의 대화를 이해하기 위한 맥락 인식 기능을 갖추지 못했기 때문입니다.

API가 웹 애플리케이션과 다르게 작동한다는 점을 고려하면 이는 놀라운 사실이 아닙니다. 웹 애플리케이션에서는 웹 애플리케이션의 비즈니스 로직이 숨겨져 있지만, API의 비즈니스 로직은 인터넷에 직접 노출될 수 있어 악용될 소지가 있습니다. 이에 대한 예시는 2024년 5월 TechCrunch 문서에서 공유했습니다. WAAP 플랫폼은 과거 이러한 종류의 공격을 방어하지 못했습니다.

이것이 바로 Akamai가 API 보안 솔루션을 발전시키고자 상당한 투자를 해온 이유이며, 이번 인수로 더 많은 혁신과 API 보안을 견지하려는 이유이기도 합니다.

Akamai API Security 는 매출 손실, 평판 손상, 정보 노출, 컴플라이언스 위반으로 이어지는 OWASP API 보안 상위 10대 취약점에 명시된 많은 종류의 공격에 대응합니다.

Akamai의 API 보안 솔루션은 API 환경에 대한 가시성과 위협, 비정상 탐지 및 차단, API의 능동적 테스트 등 몇 가지 중대한 문제를 해결합니다.

'볼 수 없는 공격은 방어할 수도 없다.'라는 말이 있습니다. 실제 보유한 API의 수를 파악하지도 못하는 기업이 많기 때문에 리스크를 정량화하는 것은 어렵습니다. Akamai API Security는 고객이 인지하고 있는 활성 API뿐 아니라 인지하지 못하거나 확인할 수 없는 레거시, 섀도 또는 로그 API까지 포함해 API 보유 수가 얼마나 많은지 평가하는 것부터 시작합니다. Noname Security의 데이터에 따르면, API 보안 플랫폼 고객은 원래 예상했던 것보다 평균 40% 더 많은 API를 자체 환경에서 발견합니다.

API Security는 머신 러닝을 사용해 데이터 변조, 유출, 설정 오류, 정책 위반, 비정상 행동, 직접적인 API 보안 공격 등 모든 종류의 API 취약점 및 남용을 탐지합니다.

시프트 레프트 테스트는 애플리케이션 개발의 중요한 구성요소로, 시작 단계부터 보안을 도입합니다. 하지만 지금까지는 개발 중인 API를 테스트할 수 없었습니다. API Security를 사용하면 API 테스트를 CI/CD 파이프라인에 통합해 API가 프로덕션에 릴리스되기 전에 문제를 해결할 수 있습니다.

API 보안 분야의 선두주자인 Noname Security의 인수로 Akamai API Security가 고객에게 제공하는 보안 기능이 즉각적으로 확대되었습니다. Akamai는 이제 Noname의 폭넓은 통합 및 배포 옵션을 통해 다양한 벤더사 환경에서 지원을 제공할 수 있습니다.

Akamai API Security는 기업이 클라우드, 엣지 네이티브, 온프레미스, 기타 벤더사 플랫폼 중 어떤 플랫폼을 사용하든 API 환경을 보호할 수 있습니다. Akamai는 Noname 솔루션의 추가로 모든 환경의 고객에게 포괄적인 API 보안을 제공하는 데 필요한 범위와 커버리지를 갖추게 되었습니다.

또한, 다음과 같은 새로운 기능도 더해졌습니다.

• 유연한 배포 기능 - 클라우드 호스팅, 자체 호스팅, 하이브리드, 분산 인스턴스 전반에 걸쳐 신속하게 배포

• 중요한 기업 기능 - 역할 기반 접속 제어, 셀프 서비스 설정, CI/CD 통합, 대시보드, 자동화된 고급 응답 포함

• 데이터 경계 문제 해결 - 메모리에서 공격 데이터를 분석해 데이터가 환경을 벗어나지 않게 보장

• 더 많은 통합 - NGINX, AWS, Azure, F5, Apigee, MuleSoft, GCP 등을 포함해 업계에서 가장 포괄적인 통합 컬렉션 제공(이미 사용 중인 제품과의 통합이 중요하며, 이 솔루션은 포괄적인 커버리지를 보장)

• 강력한 API 테스트 - (소프트웨어 개발 라이프사이클의 개발 단계 동안) CI/CD 파이프라인에 통합된 API 보안 취약점이 악용되기 전에 이를 찾아서 해결하는 데 집중

앞서 언급했듯이, Akamai의 계획은 현재 API 보안 혁신 기술을 Noname Security 솔루션과 결합하는 것입니다. 통합된 솔루션은 모든 환경의 고객에게 포괄적인 API 보안 기능을 제공할 것입니다.

통합 프로세스는 다음 3개 영역을 중심으로 진행됩니다.

1. Akamai 엣지 네트워크에서의 연결

2. App & API Protector로의 연결

3. 위협 인텔리전스

Akamai는 세계에서 가장 큰 프라이빗 네트워크 중 하나를 운영합니다. 바로 이 플랫폼에서 시장을 선도하는 보안 서비스(App & API Protector, Prolexic DDoS 방어 등)와 콘텐츠 전송 네트워크(CDN) 및 당사의 공용 클라우드 서비스를 포함하는 당사 서비스 대부분을 제공합니다. 기업 고객은 Akamai 플랫폼에서 직접 서비스를 손쉽게 사용할 수 있다는 점을 높이 평가하므로, Noname을 네트워크에 통합해 배포를 용이하게 할 예정입니다. 통합은 인수 후 3주 이내에 완료될 것으로 예상합니다.

App & API Protector는 2024년 Gartner® Peer Insights™ 및 기타 분석가 검토를 통해 5년 연속 클라우드 WAAP 부문 Customers' Choice 로 선정되며 업계 최고의 WAAP 플랫폼으로 입증된 바 있습니다. 이로써 Noname에서 생성된 행동 인텔리전스가 App & API Protector의 WAAP 룰을 트리거해 연결을 자동으로 차단할 것입니다.

Akamai는 매일 788테라바이트가 넘는 데이터를 수집 및 분석합니다. 이 모든 데이터는 주로 기업 고객 기반에서 발생하는 막대한 양의 공격(매 분기 120억 건 이상의 웹 공격)으로 인해 생성되며, 200명 이상의 보안 연구원이 진행하는 리서치와 결합되어 놀라운 위협 인텔리전스를 제공합니다. 그리고 모든 Akamai 제품과 마찬가지로 이 데이터 피드를 Akamai API Security에 통합할 예정입니다.