B2C API에 대한 봇 공격이 걱정되시나요? 더 큰 리스크를 놓치고 있는지도 모릅니다
이제 많은 보안팀은 API가 가장 큰 보안 사각지대 중 하나라는 사실을 깨닫고 있습니다. 많은 팀이 가장 명백한 API 리스크 영역인 외부 모바일 및 웹 애플리케이션이 의존하는 B2C(Business-to-Consumer) API에 집중해 대응하고 있습니다.
이러한 B2C API는 외부 세계에 서비스를 제공하기 때문에 봇 과 기타 자동화된 방법을 통한 공격에 특히 취약합니다. 따라서 이러한 위협에 대응하기 위해 많은 기업에서 전문 봇 방어 툴을 배포하거나 1세대 API 제품 또는WAF(Web Application Firewall)를 사용해 B2C API에 대한 접속을 엄격하게 관리하고 있습니다.
이는 올바른 관행이지만, 전체 API 리스크의 관점에서 볼 때 B2C API는 빙산의 일각에 불과합니다. 훨씬 더 많은 API 리스크가 기업의 B2B(Business-to-Business) API에 숨어 있는 경우가 많습니다.
B2B API는 디지털 전환의 기본 요소입니다
B2C API 보안은 비교적 잘 알려져 있지만, 많은 보안팀이 B2B API가 기업에서 수행하는 핵심적인 역할과 이로 인해 노출될 수 있는 잠재적인 치명적인 리스크를 간과하고 있습니다. 디지털 전환은 오늘날의 시장에서 경쟁력을 유지하려는 모든 기업에게 필수적입니다. 비즈니스 파트너는 API를 통해 주요 운영 기능을 통합하지만, 이러한 통합은 복잡한 상호 연결망을 만들어냅니다(그림).
API 기반의 연결 지점 중 다수는 핵심 비즈니스 기능에 대한 직접적인 가시성과 접속을 제공합니다. 이런 기능과 데이터는 신뢰할 수 있는 파트너가 의도한 용도로만 사용하도록 제한되어 있다면 문제가 없을 수 있습니다. 하지만 악성 파트너나 외부 공격자가 이러한 수준의 API 접속을 악용할 경우 비즈니스에 치명적인 영향을 미칠 수 있습니다.
간과되는 공격기법, API 간 트래픽
1. B2B API는 B2C API를 관리하는 팀과 다른 기업 내 팀에서 작성하고 유지하며, 때로는 관리하기도 합니다.
예를 들어 리셀러, 공급업체, 기타 비즈니스 파트너를 위한 B2B API는 사업부나 IT 부서에서 소유하고 있습니다. 그리고 부서마다 방법론과 프로세스가 크게 다른 경우가 많습니다.
2. B2B API가 비교적 신뢰할 수 있는 것으로 간주되는 이유는 일반적으로 기존 기업의 알려진 파트너로 인증되었기 때문입니다. API 소비자가 친숙한 파트너일 경우 종종 API 보안 모범 사례를 무시하려는 경향이 나타납니다.
하지만 현실적으로 기업은 사람으로 구성되어 있고 사람은 실수를 하기 마련입니다. API 키를 잘못 입력하거나, 감염되거나, 소셜 엔지니어링을 당하거나, 악의적인 내부자가 될 수 있습니다.
3. 셋째, B2B API는 인증되고, 일반적으로 B2C API보다 적은 수의 API 소비자에게 서비스를 제공하기 때문에 API 및 보안 팀이 보안에 대한 잘못된 인식에 빠지기 쉽습니다. 많은 기업이 B2B API가 의도하지 않은 방식으로 악용될 수 있다는 사실을 예상하지 못하며, 비즈니스에 미치는 영향을 과소평가합니다.
예를 들어, API를 사용하는 인증된 파트너가 데이터 및 비즈니스 기능에 대한 접속 권한을 남용해 부당한 이득을 얻거나 비즈니스와 경쟁 관계로 전환할 수 있습니다. 상황이 더 악화되어 신뢰할 수 있는 파트너에게서 유출이 발생하면, 공격자는 민감한 리소스를 자유롭게 이용할 기회를 얻고 추가적인 피해를 주는 API 악용 기법을 탐색할 시간을 벌 수 있습니다.
방어 과제
이러한 리스크를 이해하더라도 봇 방어 툴, WAF 또는 1세대 API 보안 제품으로는 이를 방어할 수 없습니다. 가장 큰 이유 중 하나는 대부분의 기업이 자신이 노출한 B2B API의 전체 인벤토리를 보유하고 있지 않기 때문입니다.
또 다른 주요 문제는 일반적으로 B2B API가 봇 활동을 암시하는 예측 가능한 공격 패턴이나 트래픽 급증에 노출되지 않는다는 사실입니다. 정상적인 사용과 완벽하게 혼합된 형태의 API 남용 공격을 받는 사례가 늘어나고 있습니다.
보안팀이 완전한 B2B API 인벤토리를 보유하고 이를 적극적으로 모니터링하고 있다 해도 기존의 공격 시그니처로는 이러한 형태의 API 남용을 탐지할 수 없습니다. 고유한 또는 제로데이 API 남용을 포착하는 시그니처는 존재하지 않습니다.
광범위한 가시성과 행동 애널리틱스는 효과적인 B2B API 보안의 핵심입니다
그렇다면 기업이 B2B API 보안을 더욱 효과적으로 제어할 수 있는 방법은 무엇일까요? 기업이 취할 수 있는 가장 중요한 두 가지 단계는 다음과 같습니다.
- 광범위하고 지속적인 API 검색 및 가시성 기능 구축
- 행동 애널리틱스 기술 을 적용해 남용과 정상적인 활동 구분
광범위하고 지속적인 API 검색 및 가시성
대부분의 기업이 API에 맞춰 구조화된 프로세스와 거버넌스를 구축하기 위해 노력하고 있지만, 악성 API와 섀도우 API는 실상 거의 모든 곳에 존재합니다. 이러한 API가 처음부터 악의적으로 만들어지는 것은 아닙니다.
현실적으로 대부분의 비즈니스에는 여러 팀과 움직이는 부분이 있으며, 이 모든 것이 빠르게 진화하고 있습니다. 여기에 가끔씩 인수합병이 발생하면 아무리 능동적인 기업이라도 노출되는 API를 파악하는 데 어려움을 겪을 수 있습니다.
유일한 해답은 모든 환경에서 API 활동을 지속적으로 모니터링하는 것입니다. 이를 위해서는 다음을 포함해 이용 가능한 모든 소스에서 API 활동 트래픽과 로그를 캡처하고 분석해야 합니다.
패킷 브로커
트래픽 미러링
API 게이트웨이
CDN(Content Delivery Network)
클라우드 공급업체 로그
로그 관리 시스템
오케스트레이션 툴
기업의 API 활동의 전체 범위를 이해하고 시간이 지남에 따라 변화가 발생하더라도 가시성을 유지할 수 있는 계획을 세우면, 이제 B2B API 보안 단계로 나아갈수 있습니다.
행동 애널리틱스 기술
B2B API에 대한 리스크 방어 격차를 줄이려면, B2C API를 보호하기 위해 사용 중인 툴과 기술을 행동 애널리틱스에 기반한 접근 방식으로 보강하거나 대체하는 작업이 필수적입니다.
왜 그럴까요? 많은 보안팀이 기업 보안용 XDR(Extended Detection and Response) 을 통해 발견한 것처럼, 행동 애널리틱스를 활용하면 정상적이거나 예상되는 행동의 기준을 설정하고, 사전에 예측할 수 없는 비정상을 발견할 수 있습니다.
애플리케이션 보안에도 동일한 개념을 적용할 수 있습니다. 먼저 API 데이터에 나타난 사용자와 비즈니스 프로세스를 프로파일링하는 작업부터 시작합니다. 이렇게 하면 B2B API가 남용되고 있거나 최소한 예기치 않은 방식으로 사용되고 있다는 신호를 보내는 비정상을 더 쉽게 발견할 수 있습니다.
API 보안 체계의 전체적인 그림 보기
API 행동 애널리틱스를 도입하면 복잡한 과정을 거치지 않고 API 사용 및 남용에 대한 이해도를 높일 수 있습니다. 복잡하고 비용이 많이 드는 온프레미스 보안 인프라가 필요하지 않습니다. Akamai API Security를 사용하면 100% SaaS(Software as a Solution) 접근 방식을 통해 몇 분 안에 첫 인사이트 를 확보해 전체 API 사용량을 파악하고 보호할수있습니다.
첫 걸음 내딛기
Akamai의 API 보안 솔루션 을 활용하면 모든 API를 찾아 보호하고 데이터가 안전하다는 확신을 얻을 수 있습니다. 플랫폼에 구애받지 않는 SaaS 기반 솔루션은 애플리케이션 및 API 보안에 XDR 기능을 제공합니다.
