취약점 극복하기: API 남용이 중요한 문제인 이유
API(Application Programming Interface)의 전략적 중요성이 증가하면서 많은 기업이 API 보안 체계의 성숙도와 정교함을 점진적으로 높이기 위한 노력을 시작하고 있습니다. 이러한 이니셔티브는 일반적으로 세 가지 주요 활동으로 시작됩니다.
- API 검색 구축 API 검색을 구축해 모든 승인 및 비승인 API에 대한 완전하고 정확한 인벤토리를 생성합니다
- 승인되지 않은 API 제거
- 승인된 API를 공격에 노출시키는 소프트웨어 및 구축 취약점을 식별하고 수정합니다
이 모든 것은 필수적인 관행이며, API 취약점을 발견하고 제거하기 위한 높은 수준의 로드맵을 제공하는 OWASP API 보안 상위 10대 같은 훌륭한 리소스도 있습니다. 그러나 API를 발견하고 API 취약점을 해결하는 것은 강력한 API 보안 전략의 시작에 불과합니다.
API를 완벽하게 분류하고 취약점을 제거하더라도 여전히 남용에 매우 취약할 수 있습니다. 또한 API 남용이 비즈니스에 미치는 영향은 취약점 악용만큼이나 치명적일 수 있습니다.
API 남용은 다른 종류의 문제
공식적인 API 보안을 위한 초기 노력은 API 코딩이나 설정 방식의 취약점을 악용하는 공격으로부터 보호하는 데 중점을 두었습니다. 그러나
API 남용은 이와 다른 종류의 문제입니다. 공격자는 어떤 종류의 기술적 취약점도 악용하지 않습니다. 대신 API를 만든 기업이 의도하지 않은 방식으로 API를 사용하고 있습니다.
파괴적이고 탐지하기 어려운 남용
API 남용의 결과는 치명적일 수 있습니다. 많은 기업이 API를 통해 핵심 비즈니스 로직과 데이터를 노출하고 있기 때문입니다. 공격자는 올바른 인증정보를 가진 올바른 API만으로 이러한 지식 재산을 훔칠 수 있습니다.
문제를 더욱 복잡하게 만드는 것은 API 남용을 탐지하기가 매우 어렵다는 사실입니다. 공격자는 유효한 인증정보를 사용하고 정상적인 사용과 유사한 방식으로 API와 상호 작용하기 때문에 많은 1세대 API 보안 제품에서는 이를 탐지할 수 없습니다.
모든 API는 남용될 가능성이 있습니다.
API가 노출된 모든 기업은 모든 API에 잠재적인 남용 사례 시나리오가 있다고 가정해야 합니다. 예를 들어, 현재 많은 사람들이 매일 사용하고 있는 온라인 뱅킹, 예산 관리, 재무 계획 애플리케이션과 서비스를 생각해 보세요. API는 이러한 편리한 기능의 핵심입니다.
인증정보를 손에 넣은 공격자는 이런 API를 통해 접속할 수 있는 고유한 비즈니스 로직과 데이터를 쉽게 이용해 지식 재산을 탈취함으로써 금융 기관의 비즈니스 이익과 계정 소유자의 개인적 이익에 피해를 줄 수 있습니다.
증가하는 API 남용의 위협을 방어하는 방법
API 취약점에서 한시도 눈을 떼지 마세요. 검색, 취약점 평가, 해결을 포함한 API 보안 기반을 구축하는 것이 그 어느 때보다 중요합니다.
하지만 API 보안 체계를 API 남용을 포함한 전체 API 위협으로 확장하려면 이와 함께 세 가지 추가적인 주요 전략이 필요합니다.
- API 공격에 대한 사고의 범위 확장
- 훨씬 더 많은 API 관련 데이터 분석
- API를 활용해 남용 사례 발견
API 공격의 구성 요소에 대한 사고 범위의 확장
OWASP API 보안 상위 10대 취약점은 API 취약점을 찾고 제거하기 위한 좋은 출발점입니다. 하지만 API 남용을 이해하는 데는 도움이 되지 않습니다. API 남용에 대한 업계 프레임워크가 등장할 때까지는 API 공격의 본질을 더욱 폭넓게 생각해야 합니다.
API 및 활동에 대한 훨씬 더 많은 데이터 분석
다른 API 보안 솔루션은 개별 API 호출이나 기껏해야 단기 세션만 모니터링합니다. 문제는 정상적인 활동처럼 보이지만 몇 분, 몇 시간 또는 며칠에 걸쳐 진행되는 API 남용이 있을 수 있다는 것입니다. SaaS(Software as a Service) 에 기반한 접근 방식을 채택하는 것이야말로 API 사용 상황을 제대로 파악할 수 있을 만큼 충분히 큰 데이터 세트를 캡처하고 분석할 수 있는 유일한 방법이며, 기준 행동보다 미미하거나 느린 API 남용과 비정상을 발견할 수 있는 유일한 방법입니다.
API를 활용해 남용 사례 발견
API 활동의 속도와 양은 사람이 능동적으로 모니터링하고 이해하기에는 너무 방대합니다. 동시에 기존의 많은 API 보안 기법으로는 관찰 대상의 비즈니스 영향을 파악할 수 없습니다.
따라서 머신 러닝과 AI(Artificial Intelligence) 기술을 응용하는 것이 매우 효과적입니다. 이 블로그 게시물의 조언에 따라 SaaS로 전환한다고 가정해 보겠습니다. 분석할 데이터가 많아질 뿐만 아니라 빅데이터 애널리틱스를 수행하는 데 필요한 컴퓨팅 성능에 접속할 수 있게 됩니다.
미래를 내다보고 공격자가 API를 악용하는 새로운 방법을 완벽하게 예측할 수는 없습니다. 하지만 AI를 사용해 행동의 기준선을 결정하고, 관련된 비즈니스 엔티티를 이해하고, 악용 가능성을 나타내는 비정상을 발견할 수 있습니다.
최신 리스크를 정교하게 제어
완벽한 API도 남용될 수 있습니다. API 보안 리스크를 식별하고 방어하려면 복잡하고 빠르게 진화하는 위협 환경에 대응할 수 있을 만큼 정교한 보안 제어 기능이 필요합니다. Akamai API Security 를 통해 API 보안을 강화하세요.
