ITSM, SIEM, SOAR을 사용해 API 공격을 해결하는 방법

Akamai는 2024년 6월 Noname Security를 인수했습니다. 이 블로그 게시물은 2023년 7월 24일에 처음 게시되었습니다.

API 공격이 증가하는 이유는 무엇인가요? API가 공격자에게 많은 것을 제공하기 때문입니다. API는 잘못된 설정, 코딩 오류, 인증 제어가 누락된 상태로 구축되는 경우가 많기 때문에 쉽게 악용할 수 있습니다. 또한 애플리케이션과 시스템 간에 데이터를 지속적으로 교환하는 가장 중요한 역할을 하기 때문에 효율적인 데이터 유출을 노리는 공격자들에게 매력적인 표적이 됩니다.

많은 기업이 API 보안의 우선순위를 정하고 강력한 보안 조치를 도입하는 것이 왜 중요한지 직접 경험하고 있습니다. 하지만 어디서부터 시작해야 할지 명확하지 않은 경우가 많습니다. 이 블로그 게시물에서는 포괄적인 API 보안 솔루션과 함께 다음 세 가지 툴을 사용해 공격으로부터 API를 보호하는 방법에 대해 설명합니다:

1. ITSM(IT Service Management)
2. SIEM(Security Information and Event Management)
3. SOAR(Security Orchestration, Automation and Response)

이 세 가지 기술이 제공하는 기능과 기업에서 사용되는 방식에 대한 간략한 개요부터 시작하겠습니다.

ITSM은 기업 내에서 IT 서비스를 설계하고, 제공하고, 관리하고, 개선하는 데 사용되는 일련의 관행과 전략입니다. 이는 IT 서비스를 비즈니스 요구사항에 맞게 조정하고 효율적이고 효과적인 IT 프로세스를 만드는 데 중점을 둡니다. ITSM은 인시던트 관리, 문제 관리, 변경 관리, 서비스 수준 관리 등 다양한 분야를 포괄합니다. ITSM 모범 사례를 구축함으로써 기업은 IT 운영을 개선하고 고객 만족도를 높이며 비즈니스 목표를 달성할 수 있습니다.

SIEM은 SIM(Security Information Management)과 SEM(Security Event Management) 기능을 결합한 기술입니다. 이 기술의 주요 목적은 기업의 IT 인프라 전반에서 보안 이벤트를 실시간으로 모니터링하고, 상관관계, 분석을 제공하는 것입니다. SIEM 시스템은 네트워크 디바이스, 서버, 애플리케이션 등 다양한 소스에서 로그와 데이터를 수집한 다음 이 정보를 분석해 보안 인시던트를 탐지하고 대응합니다. 보안 이벤트를 집계하고 상호 연계하는 SIEM의 기능은 기업이 잠재적 위협을 식별하고, 인시던트를 조사하고, 규제 요구사항을 준수하는 데 도움이 됩니다.

SOAR는 보안 운영을 간소화하고 자동화하는 것을 목표로 하는 기술입니다. SOAR 플랫폼은 다양한 보안 툴 및 기술과 통합되어 기업이 반복적이고 수동적인 보안 작업을 자동화할 수 있도록 지원합니다. 또한 SOAR는 보안 운영에 대한 중앙 집중식 보기를 제공하고, 여러 팀 간의 협업을 촉진하고, 인시던트 대응 워크플로우를 지원합니다. SOAR는 기업이 보안 운영의 효율성과 효과를 개선해 대응 시간을 단축하고 보안 인시던트의 영향을 최소화하는 데 도움을 줍니다.

SIEM 시스템은 API 로그를 비롯한 다양한 소스의 보안 이벤트를 분석하고 상호 연관성을 파악하는 데 매우 유용합니다. SIEM 시스템의 기능을 사용하면 기업의 API 공격 탐지 및 분석 능력을 향상시켜 신속하고 효과적으로 대응할 수 있습니다. 포괄적인 API 보안 솔루션과 함께 사용하면 SIEM은 강력한 툴이 될 수 있습니다.

API 보안 솔루션을 사용해 API 공격을 탐지하는 첫 번째 단계는 API 트랜잭션에 대해 포괄적인 로깅이 활성화되어 있는지 파악하는 것입니다. 여기에는 소스 IP 주소, 접속 중인 API 엔드포인트, 요청 종류(예: GET, POST), 관련 매개변수 또는 헤더와 같은 세부 정보를 캡처하는 것이 포함됩니다. 이러한 데이터를 수집함으로써 기업은 정상적인 API 행동의 기준선을 설정하고 공격을 시사할 수 있는 비정상을 탐지할 수 있습니다.

로그가 제대로 수집되면 다음 단계는 이러한 로그를 실시간으로 모니터링하고 분석하도록 SIEM 시스템을 설정하는 것입니다. 여기에는 의심스러운 패턴이나 알려진 공격 신호를 탐지할 수 있는 사용자 지정 규칙과 알림을 생성하는 것이 포함됩니다. 예를 들어, API 엔드포인트가 단기간 내에 비정상적으로 많은 횟수로 접속되는 경우 이는 무차별 대입 공격 또는 시스템 과부하 시도일 수 있습니다.

API 공격이 탐지되면 SIEM 시스템에서 자동 알림을 생성하고 적절한 보안 담당자에게 알릴 수 있습니다. 이러한 알림에는 표적이 된 특정 API 엔드포인트, 공격 종류(예: SQL 인젝션, 크로스 사이트 스크립팅), 감염과 관련된 지표 등 공격에 대한 자세한 정보가 포함될 수 있습니다. 이를 통해 기업은 신속하게 대응하고 필요한 해결 단계를 시작해 공격을 방어하고 추가 피해를 방지할 수 있습니다.

기업은 API 보안에 ITSM 원칙을 활용함으로써 API 사용과 관련된 잠재적 리스크를 식별하고, 평가하고, 방어할 수 있는 강력한 프레임워크를 구축할 수 있습니다.

첫 번째 단계는 명확한 정책과 가이드라인을 정의하는 것입니다. 여기에는 API의 허용 가능한 사용, 인증, 권한 부여 프로토콜, 데이터 암호화 표준, 인시던트 대응 절차를 설명하는 API 보안 정책을 수립하는 것이 포함됩니다. 이러한 정책은 모든 이해관계자에게 전달해 컴플라이언스와 책임을 보장해야 합니다.

다음으로, 기업은 ITSM 원칙을 지원하는 포괄적인 API 보안 솔루션을 도입해야 합니다. 이 솔루션은 API 검색, 모니터링, 접속 제어와 같은 기능을 제공해야 합니다. 또한 기존 ITSM 툴과 통합해 인시던트 관리 및 변경 제어 프로세스를 효율적으로 만들어야 합니다.

명확한 정책을 정의하고, 포괄적인 API 보안 플랫폼을 도입하고, 강력한 인증 조치를 구축하고, 정기적으로 보안 체계를 평가함으로써 기업은 API 보안을 강화하고 잠재적인 리스크를 방어할 수 있는 강력한 프레임워크를 구축할 수 있습니다. 또한 요청을 적절한 백엔드 팀으로 라우팅하는 API 보안 솔루션을 사용하는 것도 큰 도움이 됩니다. 해당 API의 소유자가 누구인지에 대한 적절한 맥락을 추가할 수 있다면 이러한 ITSM 시스템은 자동으로 요청을 적절한 팀에게 라우팅할 수 있습니다.

기업에서 API 공격이 증가함에 따라 리스크를 방어하기 위해 신속하고 단호하게 대응할 수 있는 제어 및 기능을 구축하는 것이 중요합니다. 바로 이때 SOAR가 필요합니다. SOAR는 자동화, 오케스트레이션, 머신 러닝의 힘을 결합해 문제 해결 프로세스를 효율적으로 만들고 개선하는 인시던트 대응에 대한 포괄적인 접근 방식입니다. 이를 통해 기업은 대응 시간을 획기적으로 단축하고 인적 오류를 최소화하며 전반적인 보안 체계를 개선할 수 있습니다.

API 관련 보안 문제 해결에서 SOAR의 주요 장점 중 하나는 서로 다른 보안 툴과 시스템을 통합해 보안 운영을 오케스트레이션할 수 있다는 것입니다. SOAR는 보안 툴을 연결하고 동기화함으로써 전체 인시던트 대응 수명 주기에서 원활한 정보 공유와 협업을 가능하게 합니다.

이러한 오케스트레이션 기능은 가시성과 상황 인식을 향상시킬 뿐만 아니라 문제 해결 노력을 조율함으로써 기업이 사이버 위협에 보다 효과적으로 대응할 수 있도록 지원합니다.

SOAR는 머신 러닝을 사용해 방대한 양의 보안 데이터를 분석하고 인간 분석가들이 놓칠 수 있는 패턴과 트렌드를 파악합니다. 지속적인 학습과 적응을 통해 새로운 위협을 실시간으로 탐지하고 대응하는 SOAR 플랫폼은 기업에 선제적인 방어 메커니즘을 제공합니다.

이러한 기능은 기업이 API 보안 인시던트를 신속하게 해결할 수 있도록 지원할 뿐만 아니라 향후 유사한 공격이 발생하지 않도록 예방하는 데에도 도움이 됩니다. 자동화와 오케스트레이션을 결합한 SOAR는 기업이 사이버 위협에 신속하고 효과적으로 대응할 수 있도록 지원합니다. 반복적인 작업을 자동화하고, 보안 운영을 오케스트레이션하고, 머신 러닝을 활용하는 기능을 갖춘 SOAR는 문제 해결 프로세스를 효율적으로 만들고, API 보안 체계를 강화하며, 궁극적으로는 기업이 진화하는 공격 방법에 한 발 앞서 대응할 수 있도록 지원합니다.