OWASP 상위 10대 API Security 리스크 2023 에디션 드디어 출시
오늘날 애플리케이션 프로그래밍 인터페이스(API)는 거의 모든 소프트웨어, 디바이스, 데이터 소스 사이의 유연하고 빠른 통합을 가능하게 합니다. API는 다양한 기능을 제공하며 혁신과 디지털 혁신의 토대를 제공합니다.
특히 마이크로서비스 기반 아키텍처로 전환하는 경우가 늘어나면서 API는 최신 애플리케이션을 구축하고 연결하는 데 있어 사실상 표준으로 자리 잡았습니다. API는 시스템 간의 디지털 접착제 역할을 하므로 API를 적절히 보호하는 것이 중요합니다.
모든 API 콜은 잠재적으로 보안 허점을 만들고 부실한 데이터 유효성 검사, 설정 오류, 구축 취약점, 보안 구성 요소 간 통합 부족 등 다양한 개인 정보 리스크를 초래할 수 있습니다. OWASP(Open Web Application Security Project) 선정 API Security 상위 10대 취약점을 해결할 때 이는 매우 중요한 문제입니다.
2023년 6월 5일, OWASP는 2019년에 발표한 초기 목록에 대한 첫 번째 주요 업데이트 를 발표했습니다. 변경 사항을 검토하고 오늘날의 API 취약성에 영향을 미치는 주요 요소를 확인함으로써 API 보안을 위한 여정에 유용한 정보를 얻을 수 있습니다.
OWASP 상위 10대 API Security 리스크
OWASP 는 Akamai의 기여를 포함하는 커뮤니티 피드백 및 전문가 평가를 기반으로 보안 인식 문서를 작성하는 비정부 기업입니다. 이 문서는 오늘날 조직에서 발견되는 가장 일반적인 취약점 유형을 설명하여 개발자에서 CISO에 이르기까지 API와 관련된 모든 사람이 훌륭한 리소스로 활용할 수 있습니다.
OWASP는 다른 상위 10대 목록과 더불어 별도의 상위 10대 API Security 리스크 문서를 게시하여 API Security 에는 고유한 접근 방식이 필요하다는 점을 강조하고 있습니다. OWASP API Security 프로젝트 는 ‘API의 고유한 취약점과 보안 위험을 이해하고 방어하기 위한 전략과 솔루션에 중점을 둡니다.’
차이점
2019 버전과 2023 버전의 차이점을 살펴보겠습니다(그림 1).
그림 1: 2023 OWASP 상위 10대 API Security 리스크 변경 사항
2023 릴리스 메시지에 따르면,
2023 OWASP 상위 10대 API Security 리스크는 빠르게 변화하는 업계에 대한 미래 지향적 인식 문서입니다. 다른 상위 10대 리스크를 대체하지 않습니다. 이번 에디션에는 아래와 같은 내용이 포함됩니다.
- 일반적인 근본 원인, 즉 오브젝트 속성 수준의 권한 부여 유효성 검사 실패에 초점을 맞춰 과도한 데이터 노출과 대규모 할당을 결합했습니다.
- 리소스 소비에 더욱 중점을 두어 리소스가 소모되는 속도에 더욱 집중했습니다.
- 속도 제한을 사용하여 방어할 수 있는 대부분의 위협을 포함하여 새로운 위협을 해결하기 위해 새로운 카테고리의 "Unrestricted Access to Sensitive Business Flows"를 만들었습니다.
- 공격자가 공격 표적의 API를 직접 공격하는 대신 공격 표적의 통합 서비스를 찾아 이를 감염시키기 시작한 문제를 해결하기 위해 "안전하지 않은 API 사용"을 추가했습니다. 지금이 바로 이러한 리스크 증가에 대한 경각심을 불러일으키기 적절한 시기입니다.
새로운 것, 포함된 것, 빠진 것
신규 | API3:2023 | 손상된 오브젝트 프로퍼티 수준의 권한
OWASP는 기존의 과도한 데이터 노출 및 대량 할당 카테고리를 새로운 손상된 오브젝트 프로퍼티 수준 권한(BOPLA)으로 통합하여 공통의 근본 원인인 오브젝트 속성 수준 권한 유효성 검사 실패에 초점을 맞췄습니다.
손상된 오브젝트 프로퍼티 수준 권한(BOLA)과 BOPLA의 차이점은 BOLA는 전체 오브젝트를 참조하는 반면 BOPLA는 오브젝트 내의 프로퍼티를 참조한다는 점입니다(그림 2).
그림 2: BOPLA는 오브젝트 내의 프로퍼티를 참조합니다.
OWASP와 Akamai 모두 오브젝트 수준에서 주요 리스크를 계속 인식하고 있으며, 이는 BOLA가 여전히 가장 중요한 API Security 리스크로 남아 있는 이유를 설명합니다.
그러나 한 단계 더 깊이 들어가 오브젝트 프로퍼티 수준을 살펴보면 정보를 과도하게 공유하거나 수정 또는 삭제해서는 안 되는 특정 프로퍼티를 허용할 수 있는 추가적인 리스크가 있습니다.
BOLA를 적용받는다고 해서 BOPLA를 적용받는 것은 아니며, 대규모 할당과 과도한 데이터 노출을 단일 카테고리로 결합함으로써 API 개발자가 오브젝트의 프로퍼티에 대해 주의를 기울여야 한다는 점을 강조합니다.
API Security 제품을 선택하는 경우 제품이 두 가지 종류의 공격을 모두 포함하는지 확인해야 하므로 이러한 구별이 중요합니다.
포함 | API6:2023 | 서버 측 요청 위조
OWASP는 인젝션 보안 리스크를 낮추었으며, 이로써 상위 10대 리스크에서 사라지고 서버 측 요청 위조(SSRF) 가 추가되었습니다.
SSRF는 공격자가 서버에서 다른 내부 또는 외부 시스템으로 무단 요청을 할 수 있도록 하는 웹 응용 프로그램 또는 API의 취약점을 악용하는 공격 종류입니다.
다음은 OWASP가 이러한 변경을 선택한 몇 가지 잠재적인 이유입니다.
- API는 HTTPS API 기반 통신 프로토콜을 사용하는 쿠버네티스 및 Docker와 같은 최신 기술에 의존하기 때문에 SSRF 공격에 더 취약합니다.
- Webhooks, SSO 통합, API 엔드포인트를 통한 URL 파일 가져오기 및 리디렉션 등의 기술을 통해 공격자가 SSRF를 적용할 수 있습니다.
심층 분석
SSRF 공격에 대한 자세한 내용은 마이크 엘리슨(Mike Elissen)의 글 Your APIs Are Enabling Server-Side Request Forgery (SSRF) Attacks를 참조하시기 바랍니다.
삭제 | API8:2019 | 인젝션
목록에서 인젝션 공격을 제거하는 것은 API Security 커뮤니티 내에서 과감하다는 논쟁의 여지가 많았지만 API 엔드포인트에 대한 인젝션 공격으로 인한 위협은 줄어들었습니다.
이제 인젝션은 기본적으로 API8:2023 | 잘못된 보안 설정의 일부입니다. 적절한 보안 구성에는 기본적으로 인젝션을 검사하고 방지하는 웹 애플리케이션 및 API 보안 메커니즘이 포함되어야 합니다.
GraphQL은 API 기술로 성장하고 있습니다. 핵심적으로는 쿼리 언어가 인젝션 공격가 다시 증가하는 결과를 불러올 수 있으므로 GraphQL을 사용하는 API 개발자는 경계를 늦추지 말아야 합니다.
신규 | API4:2023 | 무제한 리소스 사용
원래 목록은 API 엔드포인트가 과부화가 되고 잠재적으로 사용할 수 없게 되어 사용자 경험을 저해하는 리소스 사용의 리스크를 이해하는 데 중점을 두었습니다.
오늘날 API 엔드포인트는 사용이 가능해야 하지만, 사용 가능하다고 해서 모든 것이 해결되는 것은 아닙니다. API Gateway, 부하 분산 또는 전송률 제한 제어를 구축하는 것은 올바른 방향으로 나아가는 단계입니다.
최근 몇 년 동안 ‘API 사용의 경제성’에 큰 변화가 일어나고 있습니다. 이 업데이트된 카테고리 는 이러한 측면에 대한 인식을 높이는 데 목표를 두고 있으며, 이는 타사 API 통합과 함께 계속 성장할 것입니다.
신규 | API6:2023 | 민감한 비즈니스 플로우에 대한 무제한 접속
또 다른 새로운 추가 기능은 API6:2023 민감한 비즈니스 플로우에 대한 무제한 접속입니다.. 이 카테고리는 마침내 보안을 특별하게 만드는 요소, 즉 공격자처럼 생각하고 잠재적 이익이 어디에 있는지 확인하는 과정을 체계화했습니다.
기술(API)은 비즈니스 로직을 실행하는 하나의 방법일 뿐입니다. 기술을 통해 이러한 비즈니스 로직을 우회하거나 변경하는 방법은 원치 않으며, 상황을 더욱 복잡하게 만들 수 있습니다.
OWASP는 이러한 복잡한 문제를 방지하는 방법에 대한 구체적인 사례를 공유했지만, 이 보안 리스크는 API 엔드포인트가 지원하는 비즈니스 로직에 따라 달라집니다.
API 개발자 예
마이크 엘리슨은 최근 스트리밍 서비스의 API 개발자들과 대화를 나누었습니다. 스트리밍 서비스는 새로운 시청자를 유치하기 위해 신용 카드 정보를 공유하는 신규 사용자에게 30일 무료 체험 기회를 제공했습니다.
그러나 비즈니스 로직은 신규 가입 시 메일 주소가 고유한지 여부만 확인했습니다. 새 이메일 주소를 사용하면 동일한 신용 카드 정보로 새로운 체험 기회를 쉽게 얻을 수 있기 때문에, 사용자들은 매달 새로운 계정을 만들어 무료 서비스를 무기한 이용할 수 있습니다.
신규 | API10:2023 | 안전하지 않은 API 사용
써드파티 API 사용 이 급속도로 증가함에 따라 API는 종종 다양한 내부 및 써드파티인 외부 서비스와 통합 및 통신하여 데이터를 송수신해야 합니다.
이러한 경우에는 ‘기본적인’ 보안 룰을 따르는 것이 중요하며, 이 영역에서 보안 제품의 취약점을 탐지하고 선제적으로 방어하는 것은 복잡할 수 있습니다.
OWASP는 문서를 통해 다음과 같은 일반적인 그리고 API와 관련된 다양한 사항을 제안합니다.
- 리디렉션을 따를 때는 주의를 기울이세요. 이러한 감독을 비즈니스 로직에 구축하고 트래픽 흐름을 지속해 모니터링 및 검사하는 보안 솔루션을 추가하세요.
- 써드파티 API는 평판이 좋더라도 신뢰하지 마세요. 애플리케이션 및 API 엔드포인트에 방어 및 제한을 구축하세요.
Akamai의 API Security가 도움을 드릴 수 있습니다
기업과 기업의 보안 벤더사는 인력, 프로세스, 기술 전반에 걸쳐 긴밀히 협력하여 OWASP 상위 10대 API Security 리스크에 대한 견고한 방어 체계를 구축해야 합니다.
Akamai는 업계 최고의 보안 솔루션, 경험이 풍부한 전문가, 그리고 Akamai Connected Cloud를 통해 매일 수백만 건의 웹 애플리케이션 공격, 수십억 건의 봇 요청, 수조 건의 API 요청으로부터 인사이트를 확보합니다. Akamai의 웹 애플리케이션 및 API Security 솔루션은 가장 발전된 형태의 웹 애플리케이션, DDoS(Distributed Denial-of-Service), API 기반 공격으로부터 기업을 보호합니다.
Akamai + Neosec
새로운 OWASP 릴리스는 Akamai가 최근 Neosec을 인수하는 시기와 맞물려 있습니다. Neosec의 API Security 솔루션은 빠르게 성장하는 API 위협 환경에 Akamai의 가시성을 대폭 확장함으로써 시장을 선도하는 Akamai의 애플리케이션 및 API Security 포트폴리오를 보완할 것입니다.
이 조합은 고객이 모든 API를 검색하고 리스크를 평가하며 취약점과 공격에 대응할 수 있도록 지원함으로써 API를 손쉽게 보호할 수 있도록 설계되었습니다.
자세히 알아보기
Akamai API security 솔루션 과 Neosec 인수에 대해 자세히 알아보세요.
OWASP에 전하는 축하와 감사 인사
보안에 대한 인식을 높이는 데는 커뮤니티의 상당한 노력이 필요합니다. 이러한 점에서 이번 프로젝트를 주도한 OWASP에 감사의 말씀을 드립니다. 특히 2023년 에디션을 위해 수고해 주신 에레즈 얄론(Erez Yallon), 이논 슈케디(Inon Shkedy), 파울로 실바(Paulo Silva)에게 감사를 표합니다.
이번 프로젝트에 참여하여 대규모 개발자 커뮤니티에 API 보안에 대해 교육해 주신 모든 기여자, 특히 Akamai의 맥심 자보디크(Maxim Zavodchik) 와 마이크 엘리슨(Mike Elissen) 에게 감사의 말씀을 전합니다.
API에 대한 추가 정보
Akamai는 인터넷 현황(SOTI) 보고서의 일부로 API 사용 현황 및 API 트래픽 양을 추적합니다. 자세한 내용은 이전 SOTI 보고서 를 읽고 분기마다 새로운 SOTI 보고서를 찾아보세요.
추가 리소스
비디오 시리즈: API Security의 기초
