럭셔리 호텔 체인의 API 보안 과제
Dan Hotels 이스라엘과 인도 전역에 호텔을 보유한 고급 호텔 체인으로써 파트너가 감염되었다는 사실을 발견한 후 수많은 여행 업계 API 통합을 보호하기 위해 Akamai API Security 를 선택했습니다.
API 보안 과제
Dan Hotels 체인은 내부 비즈니스 인텔리전스 시스템을 지원하는 다양한 API 기반 통합을 보유하고 있습니다. Expedia와 Booking.com 같은 주요 웹 사이트, 온라인 여행사, 기타 다양한 벤더사, 소규모 여행사 등 여행 업계 파트너와의 외부 API 컬렉션도 점점 늘어나고 있습니다.
이러한 API 기능 중 상당수가 회사의 Silverbyte 자산 관리 플랫폼에 중앙 집중화되어 있지만, 보안팀은 파트너가 시스템에 접속하고 상호 작용하는 구체적인 방식에 대한 가시성이 적고 이러한 활동을 관리할 수 있는 기능도 부족하다는 사실을 발견했습니다.
요구사항: 보다 정교하고 선제적인 접근 방식
Dan Hotels의 여행 파트너 중 두 곳이 감염된 후, 팀은 API 보안에 대한 더 정교하고 사전 예방적인 접근 방식 이 필요하다는 것을 깨달았습니다.
“파트너와 함께 인시던트를 조사하면서 API 사용 방식에 대한 제어 권한이 얼마나 부족한지 깨달았습니다.”라고 Dan Hotels의 정보 시스템 부사장 요시 가베이(Yossi Gabay)는 말했습니다. “보안 수준이 낮은 파트너가 시스템을 리스크에 빠뜨릴 수 있다는 것이 분명했습니다.”
이러한 경험으로 인해 더욱 정교한 API 보안 기능을 구축해야 한다는 절박감이 커졌습니다.
보안 API의 성공 요인
Dan Hotels 기술 팀은 사이버 보안과 기타 중요한 운영 기능 전반에 걸쳐 매일 수많은 압박에 직면하고 있습니다. 따라서 알림과 시간이 많이 걸리는 수작업으로 팀에 부담을 주지 않으면서도 API 리스크 를 줄일 수 있는 솔루션이 필요했습니다.
또한 어떤 솔루션을 선택하든, 명백한 공격을 넘어 파트너로부터 발생하는 미묘한 형태의 API 악용까지 포괄할 수 있어야 한다는 점도 중요했습니다(그림).
API Security discovers, audits, and monitors all APIs and their activity using behavioral analytics to detect and respond to threats and abuse.
Dan Hotels가 API Security를 선택한 이유
API Security는 간편한 통합, 실시간 고급 분석 기능, 직관적인 데이터 보기, 매니지드 서비스를 제공하기 때문에 Dan Hotels가 선택할 수 있는 최고의 솔루션이었습니다.
간편한 통합
Dan Hotels는 API Security의 Software-as-a-Service(SaaS) 모델을 통해 몇 시간 만에 초기 구축을 시작할 수 있었습니다. “불필요한 마찰 없이 매우 쉽게 통합할 수 있었습니다.”라고 요시는 말합니다. “새로운 작업으로 과부하가 발생하지 않아 일상적인 운영에 전혀 방해가 되지 않았습니다.”
API 보안 팀은 시스템을 가동하고 나면 Dan Hotels 팀과 협력해 특정 목표에 맞게 데이터 소스와 설정을 미세 조정했습니다.
실시간 고급 분석 기능
남용 탐지에 중점을 두는 Dan Hotels의 특성을 고려할 때, API Security의 실시간 분석 기능은 시중의 다른 옵션과 차별화되는 특징을 지녔습니다. API Security 플랫폼은 Dan Hotels의 API 사용자와 리소스 간의 관계를 매핑해 가치 있는 컨텍스트를 제공했습니다.
“API Security는 공격 차단에만 집중하는 대신 실제로 어떤 일이 일어나고 있는지 파악하고, 고객사가 발견하지 못했지만 문제가 될 수 있는 행동에 집중할 수 있도록 도와줍니다.”라고 요시는 말합니다.
직관적인 런타임 데이터 보기
Dan Hotels 팀은 또한 API 활동 및 위협에 대한 대량의 정보를 표시하는 API Security의 성능에 깊은 인상을 받았습니다.
“정보가 없으면 대화를 나눌 수도, 문제를 해결할 수도 없습니다.”라고 요시는 설명합니다. “API의 기능과 실제로 일어나는 일을 비교하고 이해하게 되면 모든 관련 당사자를 참여시켜 문제를 해결할 수 있습니다.”
매니지드 서비스
Dan Hotels는 API Security의 매니지드 서비스에서 상당한 가치를 발견했습니다.
“우리 팀은 사이버 보안과 매출 발생 활동을 지원하는 데 집중하는 경우가 많기 때문에, 새로운 API 리스크 가 식별되면 선제적으로 알려주는 매니지드 서비스가 필요합니다. 이를 통해 API 보안 문제와 관련된 최신 전문 지식을 보유한 매우 열정적이고, 원활하게 협력할 수 있는 분들을 만날 수 있습니다.”라고 요시는 말합니다.
확인하기
Akamai API Security 제품이 기업을 어떻게 지원할 수 있는지 확인하고 싶으시다면, 지금 바로 Akamai API Security를 체험해 보세요.
