보안팀이 증가하는 API 위협의 영향을 체감한다는 연구 결과 발표

API 보안 인시던트의 증가는 놀라운 일이 아닙니다. 이렇게 생각해 보세요. 모든 기업의 직원과 마찬가지로 API도 디지털 기술 간에 데이터를 신속하게 교환하는 업무를 수행합니다. 이 업무는 매우 중요합니다. API를 통해 고객과 파트너는 필요한 서비스를 받을 수 있기 때문입니다. 하지만 직원과 달리 API는 민감한 데이터를 거의 또는 전혀 감독 없이 처리하기 때문에 리스크도 높습니다 . 

많은 API는 기업의 중앙 IT 부서도 모르게 만들어지기 때문에 음지에 존재하며, 기존 보안 툴로 탐지되지 않는 경우가 많습니다. 보안팀은 설명 할 수 있는 API의 리스크에 대한 가시성이 부족한 경우가 많습니다.

2024년 API 보안 영향 연구에 따르면, 전체 API 인벤토리를 보유하고 있다고 생각하는 응답자 중 27%만이 어떤 API가 민감한 데이터를 반환하는지 알고 있으며, 이는 작년의 40%보다 감소한 수치입니다. 또한, 역할 간 단절이 존재합니다. 설문 조사에 참여한 CIO 중 43%는 어떤 API가 민감한 데이터를 반환하는지 알고 있다고 답했지만, CISO 중에서는 17%만이 이러한 견해를 공유한 것을 보면 알 수 있습니다.

볼 수 없는 공격은 방어할 수도 없습니다. 다음을 고려할 때 이러한 가시성 부족은 심각한 문제입니다.

• 2023년 1월부터 2024년 6월까지 1080억 건의 API 공격이 기록되었습니다(최근 Akamai 인터넷 보안 현황 보고서(SOTI))

• 단 한 번의 API 감염이라도 막대한 데이터 유출로 이어져 매출 손실과 규제 벌금을 초래할 수 있습니다

이러한 조사 결과는 알려주는 것은 무엇일까요? 모든 형태의 공격은 우려를 불러일으킬 수밖에 없습니다. 하지만 익숙하지 않은 공격 기법을 처리하는 데서 오는 스트레스는 특히 더 큽니다. 많은 기업이 API 리스크의 복잡성을 빠르게 파악하고 있습니다. 게다가 API 공격이 발생한 후 고위 경영진이 다음과 같이 라고 질문할 때 느끼는 압박감은 더 커집니다: '어떻게 이런 일이 일어났습니까?'

다행히도 대부분의 보안팀은 API 공격이 어떻게 발생하는지에 대한 지식을 쌓아가고 있습니다. 또한, 대부분의 보안팀은 API 보안에 일반적으로 사용되는 툴만으로는 더 이상 충분하지 않다는 것을 알고 있습니다. 응답자들은 자신이 경험한 API 인시던트의 주요 원인을 다음과 같이 꼽았습니다.

• 관리되지 않는 API 자산의 상당 부분을 확인하거나 보호하도록 설계되지 않아 제한된 범위 밖의 인시던트를 포착하지 못하는 툴

• 급하게 만든 코딩 오류 및 인증 제어 누락 등 OWASP 10대 API 보안 리스크에 언급된 취약점

오늘날의 API 위협에는 다음의 4가지 핵심 영역에 기반을 둔 전략과 솔루션이 필요합니다.

• API 검색

• 체계 관리

• 런타임 보호

• 보안 테스트

가시성 향상: 그림자, 특히 데이터에 대한 접속이 확인되지 않는 등 관리되지 않는 API를 들여다보세요. 자동으로 API를 검색할 수 있는 툴을 찾아보세요. API의 리스크를 분석하고 포괄적인 인벤토리로 문서화하세요.

체계 강화: 일반적인 알림 종류에 대한 가시성을 확보해 공격의 신호를 사전에 탐지할 수 있게 하는 동시에 정상 및 비정형 API 행동에 대한 명확성을 확보하세요. 인사이트를 활용해 리스크를 줄이고, 우선순위를 설정하고, API 보안 전략을 강화하세요.

런타임 확인 및 보호: 포괄적인 API 보안 솔루션을 기존 보안 스택(예: 웹 애플리케이션 방화벽 또는 웹 애플리케이션 및 API 보안 툴)과 통합하면 사용자가 고리스크 행동을 발견 하고 의심스러운 트래픽이 중요한 리소스에 접속하기 전에 차단할 수 있습니다.