최신 API 보안의 8가지 필수 사항과 금지 사항
많은 보안 담당자들이 API 보안과 관련하여 강력한 폭풍을 헤쳐 나가야 하는 상황에 처했습니다. API가 새로운 것은 아니지만, 최근 몇 년 동안 다음과 같은 요인으로 인해 전략적으로 훨씬 더 중요해졌습니다.
사용자는 점점 더 다양한 사용자 인터페이스와 디바이스를 통해 애플리케이션과 상호 작용하며, 이러한 인터페이스와 디바이스는 종종 공유되는 API 세트를 통해 활성화됩니다.
DevOps 관행과 기타 빠르게 변화하는 비즈니스 프로세스는 자동화를 추진하기 위해 API에 의존합니다.
비즈니스 파트너 간의 API 통합은 빠르고 원활한 온라인 경험에 대한 고객의 기대에 부응할 수 있는 유일한 방법입니다.
IoT(Internet of Things)와 같은 업계 발전으로 인해 기업이 API를 통해 프로그래밍 방식으로 관리해야 하는 연결된 디바이스의 수가 엄청나게 증가하고 있습니다.
API: 전략적 원동력이자 주요 취약점
이러한 업계의 발전은 수년에 걸쳐 눈에 보이지 않는 곳에서 이루어졌습니다. 하지만 많은 보안 리더들은 이제서야 API가 거의 모든 중요한 비즈니스 기능에 걸쳐 전략적 원동력이자 주요 취약점이라는 사실에 주목하기 시작했습니다.
API 보안에 대한 전략적 접근 방식의 필요성을 인식하는 것은 중요한 첫 단계이지만, 이를 달성하는 것은 복잡한 여정처럼느껴질 수 있습니다. 우선, API는 움직이는 표적입니다. API는 수시로 등장했다가 사라지고, API 거버넌스 프로세스가 존재하더라도 일관성이 없는 경우가 많습니다.
API 위협과 기존 보안 위협 비교
API 위협은 기존의 보안 위협과도 상당히 다릅니다. OWASP API 보안 상위 10대 취약점에 포함된 것과 같은 기술적 취약점 및 잘못된 설정은 보안팀에 익숙한 공격 기법과 어느 정도 유사합니다. 하지만 API는 공격적인 데이터 스크레이핑 같이 기존 보안 공격의 틀에 맞지 않는 다른 종류의 오용과 비즈니스 로직 남용의 대상이 되기도 합니다.
API 보안에 전략적으로 접근하는 것이 반드시 쉬운 일은 아니지만 충분히 가능합니다.
Akamai는 세계에서 가장 정교한 API 중심 기업들과 함께 리서치를 진행하고 참여하면서 얻은 몇 가지 교훈과 모범 사례를 요약해 API 보안의 8가지 필수 사항과 금지 사항이라는 간략한 가이드를 만들었습니다. 이 가이드에는 기업에서 보다 정교한 API 보안 전략을 개발할 때 구축해야 할 필수 전략과 피해야 할 함정이 소개되어 있습니다.
