보안 격차의 허점: 애플리케이션 및 API 공격의 증가
Executive Summary
탐지된 공격 트래픽 양이 약 2.5배 증가한 데는 웹 애플리케이션 공격과 API 공격의 증가가 한몫했습니다. 이 증가는 API의 광범위한 도입과 위협 활동의 증가에 기인한 것으로 보입니다.
웹 애플리케이션 공격과 API 공격에서 가장 크게 증가한 위협 기법은 로컬 파일 포함 공격(LFI)입니다. 이 공격은 전년 대비 193%, 2021년 대비 3배 증가라는 엄청난 증가세를 보이고 있습니다.
API의 비즈니스 로직을 노린 API 공격은 탐지하고 방어하기가 복잡합니다. 따라서 개별 요청 수준에서 확인하기가 어렵습니다.
서버 측 요청 위조(SSRF)와 서버 측 템플릿 주입(SSTI) 같은 새로운 공격 기법은 앞으로도 기업에 심각한 위협이 될 것으로 보입니다. 공격자들은 Log4Shell과 Spring4Shell 등 치명적 제로데이 취약점과 함께 SSTI 기법을 사용해 원격으로 코드를 실행했습니다.
일반적으로 처리하는 API 요청의 양과 규모가 리테일 등 D2C(Direct-to-Conumer) 업계와는 다른 제조업 등의 핵심 업계에서 공격이 급증하고 있습니다.
최신 인터넷 보안 현황 보고서 '보안 격차의 허점: 애플리케이션 및 API 공격의 증가'에서는 웹 애플리케이션 및 API 트래픽 분석, 중요 취약점, 업계별 리스크를 기반으로 공격 트렌드를 살펴봅니다. 이 보고서를 작성하기 위해 리서치 결과에 모범 사례와 방어 전략도 통합했습니다.
취약점을 초래하는 API와 애플리케이션의 허점은 경계를 뚫고 네트워크 내부에 전파해 대외비 정보를 입수할 방법을 찾는 공격자가 악용할 기회를 제공합니다. 웹 애플리케이션 공격과 API 공격은 여전히 기업이 방어해야 하는 중대한 위협이기 때문에 리스크를 줄이기 위해서는 보안 버그를 적시에 패치하는 것이 필수적입니다.
주의해야 할 (보안) 허점: API 공격 리서치에서 부각된 리스크
리서치 데이터는 OWASP(Open Web Application Security Project) 릴리스 후보를 대상으로 OWASP API 보안 상위 10대 취약점이 있는지 검증합니다. 이 새로운 혼합은 API 관련 공격이 증가하고 있음을 보여 줍니다(그림 1). 곧 나올 이 목록에 API 취약점이 포함된 것은 웹 애플리케이션 위협에 치중하던 데서 벗어나 기업이 주의해야 할 API 공격 리스크가 증가하고 있음에 주목한 것으로 풀이됩니다.
그림 1: 제안된 새로운 API 보안 상위 10대 취약점에는 더 많은 API 관련 공격이 포함되어 있으며, 권한 문제를 강조합니다(상위 5대 공격 중 4개).
손상된 오브젝트 수준 권한(BOLA)
손상된 오브젝트 수준 권한(BOLA)은 제안된 OWASP API 보안 상위 10대 취약점 중 최상위 API 취약점입니다. BOLA는 암호화 해제 같은 기술적인 접근 방식이 필요하지는 않지만(API 로직에 취약점이 있음) 정상적인 트래픽과 비슷하기 때문에 탐지하기 매우 어려울 수 있습니다. 또한 악용하기도 쉽습니다. BOLA 공격에 취약한 API 엔드포인트를 공격자가 스캔할 수 있고, 이러한 리스크는 악용이 성공할 경우 저장된 개인 식별 정보 등 다른 사용자의 정보에 접속할 수 있기 때문에 해로울 수 있습니다(그림 2).
그림 2: 정상적 요청과 BOLA 공격 비교
BOLA 공격으로 인한 리스크를 방어하기 위한 몇 가지 모범 사례는 다음과 같습니다.
클라이언트 인풋을 사용해 현재 사용자가 요청된 리소스에 접속할 수 있는지 확인하는 API 권한 검사를 구축합니다
리소스 ID에 순차적 숫자 ID보다는 범용 고유 식별자(UUID)를 사용합니다
API 엔드포인트의 BOLA 취약점을 평가하는 테스트를 작성하고 실행합니다
취약한 인증
또한 계정에 접속하는 사용자에게 권한이 있는지 검증하거나 확인하는 프로세스에 취약점이 있는 취약한 인증(새 목록의 2번)도 강조했습니다. 이 종류의 공격은 어느 정도 기술적 노하우가 필요하기 때문에 실행하기 어렵지만 계정 탈취 같은 위험한 결과를 초래할 수 있습니다. 이 때문에 리스크 검토에 인증 흐름 리스크, 보안 알고리즘 사용, 페이로드에 민감한 데이터 저장 금지, 하위 매개변수(사용 중인 경우)에 생성된 고유 식별자 사용을 포함시켰습니다.
취약점 및 새로운 공격 기법의 해
2022년은 애플리케이션 공격과 API 공격이 기록적으로 증가한 한 해였고, 제로데이 취약점과의 전투가 계속되었습니다. 2021년 말, 기업들은 Log4Shell 직후 Atlassian Confluence, ProxyNotShell, Spring4Shell 등 중대한 취약점 공격을 추가로 받았습니다.
또한 원격 코드 실행이나 데이터 유출로 이어질 수 있는 서버 측 템플릿 주입(SSTI) 및 서버 측 코드 주입 같은 새로운 멀웨어 트렌드는 심각한 비즈니스 위협을 초래했습니다. 여기에 더해 서버 측 요청 위조(SSRF) 공격도 급증했습니다. Akamai 고객사의 웹 애플리케이션과 API를 공격해 내부 리소스 접속을 노리는 서버 측 요청 위조(SSRF) 시도가 일 평균 1400만 건 발생하는 것으로 나타났습니다.
원격 코드 실행을 허용하는 서버 측 템플릿 주입(SSTI) 기법과 함께 오픈 소스 소프트웨어의 제로데이 취약점이 빈번하게 발생하고 있습니다. 또한 공격자들은 지능형 지속 공격과 HTTP 요청 밀수(HTTP Request Smuggling)에 웹 셸을 활용하고 있습니다.
디지털화 시대의 앱 및 API 리스크: 업계마다 다른 공격 양상
우리는 주요 업계와 트렌드를 살펴보고 사이버 범죄자들이 기업에 침투하는 경로로 API와 애플리케이션을 활용하는 방법을 검토했습니다. 대부분의 업계에서 공격 빈도가 증가한 가운데 상거래, 첨단 기술, 금융 서비스가 최고를 차지했습니다(그림 3). 금융 서비스가 상위 3위 안에 든 것은 놀라운 일이 아니라 금융 서비스에 대한 공격이 3.5배 증가했음을 밝힌 작년 SOTI 문 앞의 공격자들: 금융 서비스에 대한 공격 분석결과가 반영된 것입니다.
또한 상거래 업계에서 로컬 파일 포함(LFI) 공격이 급증했습니다. 아마도 공격자들은 코로나19로 앞다퉈 새로운 애플리케이션과 기술을 배포하는 상황을 틈타 악용할 취약점과 그 밖의 보안 허점을 찾은 것 같습니다.
그림 3: 웹 애플리케이션 공격과 API 공격의 영향을 가장 많이 받는 업계는 상거래, 첨단 기술, 금융 서비스입니다
다른 관점
하지만 중앙값 데이터세트를 살펴보면 업계별 공격 범위에 대한 다른 관점을 얻을 수 있습니다. 이 데이터를 보면 2022년 제조업 공격 건수는 첨단 기술과 금융 서비스를 능가했는데, 이는 최근 SOTI 보고서 슈퍼 하이웨이 공격: 악성 DNS 트래픽 심층 분석 및 글로벌 랜섬웨어 위협 보고서.
제조 기업은 리테일 같은 D2C(Direct-to-Consumer) 업계와 같은 규모의 앱 공격과 API 공격을 받지는 않겠지만 인시던트의 영향은 심각할 수 있습니다. 그리고 2022년 공격 건수 중앙값의 급격한 증가(76%)는 우려스럽습니다. 이 업계의 운영 기술을 노린 사이버 공격이 성공하면 공급망 문제 같은 실제적 영향을 줄 수 있습니다.
마지막으로 헬스케어 및 제약 기업에 대한 공격 중앙값도 증가했는데(82%), IoMT(의료용 사물 인터넷)가 도입되면서 공격표면이 확장된 것이 원인입니다. 다수의 레거시 시스템, 고도로 연합된 시스템, IoMT 데이터를 보유하고 있는 헬스케어 공급업체에서는 강력한 데이터 흐름 세그멘테이션과 가시성을 확보하는 것이 중요합니다. 환자의 안전은 리스크를 감수하기에는 너무도 중요하기 때문입니다.
보안의 허점을 메우는 방안
이 요약은 Akamai 보고서에서 볼 수 있는 풍부한 데이터와 기술적 세부 정보를 살짝 엿본 것에 불과합니다. 전체 보고서를 읽고 보고서의 교훈을 비즈니스에 적용할 것을 권합니다.
몇 가지 권장 사항:
위기가 닥칠 때까지 기다리지 말고 프로토콜(코드)이나 제품 또는 펌웨어에서 발견되는 다양한 종류의 새로운 취약점이나 제로데이 취약점을 방어할 방법을 미리 생각해야 합니다. 이러한 방어에 필요한 플레이북은 조금씩 다를 수 있지만 적시 대응에는 프로세스 구축이 매우 중요합니다.
엣지에서는 웹 애플리케이션 및 API 보안, 웹 애플리케이션 방화벽(WAAP, WAF)으로, 내부에서는 세그멘테이션및 링펜싱으로, 소스에서는 최대한 빠른 패칭으로 이러한 공격 기법을 방어하세요.
보고서에서 논의된 주요 문제와 기법을 사용해 침투 테스트 및 공격자 팀이 계획을 수립하도록 해 리스크 체계를 검증합니다. 업계별, 경우에 따라서는 지역별 분석이 필요합니다. 타인의 실수로부터 배우세요!
중대한 다음 취약점은 곧 나타납니다. 지금 바로 플레이북을 구축하거나 검증하세요.
결론
OWASP 변경 사항을 검토하고, 우선 순위를 정할 때는 OWASP의 업데이트된 권장 사항을 기준으로 시작하세요. JSON 웹 토큰의 취약한 인증에 대한 집중 분석은 리스크 선호도를 충족하는 애플리케이션을 위해 왜 안전한 코드 개발을 실천하고 리스크 모범 사례 및 기술적 제어를 개발해야 하는지 보여 주는 훌륭한 사례 연구입니다.
이 보고서의 데이터를 통해 프로그램 업데이트와 모범 사례 개발에 도움이 되는 인사이트를 얻으시기 바랍니다.
더 많은 인사이트를 보려면 보안 리서치 허브에서 최신 리서치를 확인하세요.