API 게이트웨이 보안

API는 오늘날 모든 곳에 존재하며, 다양한 소프트웨어 시스템이 점점 더 연결되는 세상을 뒷받침하는 방식으로 통신할 수 있게 해줍니다. API 또는 애플리케이션 프로그래밍 인터페이스는 서로 다른 언어로 작성된 다양한 소프트웨어 프로그램이 정보를 교환하고 기능을 공유할 수 있도록 하는 일련의 룰과 툴을 제공합니다. API 게이트웨이는 요청과 응답 모두의 API 호출을 관리, 보호, 최적화할 수 있는 중앙 집중식 포인트를 제공합니다.

API는 수많은 프로세스에 중요하고, 민감한 데이터와 연결되는 경우가 많기 때문에 악성 공격자들이 가장 선호하는 공격 표적이 되었습니다. 따라서 보안팀은 API 게이트웨이 보안을 보장하고 API가 지원하는 기본 마이크로서비스와 백엔드 서비스를 보호하는 프로토콜, 관행, 조치를 도입해야 합니다.

API는 서로 다른 시스템 또는 서로 다른 언어로 작성된 소프트웨어 구성요소가 쉽게 통신하고 정보를 공유할 수 있도록 하는 일련의 프로토콜과 정의입니다. API는 애플리케이션의 통신 방식을 표준화함으로써 한 애플리케이션이 다른 애플리케이션에서 제공하는 데이터와 기능에 접속하고 통합할 수 있게 해줍니다. 예를 들어, 개발자가 웹사이트에 최신 날씨 정보를 포함시키고 싶을 때 날씨 데이터를 수집하고 해석하기 위한 별도의 애플리케이션을 만들지 않고, API를 사용해 날씨 관련 소스의 데이터에 접속할 수 있습니다. API는 이커머스, 모바일 결제, 소셜 미디어 플랫폼, 클라우드 서비스 등 거의 모든 온라인 활동과 거래에 관여하므로 대규모 공격표면을 형성합니다.

API는 민감한 데이터에 대한 접속을 제공하거나 공격자가 대규모 시스템에 무단으로 접속할 수 있도록 허용하는 경우가 많기 때문에, 해커들은 API를 표적으로 삼습니다. API가 빠르게 확산됨에 따라 보안팀은 기업의 디지털 생태계에 있는 모든 API를 인식하지 못하는 경우가 많아 보안 제어와 정기적인 패치 및 업데이트를 통해 각 API를 적절히 보호하기가 더욱 어려워졌습니다. API 보안 은 취약점 악용, 권한 부여 오류, 인증 문제, 서비스 거부 공격 등 다양한 리스크에 의해 위협받을 수 있습니다.

API 게이트웨이는 API 호출 또는 클라이언트 요청을 관리하고 API 엔드포인트에서 응답을 반환하기 위한 단일 진입점 역할을 하는 소프트웨어 레이어입니다. API 게이트웨이는 들어오는 요청을 적절한 마이크로서비스 또는 백엔드 서비스로 라우팅해 여러 요청을 단일 요청으로 결합하거나, 단일 요청을 여러 요청으로 분할해 클라이언트의 요구를 가장 효율적으로 충족합니다. 또한 API 게이트웨이는 서로 다른 애플리케이션과 마이크로서비스 간의 프로토콜을 변환하고 부하를 분산시켜 API 성능을 최적화할 수 있습니다.

API 게이트웨이는 광범위한 보안 기능으로 API 남용 및 공격을 방지하고 기업의 보안 체계를 강화할 수 있습니다.

• 인증. API 게이트웨이는 ID 토큰과 같은 인증정보의 유효성을 검사해 모든 API 요청의 신원을 인증할 수 있습니다.
• 전송률 제한 및 스로틀링. API 게이트웨이 보안 조치에는 특정 기간 내에 API를 호출할 수 있는 횟수를 제한해, 처리 용량을 초과하거나 과부하가 걸리지 않도록 하는 기능이 포함됩니다. 이를 통해 서비스 거부 공격은 물론, 해커가 다양한 인증정보를 반복적으로 시도해 시스템에 접속하려는 무차별 대입 공격과 시행착오 공격도 방지할 수 있습니다.
• 정책 적용. API 게이트웨이는 마이크로서비스 및 백엔드 서비스 접속 시 따라야 할 정책과 룰(특히 인증, 권한 부여, 접속 제어 관련)을 적용할 수 있습니다.
• 시그니처 기반의 보안. API는 알려진 공격의 시그니처와 패턴을 인식해 특정 위협을 차단할 수 있습니다.
• 로깅 및 모니터링. API 게이트웨이는 API 트래픽 및 API 사용과 관련된 메트릭을 지속적으로 모니터링할 수 있습니다. 또한 게이트웨이는 사용 및 보안 문제에 대한 인사이트를 제공하는 모든 트랜잭션의 로그를 유지할 수 있습니다.
• 디커플링. API 게이트웨이는 보안을 강화하기 위해 백엔드 서비스와 프론트엔드 애플리케이션을 분리해 두 서비스 간에 직접적인 접촉이 일어나지 않게 합니다. 이는 백엔드 데이터베이스에 악성 코드가 삽입되는 SQL 인젝션 공격을 차단하는 데 도움이 됩니다.

API 게이트웨이는 보안 프로그램의 중요한 부분이지만, 하나의 보호 레이어일 뿐이므로 일부 보안 취약점은 여전히 위협이 될 수 있습니다. BOLA(Broken Object Level Authorization)와 같은 공격은 API 게이트웨이에 정상적인 트래픽으로 보일 수 있으므로 시스템이 BOLA 및 BOPLA(Broken Object Property Level Authorization) 공격에 여전히 취약할 수 있습니다. 또한 게이트웨이는 보안팀이 모든 API를 파악하고 각 API가 적절한 제어 및 정책으로 보호되는지 확인할 수 있도록 API 인벤토리에 대한 충분한 가시성을 제공하지 않습니다. 이러한 이유로 많은 기업에서는 공격표면의 가시성을 개선하기 위해 API 게이트웨이와 함께 추가적인 API 보안 솔루션을 사용합니다.

기업과 보안팀은 다음과 같은 모범 사례를 준수해 API 게이트웨이 보안을 개선할 수 있습니다.

• 중앙 집중식 인증. 게이트웨이에서 API 인증을 중앙 집중화하면 각 마이크로서비스가 접속, 토큰 확인, 기타 인증 프로세스의 요소를 독립적으로 관리하게 되어 복잡성과 보안 공백을 초래할 수 있는 리스크를 최소화할 수 있습니다.
• 전송률 제한 구축. API 요청 수를 제어하면 악성이든 정상적이든 과도한 요청으로 인해 서비스가 과부하가 걸리거나 DoS 또는 DDoS 공격에 노출되는 것을 방지할 수 있습니다.
• 지속적인 모니터링. 지속적인 모니터링과 애널리틱스는 잠재적인 위협을 탐지하고 클라이언트 접속 및 요청 문제를 해결하는 데 도움이 될 수 있습니다.
• 사용하지 않거나 중단된 API 제거. 보안팀은 모든 API를 추적하고 더 이상 사용되지 않거나 최신 보안 조치를 지원하지 않는 API를 제거해 API 게이트웨이 보안을 강화할 수 있습니다.
• WAF(Web Application Firewall) 실행. 네트워킹 및 API 보안 프로그램에 WAF를 배포하면 정의된 룰과 조건에 따라 API에 대한 접속을 제한해, 인젝션 공격 및 사이트 간 스크립팅과 같은 일반적인 위협을 차단할 수 있습니다.
• 행동 애널리틱스 활용. SaaS 기반의 행동 애널리틱스 솔루션은 모든 API 활동을 기록해 정상적인 행동의 기준을 정할 수 있습니다. 그런 다음 잠재적인 위협을 알리고 방어적 또는 사전 예방적 대응을 권장할 수 있습니다.