클라우드 컴퓨팅이 필요하신가요? 지금 시작해보세요

API 게이트웨이 보안

중앙 집중식 API 관리 방법

API는 오늘날 모든 곳에 존재하며, 다양한 소프트웨어 시스템이 점점 더 연결되는 세상을 뒷받침하는 방식으로 통신할 수 있게 해줍니다. API 또는 애플리케이션 프로그래밍 인터페이스는 서로 다른 언어로 작성된 다양한 소프트웨어 프로그램이 정보를 교환하고 기능을 공유할 수 있도록 하는 일련의 룰과 툴을 제공합니다. API 게이트웨이는 요청과 응답 모두의 API 호출을 관리, 보호, 최적화할 수 있는 중앙 집중식 포인트를 제공합니다.

API는 수많은 프로세스에 중요하고, 민감한 데이터와 연결되는 경우가 많기 때문에 악성 공격자들이 가장 선호하는 공격 표적이 되었습니다. 따라서 보안팀은 API 게이트웨이 보안을 보장하고 API가 지원하는 기본 마이크로서비스와 백엔드 서비스를 보호하는 프로토콜, 관행, 조치를 도입해야 합니다.

API란 무엇일까요?

API는 서로 다른 시스템 또는 서로 다른 언어로 작성된 소프트웨어 구성요소가 쉽게 통신하고 정보를 공유할 수 있도록 하는 일련의 프로토콜과 정의입니다. API는 애플리케이션의 통신 방식을 표준화함으로써 한 애플리케이션이 다른 애플리케이션에서 제공하는 데이터와 기능에 접속하고 통합할 수 있게 해줍니다. 예를 들어, 개발자가 웹사이트에 최신 날씨 정보를 포함시키고 싶을 때 날씨 데이터를 수집하고 해석하기 위한 별도의 애플리케이션을 만들지 않고, API를 사용해 날씨 관련 소스의 데이터에 접속할 수 있습니다. API는 이커머스, 모바일 결제, 소셜 미디어 플랫폼, 클라우드 서비스 등 거의 모든 온라인 활동과 거래에 관여하므로 대규모 공격표면을 형성합니다.

API에 대한 위협이란 무엇일까요?

API는 민감한 데이터에 대한 접속을 제공하거나 공격자가 대규모 시스템에 무단으로 접속할 수 있도록 허용하는 경우가 많기 때문에, 해커들은 API를 표적으로 삼습니다. API가 빠르게 확산됨에 따라 보안팀은 기업의 디지털 생태계에 있는 모든 API를 인식하지 못하는 경우가 많아 보안 제어와 정기적인 패치 및 업데이트를 통해 각 API를 적절히 보호하기가 더욱 어려워졌습니다. API 보안 은 취약점 악용, 권한 부여 오류, 인증 문제, 서비스 거부 공격 등 다양한 리스크에 의해 위협받을 수 있습니다.

API 게이트웨이란 무엇일까요?

API 게이트웨이는 API 호출 또는 클라이언트 요청을 관리하고 API 엔드포인트에서 응답을 반환하기 위한 단일 진입점 역할을 하는 소프트웨어 레이어입니다. API 게이트웨이는 들어오는 요청을 적절한 마이크로서비스 또는 백엔드 서비스로 라우팅해 여러 요청을 단일 요청으로 결합하거나, 단일 요청을 여러 요청으로 분할해 클라이언트의 요구를 가장 효율적으로 충족합니다. 또한 API 게이트웨이는 서로 다른 애플리케이션과 마이크로서비스 간의 프로토콜을 변환하고 부하를 분산시켜 API 성능을 최적화할 수 있습니다.

API 게이트웨이 보안이란 무엇일까요?

API 게이트웨이는 광범위한 보안 기능으로 API 남용 및 공격을 방지하고 기업의 보안 체계를 강화할 수 있습니다.

  • 인증. API 게이트웨이는 ID 토큰과 같은 인증정보의 유효성을 검사해 모든 API 요청의 신원을 인증할 수 있습니다.
  • 전송률 제한 및 스로틀링. API 게이트웨이 보안 조치에는 특정 기간 내에 API를 호출할 수 있는 횟수를 제한해, 처리 용량을 초과하거나 과부하가 걸리지 않도록 하는 기능이 포함됩니다. 이를 통해 서비스 거부 공격은 물론, 해커가 다양한 인증정보를 반복적으로 시도해 시스템에 접속하려는 무차별 대입 공격과 시행착오 공격도 방지할 수 있습니다.
  • 정책 적용. API 게이트웨이는 마이크로서비스 및 백엔드 서비스 접속 시 따라야 할 정책과 룰(특히 인증, 권한 부여, 접속 제어 관련)을 적용할 수 있습니다.
  • 시그니처 기반의 보안. API는 알려진 공격의 시그니처와 패턴을 인식해 특정 위협을 차단할 수 있습니다.
  • 로깅 및 모니터링. API 게이트웨이는 API 트래픽 및 API 사용과 관련된 메트릭을 지속적으로 모니터링할 수 있습니다. 또한 게이트웨이는 사용 및 보안 문제에 대한 인사이트를 제공하는 모든 트랜잭션의 로그를 유지할 수 있습니다.
  • 디커플링. API 게이트웨이는 보안을 강화하기 위해 백엔드 서비스와 프론트엔드 애플리케이션을 분리해 두 서비스 간에 직접적인 접촉이 일어나지 않게 합니다. 이는 백엔드 데이터베이스에 악성 코드가 삽입되는 SQL 인젝션 공격을 차단하는 데 도움이 됩니다.

API 게이트웨이 보안은 얼마나 효과적일까요?

API 게이트웨이는 보안 프로그램의 중요한 부분이지만, 하나의 보호 레이어일 뿐이므로 일부 보안 취약점은 여전히 위협이 될 수 있습니다. BOLA(Broken Object Level Authorization)와 같은 공격은 API 게이트웨이에 정상적인 트래픽으로 보일 수 있으므로 시스템이 BOLA 및 BOPLA(Broken Object Property Level Authorization) 공격에 여전히 취약할 수 있습니다. 또한 게이트웨이는 보안팀이 모든 API를 파악하고 각 API가 적절한 제어 및 정책으로 보호되는지 확인할 수 있도록 API 인벤토리에 대한 충분한 가시성을 제공하지 않습니다. 이러한 이유로 많은 기업에서는 공격표면의 가시성을 개선하기 위해 API 게이트웨이와 함께 추가적인 API 보안 솔루션을 사용합니다.

API 게이트웨이 보안의 모범 사례에는 어떤 것이 있을까요?

기업과 보안팀은 다음과 같은 모범 사례를 준수해 API 게이트웨이 보안을 개선할 수 있습니다.

  • 중앙 집중식 인증. 게이트웨이에서 API 인증을 중앙 집중화하면 각 마이크로서비스가 접속, 토큰 확인, 기타 인증 프로세스의 요소를 독립적으로 관리하게 되어 복잡성과 보안 공백을 초래할 수 있는 리스크를 최소화할 수 있습니다.
  • 전송률 제한 구축. API 요청 수를 제어하면 악성이든 정상적이든 과도한 요청으로 인해 서비스가 과부하가 걸리거나 DoS 또는 DDoS 공격에 노출되는 것을 방지할 수 있습니다.
  • 지속적인 모니터링. 지속적인 모니터링과 애널리틱스는 잠재적인 위협을 탐지하고 클라이언트 접속 및 요청 문제를 해결하는 데 도움이 될 수 있습니다.
  • 사용하지 않거나 중단된 API 제거. 보안팀은 모든 API를 추적하고 더 이상 사용되지 않거나 최신 보안 조치를 지원하지 않는 API를 제거해 API 게이트웨이 보안을 강화할 수 있습니다.
  • WAF(Web Application Firewall) 실행. 네트워킹 및 API 보안 프로그램에 WAF를 배포하면 정의된 룰과 조건에 따라 API에 대한 접속을 제한해, 인젝션 공격 및 사이트 간 스크립팅과 같은 일반적인 위협을 차단할 수 있습니다.
  • 행동 애널리틱스 활용. SaaS 기반의 행동 애널리틱스 솔루션은 모든 API 활동을 기록해 정상적인 행동의 기준을 정할 수 있습니다. 그런 다음 잠재적인 위협을 알리고 방어적 또는 사전 예방적 대응을 권장할 수 있습니다.

 

자주 묻는 질문(FAQ)

OpenAPI는 HTTP API를 위한 개방형 표준 및 사양 언어로, API가 생성된 프로그래밍 언어에 종속되지 않는 방식으로 구조와 구문을 표현합니다. OpenAPI를 사용하면 DevOps가 JSON 또는 YAML 문서로 인코딩된 사양에서 API가 작동하는 방식을 쉽게 전달할 수 있습니다. OpenAPI 보안은 인증을 기반으로 애플리케이션에 대한 접속을 제한하고 암호화, 권한 부여 그리고 기타 API의 무결성, 가용성, 기밀성을 보호하기 위한 조치를 포함하는 다양한 보안 체계를 말합니다.

BOLA는 API 보안 및 API 게이트웨이 보안에 대한 가장 강력한 위협 중 하나인 Broken Object Level Authorization의 약자입니다. 해커는 OWASP API 보안 상위 10대 위협 중 하나인 이 취약점을 이용해 URL 매개변수와 같은 입력 매개변수를 조작하거나, 페이로드를 요청해 무단 데이터에 접속하거나, 무단 작업을 수행할 수 있습니다.

BOPLA는 Broken Object Property Level Authorization의 약자입니다. BOPLA는 오브젝트 내부의 속성을 참조하는 반면, BOLA는 전체 오브젝트를 참조한다는 점에서 BOLA와 다릅니다. BOLA를 방어하도록 설계된 API 보안 조치는 BOPLA에 대한 API 보안을 보장하지 않으므로, 보안팀은 두 가지 종류의 공격을 모두 방어하도록 설계된 솔루션을 도입해야 합니다.

고객이 Akamai를 선택하는 이유

Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.

Akamai 보안 솔루션 둘러보기