API 보안이란 무엇일까요?

API 보안에는 악성 공격자의 공격과 남용으로부터 애플리케이션 프로그래밍 인터페이스(API)를 보호하는 일련의 프로세스, 관행, 기술이 포함됩니다. API 보안은 최신 사이버 보안 프로그램의 핵심이자 보안 팀의 최우선 과제입니다.

API(Application Programming Interface)는 다양한 소프트웨어 프로그램 및 구성요소의 상호 통신, 데이터 및 기능 공유를 지원하는 프로토콜 및 정의입니다. API는 또한 애플리케이션의 상호 작용 방식을 관리하며, 요청이 이루어지는 방식과 프로그램 간에 교환될 수 있는 요청의 종류를 제어합니다.

API는 클라우드 서비스, 마이크로서비스, 서버리스 아키텍처그리고 많은 IT 환경이 의존하는 사물 인터넷(IoT)에 있어 매우 중요합니다. API는 애플리케이션 로직과 리소스를 노출할 수 있으며, 이를 통해 종종 민감한 정보가 전송되기 때문에 해커에게 매우 매력적인 표적입니다. API 보안이 유지되지 않으면 악성 공격자가 IT 자산에 접속할 수 있습니다. 따라서 API 보안은 네트워크 및 애플리케이션의 보안을 유지하고 데이터 유출 및 기타 보안 문제를 방지하는 데 있어 매우 중요합니다.

이러한 도메인의 WHOIS 데이터에 등록된 가장 일반적인 API 보안 리스크는 여러 범주로 나뉩니다.

• 취약점 악용. 이 종류의 API 공격은 API를 빌드하거나 코딩하는 방식의 결함으로 인해 악성 공격자가 API에 무단으로 접속할 수 있게 합니다.
• 인증 오류. 권한을 신중하게 관리하지 않으면 API와 상호 작용하는 클라이언트가 금지된 데이터에 접속할 수 있으므로 데이터 유출의 위험이 높아집니다.
• 인증 문제. 사용자 인증 프로세스가 감염되면 API가 불법적이거나 악의적인 소스로부터 전송된 요청을 수락할 수 있습니다.
• 분산 서비스 거부 공격. DoS 또는 DDoS 공격은 너무 많은 요청을 보내 API를 압도함으로써 API가 응답하지 않거나 충돌을 일으키게 할 수 있습니다.

OWASP(Open Worldwide Application Security Project)는 소프트웨어 보안 향상을 목표로 하는 비영리 단체입니다. OWASP는 매년 API의 상위 10대 보안 리스크 목록을 발표합니다. 2023 OWASP API 보안 상위 10대 취약점 목록에는 다음과 같은 보안 위협이 포함되어 있습니다.

• 손상된 오브젝트 수준 권한(BOLA): API는 종종 오브젝트 식별자를 처리하는 엔드포인트를 노출하여 오브젝트 수준 접속 제어 문제의 공격표면을 넓힙니다.
• 취약한 인증: 인증 메커니즘이 잘못 구현되면 공격자가 인증 토큰을 감염시키거나 구축 취약점을 악용할 수 있습니다.
• 손상된 오브젝트 프로퍼티 수준 권한(BOPLA): 오브젝트 속성 수준의 권한 검증이 적절하게 이뤄지지 않으면 정보가 노출되거나 공격자가 이를 조작할 수 있습니다.
• 리소스 무단 사용: API 요청에 부합하면 CPU, 메모리, 스토리지, 네트워크 대역폭의 리소스가 소비되므로 API를 무단으로 사용할 경우 서비스 거부나 비용 증가가 발생할 수 있습니다.
• 손상된 기능 수준 권한: 복잡한 접속 제어 정책은 권한 부여 취약점을 초래할 수 있습니다.
• 민감한 비즈니스 플로우에 대한 무단 접속: 비즈니스 흐름이 공개적으로 노출되면 프로세스를 방해하도록 자동화된 방식으로 과도하게 사용될 수 있습니다.
• 서버 측 요청 위조: API가 사용자 제공 URL의 유효성을 검사하지 않고 원격 리소스를 가져올 경우, 공격자는 애플리케이션이 예기치 않은 대상에 조작된 요청을 보내도록 강제할 수 있습니다.
• 잘못된 보안 설정: 소프트웨어 및 DevOps 엔지니어가 API를 잘못 구성해 다양한 공격에 노출되는 경우가 많습니다.
• 부적절한 재고 관리: 인벤토리 및 문서가 제대로 업데이트되지 않으면 더 이상 사용하지 않는 API 버전 및 노출된 디버그 엔드포인트 같은 문제가 발생할 수 있습니다.
• 안전하지 않은 API 사용: 개발자는 써드파티 API로부터 수신된 데이터를 사용자 인풋보다 더 신뢰하는 경향이 있기 때문에 특정 API에 더 약한 보안 표준을 도입할 수 있습니다.

API 보안에는 웹 보안과 동일한 보안 원칙이 많이 포함되지만, 공격으로부터 API를 방어하는 데는 몇 가지 고유한 도전 과제가 수반됩니다. 최신 애플리케이션 시스템은 사용되는 API의 수가 많기 때문에 보안 팀은 API 취약점을 탐지하고 보호 기능을 업데이트하기가 더욱 어렵습니다. API는 써드파티 애플리케이션 또는 서비스에서 접속하도록 설계되었기 때문에 기존 웹 애플리케이션보다 광범위한 잠재적 위협에 노출되는 경우가 많습니다. 유연성과 맞춤화도 API를 공격에 더욱 취약하게 만듭니다. API는 접속을 제어하기 위해 토큰이나 다른 종류의 인증을 자주 사용하기 때문에 도난당한 또는 감염된 토큰을 기반으로 공격을 받을 수 있습니다.

API 게이트웨이는 API 호출 또는 클라이언트 요청을 관리하고 API 엔드포인트에서 응답을 반환하기 위한 단일 진입점 역할을 하는 소프트웨어 레이어입니다. API 게이트웨이 보안 솔루션은 전송률 제한 및 스로틀링을 적용하여 API가 남용되지 않도록 합니다. 게이트웨이는 API 호출을 적절한 백엔드 서비스 및 프런트엔드 엔드포인트로 인증하고 라우팅하여 API를 보호할 수 있습니다. API 게이트웨이 보안에는 인증정보를 인증하고 ID를 확인하기 위한 토큰의 유효성 검사도 포함됩니다. 게이트웨이는 API 보안의 중요한 부분이지만 API 게이트웨이 보안만으로는 API를 적절히 방어할 수 없습니다. 게이트웨이는 전체 API 아키텍처에 대한 가시성과 제어 기능을 제공하지 않으며 잘못 구성된 API, 섀도 API 또는 악성 봇 활동을 탐지하지 못할 수 있습니다.

API 보안을 개선하는 데 도움이 되는 제어, 프로토콜, 보안 솔루션은 다음과 같습니다.

• 모든 API를 검색 및 추적. 보안 팀이 API를 알아차리지 못하면 취약점을 찾아내거나, 보안 패치를 업데이트하거나, 적절한 API 보안을 보장할 수 없습니다.
• 취약점 탐지. 보안 테스트 도구는 각 API 내에 존재하는 취약점을 탐지하는 데 도움이 됩니다. 취약점이 탐지되면 리스크 허용 범위에 따라 문제 해결, 방어, 올바른 설정을 위해 우선순위를 정할 수 있습니다.
• 포괄적 API 보안 정책 수립. API 관리 및 보안 팀은 각 API 별로 고유한 정책을 도입하는 대신, 모든 API 또는 특정 API 클래스에 대한 정책을 설정하여 정책을 개별 API로 직접 코딩할 필요가 없도록 해야 합니다.
• 인증 및 권한 부여 구축. 사용자 및 애플리케이션을 인증하고 권한 부여하는 것은 API를 악용으로부터 보호하는 데 필수적입니다.
• 전송률 제한 및 스로틀링 구축. 이러한 기법은 API를 호출하는 빈도를 결정하고 다음과 같은 결과를 초래할 수 있는 악성 요청 급증을 방지합니다. 서비스 거부.
• 데이터 암호화. 데이터 암호화는 API를 통해 통신하는 민감한 데이터를 보호하는 데 필수적입니다.
• WAF(Web Application Firewall) 설정. 네트워킹 보안에 WAF를 사용하면 로컬 네트워크 외부에서 들어오는 악성 API 트래픽에 대한 보안 레이어가 추가됩니다.
• API 게이트웨이 구축. 우수한 게이트웨이는 다양한 보안 기능을 제공하고 API 접속 방식을 분석하는 데 도움을 줍니다.
• OAuth 배포. OAuth는 API를 보호하는 OpenAPI 보안 모델로, 사용자는 이를 통해 원래 인증 정보를 공유하지 않고도 리소스에 대한 접속을 안전하게 위임할 수 있습니다.
• 행동 애널리틱스 활용. 효과적인 API 탐지 및 대응 솔루션은 행동 분석을 활용해 모든 API 동작을 기록하고 비정상적인 동작을 탐지해 보안 팀이 대응할 수 있도록 합니다. 
• B2B API 보안. 대부분의 API 보안은 B2C API에 중점을 두지만, 가장 민감한 데이터가 안전하다고 간주되는 B2B API와 공유되는 경우도 있습니다. 행동 애널리틱스 솔루션은 B2B API를 모니터링하고 의심스러운 활동에 대한 알림을 제공할 수 있습니다.
• 데이터 레이크 활용. 모든 API 활동은 최소 30일 동안 데이터 레이크에 저장되어야 하며, 이를 통해 알림 또는 잠재적 위협에 대한 컨텍스트를 제공합니다. 이 데이터 레이크에서 발견한 내용을 도출해 보안 체계를 강화할 수 있습니다.