API Security

효과적인 API 보안 전략을 위해서는 기업 전반의 모든 API에 대한 포괄적이고 지속적으로 업데이트되는 인벤토리를 유지하는 것이 중요합니다. API 공격과 관련된 리스크의 심각성 때문에 온디맨드 또는 일일 검색만으로는 충분하지 않습니다. 또한 보안, 개발, 운영의 주요 팀원들이 API가 어떻게 사용되거나 오용되는지 이해하기 위해서는 실제 API 행동(API 호출)을 시각화하는 것이 필요합니다. 이를 통해 기업 내 팀 사이 소통과 조사가 용이해집니다. 

API Security는 다양한 기술과 인프라 전반에서 API를 자동으로 지속적으로 검색할 수 있는 기능을 제공합니다. 또한 새로 배포된 API를 식별하고 해당 속성을 기존 문서와 비교합니다. API Security는 자주 놓치는 섀도 API와 OWASP API 보안 상위 10대 취약점에 설명된 것과 같은 알려진 API 취약점을 탐지합니다. 

API 검색은 지속적인 프로세스이며, 지속적인 모니터링을 통해 24시간 내내 새로운 API와 기존 API의 변경 사항을 찾아냅니다. 보안 팀은 깊이 있는 정보를 얻고 개발자가 새로운 API나 서비스를 배포할 때 가장 먼저 알 수 있습니다.

API는 기업이 출시하는 모든 디지털 제품과 서비스의 원동력입니다. 따라서 API의 범위와 규모가 커지고 있는 것은 놀라운 일이 아닙니다. 그러나 이러한 확산은 공격표면을 재설정하는 API의 확산으로 이어집니다.

오늘날의 공격자들은 소프트웨어 버그나 설정 오류를 포함한 API 취약점을 찾아 다음과 같은 목적에 악용합니다.

• 민감한 애플리케이션 기능에 대한 접속 권한 확보
• 민감한 데이터 검색, 손상 또는 탈취
• 악의적인 방법으로 API 오용 

OWASP API 보안 상위 10대 취약점은 기업이 식별하고 해결해야 하는 가장 일반적으로 악용되는 API 취약점 및 위협에 대한 유용한 요약 정보를 제공합니다.

API 보안을 사용하면 보안, 개발자 및 API 팀에 잠재적 리스크, 설정 오류 및 취약점을 즉시 알림으로써 취약하고 잘못 설정된 API로 인해 기업이 API 공격에 노출되는 것을 방지할 수 있습니다. 또한 파트너가 API를 잘못 설정했는지 또는 코드에 취약점이 있는지 쉽게 확인할 수 있습니다. 

맥락 및 조건부 알림은 Jira 티켓을 자동으로 만드는 등 기존 워크플로우 내에서 원활하게 작동하므로 문제를 신속하게 해결할 수 있습니다.

API는 프로그래밍 방식으로 사용하도록 설계되었기 때문에 정상적인 사용과 공격 및 악용을 구분하기가 매우 어렵습니다.

API 위협 공격의 접근 방식은 다양하지만 가장 일반적인 방법은 다음과 같습니다.

• 비즈니스 로직 남용. 로직 남용은 악성 공격자가 애플리케이션 설계 또는 구축 취약점을 악용해 공격자에게 이득이 되는 예기치 않은 승인되지 않은 행동을 유도하는 경우입니다. 레거시 보안 제어로는 이러한 종류의 남용을 방지할 수 없으므로 CISO와 그 팀은 상당한 스트레스와 압박을 받게 됩니다.
• 무단 데이터 접속: API 남용의 또 다른 일반적인 형태는 취약한 인증 메커니즘을 악용하여 공격자가 접속해서는 안 되는 데이터에 접속하는 것입니다. 이러한 취약점에는 손상된 오브젝트 수준 권한(BOLA), 불안전 직접 객체 참조(IDOR), 손상된 기능 수준의 권한 확인(BFLA) 같은 여러 종류가 있습니다.
• 계정 탈취: 인증정보 도용이나 크로스 사이트 스크립팅 공격이 발생하면 계정이 탈취될 수 있습니다. 이렇게 되면 아무리 잘 작성되고 신중하게 보호된 API라도 악용될 수 있습니다. 결국 행동 분석을 수행하지 않으면 인증된 모든 활동이 정상적인 것으로 간주되어 버립니다.
• 데이터 스크레이핑: 기업이 퍼블릭 API를 통해 데이터 세트를 제공함에 따라 공격자는 이러한 리소스를 공격적으로 쿼리해 중요한 대규모 데이터 세트를 일괄적으로 캡처할 수 있습니다.
• 비즈니스 DoS(서비스 거부): API 공격자나 사용자는 백엔드에 과중한 작업을 수행하도록 요청하여 애플리케이션 레이어에서 '서비스 침식'이나 완전한 서비스 거부를 일으킬 수 있습니다. 이는 GraphQL에서 매우 일반적인 취약점이지만, 리소스 집약적인 API 엔드포인트 구축에서도 발생할 수 있는 문제입니다. 이로 인해 의도적인 공격이나 파트너의 과도한 사용을 통해 다른 파트너의 API가 가동 중지되는 경우가 발생할 수 있습니다. 
• 취약점 악용: 기반 인프라의 기술적 취약점은 서버 감염을 초래할 수 있습니다. 이러한 종류의 취약점은 Apache Struts 취약점(CVE-2017-9791, CVE-2018-11776 및 기타)부터 Log4j 취약점(CVE-2021-44228 및 기타)까지 다양합니다.

이러한 API 보안 리스크를 식별하고 방어하려면 복잡하고 빠르게 진화하는 위협 환경에 대응할 수 있을 만큼 정교한 보안 제어 기능이 필요합니다. 

API Security 솔루션은 IP 주소나 API 토큰 같은 기술적 요소만 분석해서는 얻을 수 없는 비즈니스 맥락 정보를 제공합니다. API Security는 AI/ML 기반 실시간 트래픽 분석을 사용해 알림 전후에 발생한 상황을 철저히 분석해 근본 원인을 파악할 수 있는 비즈니스 맥락을 출력합니다. 또한 API Security를 사용하면 사용자나 파트너 같은 특정 주체나 비즈니스 프로세스 주체(인보이스, 결제, 주문 등)별로 API를 검색하여 다른 방법으로는 탐지되지 않는 비정상을 파악할 수 있습니다.