API 공격으로부터 디지털 비즈니스를 강화한 Aflac

소비자들이 오프라인 경험에서 벗어나 디지털 상호작용을 선호함에 따라 금융 서비스 기업은 빠른 속도로 혁신해야 하는 과제를 안고 있습니다. 이는 Aflac에게도 현실이 되었습니다. 그러나 디지털 혁신 목표를 달성하기 위해서는 새로운 애플리케이션을 배포할 때 중앙 집중식 접근 방식이 아닌 분산식 접근 방식을 추구해야 했습니다. 이러한 접근 방식은 리소스 관리 측면에서는 유리했지만, 이미 어려운 자산 관리 시나리오가 더 복잡해지는 문제가 있었습니다.

또한 Aflac은 API 자산에 대한 가시성을 제공하기 위해 기존 API 게이트웨이 에 크게 의존하고 있었습니다. 이 문제도 경영진의 주목을 끌었습니다. API 게이트웨이는 API 전송 스택의 구성요소임에도 불구하고 API를 적절히 보호하는 데 필요한 보안 제어 및 옵저버빌리티를 제공하도록 설계되지 않았습니다. 게다가 게이트웨이 외부에서 구축된 API는 더 많은 가시성과 보안 문제를 야기했습니다.

골즈워디(Goldsworthy)는 “API 풋프린트가 크다는 것을 알고 있었기 때문에 모든 API를 완벽하게 파악하고, 운영 현황에 대한 완벽한 가시성을 확보하고, 보안 리스크에 대해 지속적으로 테스트하고 있다는 확신을 갖고 싶었습니다. 이는 기술 사용 범위가 확대되는 상황에서 악용 리스크를 해결하기 위한 전략에 필수적이었습니다.”라고 말했습니다.

Aflac은 API 자산을 완벽하게 파악하는 것 외에도 공격으로부터 API를 방어할 수 있어야 한다는 것을 알고 있었습니다. 철옹성 같은 평판과 글로벌 영향력을 고려할 때, 이 회사는 자신들이 표적이 될 수 있다는 사실을 잘 알고 있었습니다. 따라서 가시성뿐만 아니라 취약점과 공격을 해결해 또 다른 헤드라인이 되는 것을 방지할 수 있는 종합적인 API 보안 솔루션 제품이 필요했습니다.

골즈워디는 “Noname(현재 Akamai 자회사)은 우리가 테스트한 가장 진보되고 완벽한 API 보안 솔루션이었으며 초기 요구사항을 뛰어넘었습니다. 현재 Noname(현재 Akamai 자회사)은 요구사항을 해결할 수 있는 기술을 보유하고 있을 뿐만 아니라 새로운 보안 과제를 해결하기 위한 로드맵도 만족스러웠습니다.”라고 덧붙였습니다.

Noname API Security Platform(현재 Akamai API Security의 일부)을 평가한 결과, Aflac은 이 솔루션이 AWS 환경에 상주하는 APl를 보호하는 가장 포괄적인 솔루션이라고 판단했습니다. 이 솔루션은 API 검색과 API 런타임 보호 기능을 모두 제공하므로 HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC, gRPC 등 모든 종류의 API에 대한 완벽한 가시성을 확보할 수 있습니다.

API 검색 모듈은 또한 회사의 API를 통과하는 데이터 종류에 대한 인사이트를 제공합니다. 이를 통해 Aflac은 어떤 API가 민감한 데이터에 접속할 수 있는지 가시성을 확보하고 데이터 접속의 비정상을 식별할 수 있습니다.

또한 모든 API 공격을 실시간으로 차단할 수 있는 보호 기능을 갖추게 됩니다. 이 솔루션은 자동화된 Al 및 머신 러닝 탐지를 사용해 실시간 트래픽 분석을 수행하고 데이터 유출, 데이터 변조, 데이터 정책 위반, 의심스러운 행동, API 보안 공격에 대한 상황별 인사이트를 제공합니다.

Akamai API Security는 대역 외에서 작동하며 VPC 트래픽 미러링을 활용해 Aflac 환경의 AWS Application Load Balancer에서 API 트래픽을 복사합니다. 이 접근 방식을 사용하면 성능에 영향을 주지 않으면서 모니터링할 수 있습니다. 그런 다음 데이터는 추가 분석을 위해 EC2 인스턴스에 배포된 Akamai 원격 엔진으로 전달됩니다. 또한 이 플랫폼은 실행 로그와 접속 로그를 Amazon CloudWatch로 전송해 Aflac의 API 게이트웨이에서 정보를 검색합니다. Akamai는 AWS 생태계 전반에 걸쳐 폭넓은 통합을 제공함으로써 Aflac이 데이터 보안 의무를 자신 있게 처리하는 데 필요한 지원을 제공합니다.

Aflac은 이미 전 세계, 특히 일본을 중심으로 API 보안 범위를 확장할 계획을 세우고 있습니다. 아시아는 급성장하는 시장으로, 신흥 시장의 고객에게도 동일한 수준의 보안을 제공하고자 합니다. 이를 통해 시장에서 차별화를 지속할 뿐만 아니라 고객 우선 기업으로서의 명성을 강화할 수 있을 것입니다.

또한 Alfac은 기업이 개발 단계에서 취약점을 파악하고 프로덕션 환경에 도달하기 전에 이를 해결할 수 있도록 지원하는 Akamai API Security 솔루션의 테스트 모듈을 구축하고 있습니다. 시프트 레프트 접근 방식에 기반한 테스트 모듈은 보안 운영팀이 필요에 따라 또는 Cl/CD(Continuous Integration/Continuous Delivery) 파이프라인의 일부로 실행할 수 있는 API 중심의 보안 테스트 제품군을 제공해 API가 안전하게 구축되도록 보장합니다. Aflac은 포괄적인 API 보안 테스트 솔루션으로 테스트를 개선하고 기존 애플리케이션 보안 툴을 보강할 수 있는 Akamai API Security의 테스트 기능을 전략적 장점으로 보고 있습니다.

골즈워디는 “진정한 시장 리더가 API 자산을 보호하게 되어 기쁘게 생각합니다. Noname Security 플랫폼(현재 Akamai API Security의 일부), 팀, 비전에 대해 확신을 가지고 있습니다. 이미 많은 가치를 인정받고 있고 혁신 능력이 뛰어난 만큼 앞으로의 파트너십이 어떤 결과를 가져올지 기대됩니다.”라고 마무리했습니다.

Aflac Incorporated는 Fortune 500대 기업으로서 미국과 일본의 자회사를 통해 수백만 명의 보험 계약자와 고객에게 재정적 보호를 제공하고 있습니다. 보험 계약자 또는 피보험자가 아프거나 다쳤을 때, Aflac은 적격 보험금 청구에 대해 피보험자에게 (달리 지정되지 않는 한) 직접 현금 보험금을 즉시 지급합니다. 60년 넘게 Aflac 임의 보험은 보험 가입자가 재정적 스트레스가 아닌 회복에 집중할 수 있는 기회를 제공했습니다.