API 보안의 주요 격차를 해소한 대표적인 보험사

1978년 이스라엘에 설립된 Clal Insurance and Finance는 총 3320억*(미화 908억7000만 달러)의 자산을 관리하는 대표적인 보험 및 장기 저축 회사로, 3개의 사업부를 통해 개인 및 기업 고객에게 다양한 서비스와 상품을 제공하고 있습니다. 약 4400명의 직원이 3700명의 보험 설계사와 협력해 고객에게 양질의 서비스와 전문적인 지원을 제공하기 위해 최선을 다하고 있습니다.

Clal은 API를 기반으로 디지털 전환 을 주도하고 있으며, 이를 통해 비즈니스 파트너, 다른 핀테크 기업, 고객과의 데이터 교환에서 원활한 혁신을 추진하며 선도적인 경쟁력을 확보하고 있습니다. 그러나 이러한 API 생태계는 잠재적 위협의 새로운 통로가 되고 있으며, 이는 사이버 공격의 표적이 되는 이스라엘에서 특히 시급한 문제입니다. Clal Insurance 및 Finance는 Akamai API Security를 배포함으로써 다음 3가지 목표를 달성했습니다.

1. 모든 API의 자동화된 검색 및 인벤토리 파악
2. 자동화된 문제 해결 프로세스
3. API 보안 체계 개선

Clal은 다른 회사의 트래픽 관리자, 보안 정보 및 이벤트 관리 솔루션, 웹 애플리케이션 방화벽으로 웹사이트를 보호했습니다. 하지만 이러한 보안 조치는 중요하고 광범위한 API 인벤토리를 보호하기에는 역부족이었습니다.

Clal의 생태계는 고객에게 추가 비용을 부담시키지 않는 웹 서비스인 Clal Express와 같은 혁신을 뒷받침하며, 이 서비스는 기업 전체에 API가 확산됨에 따라 관리 및 보안 조치가 필요했습니다.

코로나19 사태가 발생했을 때 Clal은 기존에 구축을 시작한 API 생태계를 중앙 집중화하기 위해 API 게이트웨이 솔루션을 배포했습니다. Clal의 CTO인 하임 잉거(Haim Inger)는 "당시 웹사이트를 통해 노출된 600개 이상의 API와 기업 전체의 수천 개에 달하는 API에 대한 명확한 가시성이 부족하다는 것을 깨달았습니다."라고 설명합니다. 

API 게이트웨이는 API 환경에 대한 부분적인 인사이트를 제공하지만 보안 솔루션은 아닙니다. 실제로 API 게이트웨이를 사용하는 기업은 이를 보호해야 합니다. 잉거는 "API 게이트웨이 보안을 위한 솔루션을 찾기 시작하면서 현재 Clal이 처한 상황과 API 보안을 통해 도달하고자 하는 목표 사이에 간극이 있음을 발견했습니다."라고 설명합니다.

API 포트폴리오에 대한 가시성과 API의 위협 또는 남용을 탐지할 수 있는 기능이 필요했던 잉거와 보안팀은 여러 솔루션을 평가했습니다. 트랜잭션 이상 징후를 확인하고 API 동작을 설명하기 위해 룰 변경을 최소화하는 기능을 확보하는 것 외에도 배포가 쉬운 솔루션이어야 했습니다.

잉거는 3가지 솔루션을 평가한 후 클라우드 기반의 Akamai API Security를 선택했습니다. 잉거는 "배포에 몇 달이 걸릴 것으로 예상했지만, 놀랍게도 단 4일 만에 F5, Splunk 및 모든 API와 통합했습니다."라고 말합니다.

Clal은 API Security를 배포한 이후 곧바로 가치를 실현했습니다. Clal의 보안팀이 각 API를 검토하고 원하는 행동만 촉진하는 룰을 작성해야 하는 솔루션과 달리, Akamai 솔루션은 자동으로 Clal의 API 생태계 상태를 인벤토리하고 평가합니다.

잉거는 "API 자산의 상태를 파악하기 위해 별도의 작업을 수행할 필요가 없었습니다. Akamai 솔루션은 API에 대한 토큰화된 데이터를 수집한 후, 자동으로 수정해야 할 사항과 수정 방법에 대한 인사이트를 제공했습니다."라고 설명합니다.

Clal의 API에 대한 초기 인벤토리 및 분석을 수행한 이후 Akamai API Security는 생태계를 지속적으로 인벤토리화하고 분석합니다. 잉거는 "이 검색 프로세스는 어떤 API가 어떻게 사용되고 있는지에 대한 지속적인 인사이트를 제공하고 더 이상 사용되지 않는 API를 종료할 수 있기 때문에 매우 중요합니다."라고 말합니다.

Akamai 솔루션은 또한 리스크 감사 및 행동 분석을 통해 취약점과 비정상을 지속적으로 파악하고 보고합니다. 예를 들어 API 내에서 안전하지 않은 방식으로 신용카드 데이터가 전송되거나 핀테크 파트너가 승인되지 않은 방식으로 API를 사용하는 경우 등이 있습니다. 어떤 경우에든 Clal은 API Security로 API가 공격의 통로가 되지 않도록 합니다.

또한 잉거와 그의 팀은 이 솔루션과 API 위협 헌팅에 숙련된 Akamai의 전문 분석가를 활용하는 매니지드 위협 탐색 서비스인 API Security ShadowHunt를 함께 사용할 수 있다는 점도 높이 평가했습니다. 

잉거는 "예를 들어 API 접속 방식이나 빈도에서 비정상적인 패턴이 발견되면 알림을 받습니다. 이러한 알림을 통해 취약점을 즉시 수정하고, 고객의 데이터가 접속 및 감염되는 것을 방지할 수 있습니다."라고 말합니다.

API 생태계에 대한 정확한 가시성과 잠재적인 문제에 대한 즉각적인 알림은 Clal의 보안 체계를 강화할 뿐 아니라, 파트너십을 강화하고 중단 없는 비즈니스를 보장할 수 있게 해줍니다. 잉거는 "이전에는 핀테크 파트너가 공격을 받으면 단순히 해당 파트너와의 비즈니스 라인을 중단했습니다. 하지만 지금은 API 취약점을 해결하고 중요한 파트너십을 유지할 수 있습니다."라고 설명합니다.

API Security와 ShadowHunt를 도입한 지 2년째를 맞은 잉거와 팀은 솔루션에 매우 만족하고 있습니다. 잉거는 "솔루션과 서비스가 약속한 대로 작동합니다. API Security는 클라우드 기반이기 때문에 유지 관리나 업그레이드도 필요 없습니다."라고 설명합니다.

Akamai가 제공하는 보안 알림과 Clal의 개발 및 프로덕션 환경에 대한 360도 보기 역시 매우 유용합니다. 잉거는 "Akamai는 API 환경에서 가장 강력한 보안 체계를 유지할 수 있게 도와줍니다."라고 결론을 내립니다. 

Clal Holdings는 주로 Clal Insurance and Finance과 MAX 신용카드 회사를 소유한 지주 회사입니다. Clal Insurance Enterprises Holdings의 주식은 지배주주 없이 일반인이 보유하고 있으며 텔아비브 증권거래소에서 거래되고 있습니다. 회사 주식의 14.1%는 Alrov Real Estate and Hotels이 보유하고 있으며, Phoenix Group이 7.0%, Harel Group이 6.6%, 샬롬 사이(Dona Engineering & Construction Co. Ltd.의 회장 겸 소유자)가 5.1%를 보유하고 있습니다. 총 수입 보험료 기준으로 그룹의 시장 점유율은 보험 시장의 15%(2022년 기준)이며, 관리 자산 규모는 NIS 3320억(2023년 9월 기준)을 초과합니다. 2023년 3월, Clal은 미국 투자 펀드인 Warburg Pincus와 그 파트너로부터 Max를 인수했습니다. Clal Group은 연금, 퇴직연금 및 고급 훈련 펀드, 자동차 및 주택과 같은 일반 보험, 건강 보험, 신용카드 등 다양한 보험 및 장기 저축 분야에서 사업을 운영하고 있습니다. 또한 보험사 중에서도 모기지 및 신용 보험 분야에서 두각을 드러내며, 2023년부터는 신용카드 업계에서도 활발히 활동하고 있습니다. Clal Group은 보험 대리점, 연금 기금, 적립 기금, 교육 기금, 신용 보험 회사를 소유하고 있습니다. 2022년 12월 기준, Clal 그룹은 보험대리점 및 보험대리점에 4403명의 직원을 두고 있으며, Max에는 1337명의 직원을 두고 있습니다. 이로써 Clal은 이스라엘의 대표적인 장기 보험 및 저축 그룹 중 하나로 자리매김했습니다.