API 보안을 강화한 HR 소프트웨어 혁신 기업

2015년부터 HiBob은 오늘날의 업무 환경에서 기업의 운영 방식을 혁신해 왔습니다. 이 혁신적인 기업은 HR 플랫폼인 Bob을 통해 변화에 대처하고 미래의 업무 환경을 실현하고 있습니다. Bob은 HR 프로세스의 모든 복잡성을 획기적이고 사용자 친화적인 툴로 통합해 비즈니스 전반의 모든 직원에게 혜택을 제공합니다. Bob을 사용하는 기업은 채용을 가속하고, 최고의 인재를 유지하고, 직원 몰입도를 높일 수 있습니다. 이렇듯 혁신적인 기능을 제공하면서 HiBob은 ARR(Annual Recurring Revenue) 1000만 달러를 달성한 지 3년도 채 되지 않아 ARR 1억 달러를 돌파할 수 있었습니다. HiBob은 API 개발 및 배포의 보안을 강화해야 할 필요성을 인식한 후 Akamai API Security에서 답을 찾았습니다.

업계를 혁신하는 여러 기업과 마찬가지로, HiBob은 API에 기반을 둔 신속한 개발 프로세스를 채택합니다. 민첩한 접근 방식을 바탕으로 3500명이 넘는 고객에게 새로운 기능과 업데이트된 기능을 꾸준히 제공하고 있습니다. 그러나 기업 환경 전반에 걸쳐 끊임없이 변화가 일어나면서 원하는 수준의 보안을 실현하기가 더욱 어려워지고 있습니다. 이렇듯 잠재적인 보안 격차를 해소해야 할 필요성을 느낀 HiBob은 개발자와 DevOps 팀도 보안 팀처럼 보안 업무를 담당하도록 했습니다.

이는 보안 체계를 강화하는 데 중요한 단계였으나, HiBob은 보안 팀, 개발자, DevOps가 회사의 API 자산에 대한 더 나은 인사이트를 확보할 수 있도록 지원해야 했습니다. HiBob의 글로벌 CISO인 타미르 로넨은 많은 기업이 서비스를 연결하고 데이터를 전송하는 주요 기술로 API를 사용하지만, 대부분이 API 보안에 어려움을 겪고 있다고 설명합니다.

“API 공격은 패턴 기반이 아닙니다. 그래서 WAF(웹 애플리케이션 방화벽) 는 API의 핵심인 비즈니스 로직에 대한 인사이트를 거의 제공하지 않고 보안이 제한적입니다. 또한, 새로운 비즈니스 로직이 최신 프로세스에 적용될 때 WAF는 도움이 되지 않아요.”

민감한 고객 데이터가 API를 통해 전송되는 상황에서 로넨은 API 비즈니스 로직과 데이터 전송을 이해하도록 설계된 보안 솔루션이 필요하다는 사실을 깨달았습니다. “HiBob처럼 빠르게 변화하는 기업은 API에 대한 가시성을 높이고, 비즈니스 로직을 안전하게 변경하고 배포하는 방법을 이해할 수 있어야 합니다.”

로넨은 Akamai API Security에서 답을 찾았습니다. 그에 따르면, 가장 중요한 기능은 데이터 암호화입니다. “데이터가 외부에 노출될 리스크 없이 Akamai Connected Cloud로 전송되는 데이터를 암호화할 수 있으며, API Security는 데이터의 해시 값을 기반으로 API 사용 및 비즈니스 로직에 대해 안전하게 학습합니다.”

로넨은 또한 보호되지 않은 API를 탐지하고 해당 API의 자주 업데이트되는 목록을 표시하는 API 검색 기능도 높이 평가합니다. “빠르게 변화하는 환경에서는 개발 프로세스에서 한 번의 실수로 인해 API가 존재하지 않아야 할 데이터를 포함한 페이로드를 반환하는 경우 유출이 발생할 수 있어 검색이 매우 중요합니다. 레이더망을 벗어나 잠재적인 리스크의 통로가 될 수 있는 섀도 엔드포인트도 마찬가지죠.”

또 하나 중요한 것은 HiBob의 API 자산 전반에서 위협과 로직 남용을 탐지하고 방어하기 위한 대응을 트리거하는 행동 분석 기능입니다. 로넨은 “행동 분석은 쉴 새 없이 변하는 환경에서 API 관련 문제를 추적하는 데 매우 중요합니다”라고 설명합니다.

능숙하게 API 위협을 탐지하는 Akamai의 전문 분석가들이 제공하는 매니지드 위협 탐지 서비스인 API Security ShadowHunt를 활용할 수 있는 기능도 역시 중요합니다.

HiBob은 API Security를 간단히 배포한 후 첫날부터 가치를 확인했습니다. 로넨은 “API 포트폴리오에 대한 가시성만으로도 놀라웠습니다”라고 말합니다.

행동 애널리틱스는 빠르게 이 장점을 입증했습니다. HiBob은 비즈니스 워크플로우에서 발생하는 의심스러운 행동을 파악해야 했습니다. HiBob은 API Security를 통해 허용 가능한 사용자 행동의 기준선을 만들 수 있었습니다. 로넨은 “이 기준을 초과하는 모든 행동에 대해 자동으로 알림이 전송되어 조사할 수 있습니다. 이슈에 대한 후속 조치 시기를 알 수 있을뿐더러 API Security를 사용한 이후 API 관련 이슈 및 이벤트를 분석하는 시간이 25% 줄었습니다."라고 덧붙입니다.

또한, 로넨과 그의 팀은 Akamai의 위협 탐지전문가들과 협력해 퍼블릭 API에서 API 호출이 이루어질 때 누군가가 기업 WAF를 우회할 경우 알림을 받는 기능을 구축했습니다.

이뿐만이 아닙니다. Akamai 솔루션은 네트워크 및 엔드포인트의 API 보안과 관련해 보안 팀과 DevOps 팀이 모두 이해할 수 있는 언어를 중심으로 협력하도록 지원합니다. 따라서 보안 팀이 엔드포인트 사용 및 데이터 흐름과 관련된 특정 API의 동작에 대한 세부 정보와 통계를 API Security에서 전달하면 개발 팀은 즉시 대응할 수 있습니다. 로넨은 이렇게 결론을 맺었습니다. “Akamai API Security는 중요한 API 자산을 보호하는 동시에 보안 팀과 개발 팀 간의 협업을 더욱 강화하는 데 도움을 주었습니다.”

HiBob은 HR 플랫폼 Bob을 통해 최신 업무 환경에서 기업의 운영 방식을 혁신하자는 사명을 띠고 있습니다. 미래의 업무 환경을 선도하는 Bob은 HR 프로세스의 모든 복잡성을 획기적이고 사용자 친화적인 툴로 아우르는 탄력적이고 민첩한 기술을 제공해 비즈니스 전반의 모든 직원에게 영향을 미칩니다.

Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 대표적인 기업들은 매일 수십억 명의 사람들의 생활, 업무, 여가를 지원할 디지털 경험을 구축, 전송, 보호하기 위해 Akamai를 선택합니다. Akamai Connected Cloud는 대규모 분산 엣지 및 클라우드 플랫폼으로 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다. Akamai의 클라우드 컴퓨팅, 보안, 콘텐츠 전송 솔루션에 관해 자세히 알아보려면 akamai.com/ko 또는 akamai.com/ko/blog를 방문하거나 X(기존의 Twitter), 그리고LinkedIn에서 Akamai Technologies를 팔로우하시기 바랍니다.