API 보안이란 무엇인가요?

API 보안 태세를 강화하면 권한이 있는 사용자와 애플리케이션만 API에 접근하게 하는 데 도움이 됩니다. 웹 보안의 하위 집합으로 작동하지만 엔터프라이즈 IT 관리에 점점 더 중요해지고 있는 API에 특히 중점을 두고 있습니다.¹

API는 디지털 세계에서 애플리케이션, 웹 서비스, 시스템 및 데이터베이스를 연결합니다. 이를 통해 기업은 온프레미스와 클라우드 기반의 데이터베이스를 통합하고, 핵심 레거시 시스템을 최신 플랫폼과 연결하고, 다양한 환경의 배포를 연결할 수 있습니다. 또한 조직은 외부 개발자 및 파트너에게 서비스를 제공하고 더 연결된 사용자 경험을 제공할 수 있습니다.

예를 들어 개발자는 새로운 앱과 서비스를 고객 관계 관리(CRM) 플랫폼, 전사적 자원 관리(ERP) 및 기타 시스템과 연결할 수 있습니다. 이러한 시스템은 종종 서로 다른 환경에 배포되며, 데이터 동기화를 위해 API를 사용합니다.

로우코드 및 노코드 툴의 확산으로 숙련된 개발팀과 IT 비전문가 모두 앱을 구축하고, API에 액세스하고,API 관리 작업을 수행하는 것이 더 쉬워졌습니다. 그러나 API가 확산됨에 따라 종종 API에 수반되는 보안 문제도 증가합니다. 거의 모든 조직(99%)이 작년에 API 관련 보안 문제를 경험했으며, 보안 사고의 3분의 1 이상(34%)이 민감한 데이터 또는 개인 데이터를 노출했습니다.²

내부 및 외부 API와 API 엔드포인트 모두 손상될 수 있지만 외부 API의 공개적 특성으로 인해 악의적인 공격자와 다양한 유형의 API 공격에 더 취약합니다. 엄격한 API 보안 관행은 기업이 노출된 엔드포인트를 보호하고 기업 데이터와 네트워크를 보호하는 데 도움이 됩니다.

API는 어디에나 있습니다. 2023년에는 평균 대기업 규모의 기업에서 약 15억 건의 API 호출이 발생했으며, API 호출이 전체 인터넷 트래픽의 71%를 차지했습니다.³ 그리고 거의 모든 애플리케이션은 하나 이상의 API를 사용합니다. 따라서 API는 현대 컴퓨터 네트워킹, 클라우드 컴퓨팅 , SaaS 배포의 기본 요소입니다.

그러나 상호 연결되어 있다는 특성은 기존 보안 수단으로 처리할 수 없는 고유한 보안 문제를 야기합니다. API는 클라우드, 온프레미스, 하이브리드 설정에서 자주 사용되며 환경마다 고유의 보안 요건이 있습니다. 어떤 환경에서 작동하는 보안 통제가 다른 환경에는 적용되지 않을 수도 있다는 것이 통합 시행을 여전히 어렵게 합니다.

또한 API는 각각 고유한 보안 프로필을 가진 마이크로서비스 간의 연결 조직 역할을 합니다. 하나의 API에 취약점이 하나만 있어도 시스템 전체가 위험에 처할 수 있습니다. 예를 들어 에너지 부문에서 API 보안 조치는 계량기, 모니터링 시스템 및 유지보수 플랫폼 간의 데이터 교환을 보호하여 예방 유지보수 프로그램의 무결성을 보장하는 데 도움이 됩니다.

더군다나 애플리케이션 대부분이 수많은 API 엔드포인트를 사용하며, 엔드포인트 각각이 공격자들의 진입 여지를 가지고 있습니다. 의료, 금융 데이터 등의 민감한 정보를 처리하는 엔드포인트는 특히 수익성이 높은 공격 벡터입니다. API 엔드포인트는 공격 표면을 크게 확장하며, 주의 깊게 모니터링하지 않으면 개인 정보가 악의적인 행위자의 공격에 취약해질 수 있습니다.

API는 민첩한 개발과 CI/CD 파이프라인을 지원하다 보니 빠르게 구축되고 배포되는 경우가 많습니다. 보안이 DevOps 워크플로에 원활하게 통합되지 않으면 보안 평가 및 테스트가 개발보다 지연될 수 있습니다. 종합 API 보안 프로토콜은 이러한 문제를 최소화하고 완화할 수 있습니다.

보안 API는 전송 및 처리 과정에서 데이터 조작을 방지하고, 인증 및 승인을 받은 사용자만 주요 기능과 데이터에 액세스할 수 있도록 도와줍니다. 오늘날의 복잡한 컴퓨팅 환경에서 API 보안은 신뢰할 수 있는 데이터 상호 작용, 고가용성 서비스, 디지털 에코시스템에서의 높은 소비자 신뢰를 형성하기 위한 필수 도구입니다.

보안되지 않은 API 엔드포인트를 사용하면 악의적인 공격자가 민감한 데이터에 무단으로 액세스하고 서비스 운영을 방해하여 잠재적으로 재앙적인 결과를 초래할 수 있습니다. 일반적인 위협은 다음과 같습니다.

• 인증 기반 공격 — 해커가 사용자 암호를 추측하거나 도용 또는 취약한 인증 메커니즘을 악용하여 API 서버에 액세스하려고 하는 공격입니다.
  
  오늘날 사이버 공격의 대부분(95%)은 인증된 사용자에게서 발생합니다.²

• 중간자 공격 -악의적인 공격자가 API 요청 또는 응답을 가로채서 데이터(예: 로그인 자격 증명 또는 결제 정보)를 훔치거나 수정하는 공격입니다.

• 코드 삽입 및 삽입 공격- 해커가 API 요청을 통해 유해한 스크립트(허위 정보 삽입, 데이터 삭제 또는 공개, 앱 기능 중단)를 전송합니다. 이러한 스크립트는 데이터를 읽고 변환하는 API 인터프리터의 약점을 보여줍니다.

• 보안 구성 오류 -기본 구성이 제대로 되어 있지 않거나, CORS(교차 출처 리소스 공유)에 지나치게 관대하거나, HTTP 헤더가 부정확해서 민감한 사용자 정보나 시스템 세부 정보가 노출되는 경우입니다.

• 서비스 거부(DoS) 공격— 이러한 공격은 다수의 API 요청을 보내 서버를 충돌시키거나 속도를 저하시킵니다. DoS 공격은 분산 서비스 거부(DDoS) 공격의 형태로 여러 공격자가 동시에 가하는 경우가 많습니다.

• 손상된 개체 수준 인증(BOLA) 공격— 사이버 범죄자가 API 엔드포인트에서 개체 식별자를 조작하여 공격 범위를 넓히고 사용자 데이터에 무단으로 액세스하는 공격입니다. BOLA 공격은 적절한 개체 수준 권한 부여 검사를 구현하는 것이 어렵고 시간이 많이 소요될 수 있기 때문에 특히 일반적입니다.

API 보안 테스트는 공격자가 API를 악용하지 못하도록 필수적인 보안 조치(사용자 액세스 제어, 암호화 프로토콜, 인증 메커니즘 등)가 마련되어 있는지 확인합니다. 보안 테스트는 실행 중인 애플리케이션의 취약점을 적극적으로 악용하거나 소스 코드를 스캔하여 알려진 보안 결함을 파악합니다. 보안팀은 API 엔드포인트에 다양한 요청을 전송하고 응답을 확인하여 취약점, 예상치 못한 동작, 코드 버그를 확인합니다.

테스트 중인 취약점 유형에 따라 수동 테스트를 실시하거나, 자동화된 테스트 도구에 의존하거나, 이 둘을 조합하여 사용할 수 있습니다.

예를 들어, 엔지니어는 수동 침투 테스트 또는 침투 테스트를 사용하여 실제 공격을 시뮬레이션하고 보안 문제를 식별할 수 있습니다. 애플리케이션이 실행 중일 때만 보안 취약점이 나타나는 경우, 라이브 시스템에서 보안 테스트를 수행할 수 있는 동적 애플리케이션 보안 테스트(DAST) 툴을 실행할 수 있습니다. 소스 코드의 결함이나 취약점을 검사하려는 경우 정적 애플리케이션 보안 테스트(SAST) 툴을 사용할 수 있습니다.

종래의 보안 테스트 프로세스는 기업 보안팀이 실시하는 침투 테스트나 수동 스캔에 의존했습니다. 그러나 이제는 조직이 자동화된 API 보안 테스트를 DevOps 파이프라인에 바로 결합하는 경우가 많습니다. 어떤 접근 방식을 취하든 API 보안 테스트를 엄격하게 실시하면 개발자가 보안 위험을 사전에 식별하고 기업 데이터가 노출되거나 고객에게 영향을 미치기 전에 이를 해결할 수 있습니다.

API 보안과 애플리케이션 보안은 모두 데이터를 보호하기 위해 설계되었지만 데이터 보안에 접근하는 방식은 서로 다릅니다.

API 보안은 개별 엔드포인트를 보호하고 세분화된 권한으로 액세스를 관리하여 모든 데이터 교환을 보호하는 데 우선순위를 두는 애플리케이션 보안의 하위 집합입니다. 애플리케이션 보안은 보다 총체적인 접근 방식을 취하여 사용자 인터페이스부터 데이터 스토리지 및 백엔드 시스템에 이르기까지 전체 애플리케이션 스택을 보호하여 전체 환경을 보호합니다.

API 보안은 유연성과 속도를 위해 구축되었습니다. 실시간 모니터링 및 이상 징후 탐지를 사용하여 모든 API 호출에서 위협을 신속하게 식별하고 대응합니다. 반면 애플리케이션 보안은 보다 구조적인 전략을 사용합니다. 정적 코드 분석 및 보안 코딩 관행과 같은 기술을 사용하여 애플리케이션 전체의 취약점을 해결합니다.

인증을 위해 API는 일반적으로 리소스에 대한 정확하고 짧은 기간의 액세스를 제공하는 OAuth 및 JSON 웹 토큰(JWT)과 같은 토큰 기반 메커니즘을 사용합니다. 또한 애플리케이션 보안은 역할 기반 액세스 제어(RBAC)와 같은 광범위한 제어 기능을 구현하여 시스템의 여러 계층에서 사용자 권한을 관리합니다.

앱 보안은 광범위한 위협에 대한 보호 기능을 제공하며, API 보안은 노출된 엔드포인트를 대상으로 하는 위협에 대해 세분화된 보호 기능을 제공합니다. 따라서 팀은 포괄적인 데이터 보안을 달성하려면 두 가지 툴이 모두 필요합니다. API 보안 조치를 더 큰 애플리케이션 보안 프레임워크에 통합하면 기업은 보다 안전하고 탄력적인 소프트웨어 환경을 구축하고 사용자 및 파트너와의 신뢰를 유지할 수 있습니다.

역동적인 디지털 경제에서 API는 비즈니스 민첩성에 매우 중요하지만, 개방적인 특성으로 인해 데이터 보안에 심각한 위험을 초래합니다. API 보안 침해로 인해 John Deere, Experian 및 Peloton과 같은 유명 대기업에서도 대규모 데이터 유출 사고가 발생했습니다.⁴

그리고 이러한 글로벌 기술 환경에서 보안 취약성은 산업이나 지리적 위치에 관계없이 모든 주요 서비스 제공업체를 위협할 수 있습니다. 한 가지 예로, 2022년 호주 통신 회사인 Optus에 대한 API 공격으로 약 1,000만 명의 고객의 이름, 전화번호, 여권 정보 및 운전면허증 정보가 노출되었습니다.⁵  이러한 사고는 API 보호의 중요성을 강조합니다.

API 남용이 증가함에 따라 포괄적인 API 보안 전략과 툴의 개발도 가속화되었습니다. 엄격한 API 보안 프로토콜을 구현하면 API 엔드포인트에서 제공하는 데이터, 앱 및 서비스를 보호하는 동시에 합법적인 사용자가 해당 서비스를 이용할 수 있도록 보호할 수 있습니다.

하지만 API 보안은 엔드포인트 보호뿐만 아니라 API 라이프사이클 전반에 걸쳐 데이터 전송, 사용자 요청 및 앱 간 통신과 같은 네트워크 상호 작용의 보안도 우선시합니다. IT 인프라를 보호하기 위한 가장 일반적인 API 보안 솔루션은 다음과 같습니다.

인증은 사용자, 시스템 또는 프로세스의 신원을 확인하는 프로세스입니다. API의 맥락에서 이는 사용자가 주장하는 신원이 맞는지를 확인하기 위해 사용하는 사용자 인증 토큰과 프로토콜을 의미합니다. 예를 들어 OAuth 2.0, API 키, JSON Web Token(JWT 사양) 등이 있습니다.

권한 부여는 인증된 사용자가 액세스할 수 있는 항목을 확인하는 프로세스입니다. 사용자가 인증되면 역할 기반 액세스 제어는 사용자가 필요로 하거나 요청하는 리소스로만 액세스를 엄격하게 제한할 수 있습니다.

암호화를 사용하면 일반 텍스트 및 기타 유형의 데이터가 판독 가능한 형식에서 암호 해독 키를 가진 사용자만 해독할 수 있는 인코딩된 버전으로 변환됩니다. 암호화 기술(예: 전송 계층 보안(TLS), SSL 연결 및 TLS 암호화 프로토콜)은 보안 팀이 악의적인 행위자와 승인되지 않은 사용자가 API 트래픽을 가로채거나 변경할 수 없도록 하는 데 도움이 됩니다.

입력 유효성 검사 프로토콜은 입력이 처리되기 전에 입력이 길이, 유형, 형식 및 범위 기준을 충족하는지 확인하여 SQL 주입 공격 및 교차 사이트 스크립팅과 같은 악성 데이터로부터 API를 보호합니다. 웹 애플리케이션 방화벽(WAF) 또는 XML 및 JSON 스키마 유효성 검사를 사용하면 보안 팀이 유효성 검사 프로세스를 자동화하여 수신 요청을 선제적으로 분석하고 악성 트래픽이 서버에 도달하기 전에 차단할 수 있습니다.

속도 제한은 사용자 또는 IP 주소가 특정 기간 내에 수행할 수 있는 호출 수를 제한하여 무차별 대입 및 DoS 공격으로부터 API 리소스를 보호합니다. 속도 제한은 모든 API 요청을 즉시 처리하고 어떤 사용자도 시스템에 유해한 요청을 발생할 수 없도록 합니다.

속도 제한과 마찬가지로 스로틀링은 시스템이 수신하는 API 호출 수를 제한합니다. 하지만 스로틀링은 사용자/클라이언트 수준에서 작동하는 대신 서버/네트워크 수준에서 작동합니다. 스로틀링 제한과 할당량은 API가 1초에 받을 수 있는 호출 수와 메시지 수를 제한해서 API 백엔드 대역폭 보호에 기여합니다.

보안 헤더는 특히 클릭재킹 공격을 방지하는 데 효과적일 수 있습니다. 클릭재킹 공격은 악의적인 행위자가 실행 가능한 콘텐츠 아래에 악성 하이퍼링크를 숨겨 사용자가 의도하지 않은 사이트와 상호 작용하도록 속이는 방식입니다.

예를 들어, 'content-security-policy' 헤더는 브라우저가 서버에 요청할 수 있는 리소스를 알려줍니다. 'x-content-type-option' 헤더는 브라우저가 MIME 스니프 콘텐츠 유형을 시도하는 것을 중지하고 'strict-transport-security' 헤더는 서버에 대한 보안(HTTPS over HTTP) 연결을 적용합니다. 

API Gateway는 API 액세스를 위한 중앙화된 인터페이스를 제공하고, 시스템이 수신하는 모든 API 요청에 대한 단일 진입점 역할을 합니다. 조직은 API 액세스를 관리하고 특히 개방형 API의 경우 추가 네트워크 보안 계층을 추가하는 데 도움이 됩니다. API Gateway는 API 상호 작용을 표준화하고 캐싱, 분석, API 구성, 속도 제한, 암호화, 로깅 및 액세스 제어와 같은 기능을 제공할 수 있습니다.

그러나 API Gateway는 단일 장애 지점을 제공하고 아키텍처에 추가적인 복잡성을 초래합니다.

포괄적인 최신 감사 로그를 유지 관리하고 자주 검토하면 조직은 데이터 액세스 및 사용을 추적하고 모든 API 요청 기록을 유지 관리할 수 있습니다. API 에코시스템의 복잡성을 고려할 때 API 활동을 파악하는 것은 노동 집약적인 작업일 수 있습니다. 그러나 감사 및 로깅 절차는 데이터 유출 또는 규정 위반이 발생한 후 팀이 단계를 되짚어봐야 할 때 시간을 절약할 수 있습니다.

API 환경에서 사전 예방적 오류 처리를 통해 사이버 범죄자가 API 프로세스에 대한 민감한 정보를 유출하는 것을 방지할 수 있습니다. 이상적으로 모든 API 오류는 오류의 특성을 광범위하게 나타내는 HTTP 상태 코드를 반환하고 팀이 과도한 데이터 노출 위험 없이 문제를 해결할 수 있는 충분한 컨텍스트를 제공합니다.

다른 소프트웨어 애플리케이션이나 시스템과 마찬가지로, API 보안을 유지하려면 철저한 실시간 모니터링과 유지 관리가 필수적입니다. 비정상적인 네트워크 활동을 예의주시하고 최신 보안 패치, 버그 수정 및 새로운 기능으로 API를 업데이트하는 것이 중요합니다.

또한 조직은 오픈 웹 애플리케이션 보안 프로젝트(OWASP)의 API 보안 권장 사항과 같은 보안 표준을 적시에 채택해야 합니다. 예를 들어, OWASP API 보안 상위 10개 목록은 가장 중요하고 일반적인 API 보안 위협(예: 인증 실패, 대량 할당 및 서버 측 요청 위조)을 이해하고 완화할 수 있는 프레임워크를 제공합니다.

API 소프트웨어의 모든 새 버전에는 이전 버전의 보안 격차를 메우는 보안 업데이트 및 버그 수정이 함께 제공됩니다. 그러나 적절한 버전 관리 관행이 없으면 사용자가 실수로(또는 고의로) 오래된 버전의 API를 배포하여 민감한 데이터가 위험에 노출될 수 있습니다.

세심한 버전 관리 및 문서화 관행을 통해 기업은 서비스 중단 없이 API 개발을 가속화하고 이전 API 버전을 단계적으로 폐기하여 사용자를 더 새롭고 안전한 반복 작업으로 유도할 수 있습니다.

예를 들어 팀이 API v1에서 보안 결함을 발견하면 v2에서 이를 수정할 수 있습니다. 또한 버전 관리를 통해 보안팀은 사용자가 자신의 속도에 맞춰 v1에서 v2로 마이그레이션하도록 권장하는 동시에 v1에 알려진 보안 취약점이 있음을 버전 설명서에 명시할 수 있습니다.

보안 테스트를 수행하려면 개발자가 API 클라이언트를 사용하여 표준 요청을 제출하여 시스템 응답의 품질 및 정확성을 평가해야 합니다. 보안 격차를 해결하기 위해 정기적인 보안 테스트를 수행하면 공격자가 API 취약성을 악용하기 전에 팀이 API 취약점을 수정하는 데 도움이 됩니다.

제로 트러스트 보안 관행은 네트워크 트래픽이 조직 내부에서 오든 외부에서 오든 자동으로 신뢰해서는 안 된다는 원칙에 따라 작동합니다. 사용자와 장치는 기본적으로 신뢰할 수 없는 것으로 간주됩니다. 그래서 일체의 트래픽이 네트워크에 들어오거나 이를 통과하기에 앞서, 사용자 자격 증명을 철저히 인증해야 합니다.

제로 트러스트 접근 방식을 취하면 공격자가 과거에 승인 받은 장치에서 합법적인 사용자 사칭을 시도하더라도 승인된 개인만 액세스할 수 있도록 데이터와 API를 보호할 수 있습니다.

API 보안은 IT 인프라 건강과 데이터 보안에 매우 중요합니다. API 보안은 앞으로도 핵심 집중 영역으로 남을 것으로 예상되며, 특히 API 사용과 배포가 기존 API Management 솔루션에 도전 과제를 제기함에 따라 그 중요성이 더욱 커지고 있습니다.

예를 들어 오픈 소스와 노코드 API가 확산되면서 공식적인 감독 없이 작동하는 섀도우 API로 인한 보안 위험이 증가하고 있습니다. 이 문제를 해결하기 위해 보안팀은 더욱 철저한 API 재고, 문서, 거버넌스 및 다단계 인증 관행을 채택하여 API가 초래하는 새로운 위협으로부터 데이터를 보호하고 있습니다.

보안을 중시하는 기업들의 또 다른 투자 대상:

API Gateway 강화는 소프트웨어 개발자에게 점점 더 중요한 우선순위가 되고 있습니다.⁶ API 내의 특정 상호 작용 지점인 API 엔드포인트와 달리 API Gateway는 모든 API 요청에 대한 중앙 집중식 액세스 지점입니다. 이는 GraphQL, REST API 및 SOAP API를 포함한 다양한 API 프로토콜, 언어 및 스타일에 대한 프로토콜 번역 서비스를 제공하고 호출을 백엔드 서비스로 라우팅합니다.

최신 API Gateway는 동적 속도 제한 및 위협 탐지 기능을 제공하여 오늘날의 클라우드 네이티브 앱 배포 및 마이크로서비스 중심 IT 환경을 위한 추가적인 API 보안 계층을 구축합니다.

디지털 혁신에 발맞추려는 기업은 인공 지능(AI) 및 머신 러닝(ML)과 같은 기술을 통합하는 API 보안 접근 방식도 채택해야 합니다. AI 및 ML 기반 보안 기능은 이미 API 호출에서 비정상적인 데이터 패턴을 포착하여 위협을 사전에 식별할 수 있습니다. 이러한 툴은 위협이 진화함에 따라 위협 탐지 및 대응 프로토콜을 조정할 수도 있습니다.

일례로 AI를 통해 보안 조치를 강화하면 보안 도구가 맥락과 행동 생체 인식을 기반으로 데이터 조사를 자동 조정하는 적응형 인증을 구현할 수 있습니다.

기업에서는 API와 상호 작용하려는 모든 장치 또는 사용자에 대해 강력한 권한 부여 및 인증 관행을 우선시하는 제로 트러스트 아키텍처를 점점 많이 채택하고 있습니다. 제로 트러스트 API 보안 원칙은 특히 취약한 공개 API와 엔드포인트를 보호하는 데 유용합니다.⁷

에이전틱 AI는 AI 기술의 자율적 역량을 한 단계 발전시켜서 대규모 언어 모델(LLM과 자연어 처리(NLP), ML을 사용하여 인간 사용자와 다른 시스템 대신 자율 작업을 수행합니다. 그러나 AI 에이전트는 데이터 액세스를 API에 의존하기 떄문에 API 보안과 에이전틱 AI 보안은 불가분의 관계에 있습니다.

개발자들은 계속해서 에이전틱 AI 혁신을 받아들이면서 AI 에이전트가 초래하는 보안 위험과 씨름해야 할 것입니다. 많은 기업이 이에 대한 대응책으로 AI 에이전트에 고급 모니터링, 분석 및 차단 기능을 장착하여 에이전트, 그리고 에이전트가 상호 작용하는 API를 사이버 공격으로부터 보호합니다.

공급업체 및 API 보안 전문가와의 전략적 파트너십 또한 향후 포괄적인 API 보호를 달성하는 데 필수적입니다. 전략적 협업을 통해 기업은 API 발견 및 위협 탐지에서 런타임 분석 및 사고 대응에 이르기까지 API 보안 프로세스의 모든 단계를 다룰 수 있습니다.

데이터 공유 파트너십은 취약성 정보와 위협 인텔리전스 공유 등 플랫폼 간 보안 데이터 교환을 우선시합니다. 이 교환은 기업이 API 보안 태세를 명확하고 단일한 시각으로 바라볼 수 있도록 정보를 통합하는 데 도움이 됩니다. 또한 제휴 파트너십을 맺으면 개별 보안 주체들이 고유의 강점과 보완 기술을 결합하여 보안 관리를 간소화하고 협업 개발을 장려할 수 있습니다. 이러한 전략적 파트너십은 기업이 공유 보안 전문 지식을 활용하고 사용자에게 보다 탄력적인 디지털 서비스를 제공하는 데 도움이 될 수 있습니다.

API가 계속해서 새로운 네트워킹 기회를 열어줌에 따라 관련 위험도 함께어쩌면 더 빠르게 진화할 수 있습니다. 엔터프라이즈 API 보안에 선제적으로 접근하면 민감한 데이터를 보호하고 위협 환경의 변화에 따라 보안 태세를 강화하는 민첩한 보안 전략을 개발할 수 있습니다.