API(Application Programing Interface)는 네트워크, 프로그램, 애플리케이션, 기기 등 컴퓨팅 환경의 거의 모든 요소에 필수적으로 자리 잡았다. 특히 클라우드와 모바일 컴퓨팅에서는 없어서는 안 될 요소다. 모든 것을 유지하는 백엔드 기능의 많은 부분을 관리하는 API가 없다면 클라우드도 모바일 컴퓨팅도 현재의 형태로 존재할 수 없을 것이다.
API는 신뢰성과 단순함 덕분에 컴퓨팅 환경 어디에서나 쉽게 찾아볼 수 있다. 아마도 대부분 기업은 몇 개의 API가 자체 네트워크, 특히 클라우드에서 가동 중인지조차 모를 것이다. 대기업에서 사용하는 API는 수천 개에 달할 가능성이 높고 상대적으로 규모가 작은 기업도 회사가 인지하는 것보다 많은 API에 의존하고 있을 가능성이 크다.
API의 위험
API가 유용해진 만큼 사용에 따른 위험도 생겼다. API 생성에 대한 표준이 거의 없는 데다가 고유한 특징을 지닌 API가 많아 악용할 수 있는 취약점이 포함된 경우가 적지 않기 때문이다. 위협 행위자는 프로그램, 데이터베이스, 애플리케이션, 네트워크를 직접 해킹하는 것보다 API를 공격하는 것이 훨씬 쉽다는 사실을 알아냈다. 해킹한 API의 기능을 바꿔 자신을 위해 일하는 일종의 내부 변절자로 만드는 일은 어렵지 않다.
API의 또 다른 위험은 권한이 과도하게 부여된다는 점이다. 프로그래머들은 중단 없이 기능을 수행할 수 있도록 API에 높은 권한을 부여한다. API를 해킹한 해커는 높은 권한을 악용해 마치 사람 관리자의 계정을 해킹한 것처럼 다른 행위를 할 수 있다. 실제로 API의 보안은 매우 심각한 문제로 대두됐다. 아카마이 연구 결과, API를 대상으로 한 공격이 전 세계 모든 인증정보 탈취 시도의 75%를 차지하는 것으로 나타났다. 공격자는 API의 취약성과 편재성을 두루 알고 있다.
API 보안 도구의 부상
API 해킹 문제의 심각성을 감안하면 최근 몇 년간 API 보안 도구의 숫자가 부쩍 늘어난 것도 놀랍지 않은 일이다. API를 보호하는 상용 도구는 수십 가지이며, 무료 또는 오픈소스 도구도 수백 가지다. 다수는 기능 면에서 다른 종류의 사이버보안 프로그램과 비슷하지만, 그 대신 API의 고유한 특성에 맞게 구성된 경우가 많다.
다양한 API 보안 도구 중 일부는 모든 것을 한꺼번에 하려고 시도하는 완전한 플랫폼을 제공한다. 최근 인기가 가장 높은 API 보안 도구는 마치 API 방화벽처럼 API를 악의적인 요청에서 보호한다. 이 외에도 공격에 대비해 코드를 강화할 수 있도록 동적으로 특정 API에 접근하고 평가해 취약점을 찾아내는 도구도 있고 인식하지 못하는 것은 아무도 보호할 수 없다는 개념에 따라 기업이 자체 네트워크 내부에 존재하는 API의 개수를 알아낼 수 있도록 환경만 검사하는 도구도 있다.
API 사이버보안 도구는 수가 워낙 많아서 전체 목록을 작성하기 어렵다. 그러나 사용자 리뷰와 상업적 리뷰를 모두 검토해 보면 일부 도구가 눈에 띄는 것도 사실이다. API 보안을 강화할 수 있는 도구와 그 기능 및 장점을 간략하게 정리했다. 미처 소개하지 못한 도구도 수백 가지지만, 오늘날 점점 적대적으로 변하는 위협 환경에서 API를 안전하게 보호하고자 할 때 어떤 것을 이용할 수 있고 무엇이 가능한지 한 눈에 파악할 수 있을 것이다.
현재 이용 가능한 최고의 보안 도구 중 9가지는 다음과 같다.
APIsec
최고의 API 보안 도구 가운데 하나인 APIsec은 거의 완벽하게 자동화되어 있다. 따라서 API 보안 개선을 이제 막 시작한 기업에 안성맞춤이다. APIsec은 API가 이미 자리 잡은 생산 환경에서 API를 검사하고 스크립트 주입 공격과 같은 흔한 취약점에 대한 테스트를 실시한다. 탐지하기 어려운 비즈니스 프로세스 공격과 같은 것도 버틸 정도인지 확인하기 위해 각 API에 대한 압박 테스트도 철저하게 실시한다. 문제가 발견되면 보안 애널리스트들이 확인할 수 있도록 상세한 결과와 함께 표시한다.
또한 APIsec은 개발자가 API를 개발하는 과정에서도 미리 활용할 수 있다. 그렇기 때문에 API가 가동되기 앞서 모든 취약점을 진압할 수 있다. 만일의 사태에 대비해 API가 배포된 뒤에도 감시를 계속한다.
아스트라
아스트라(Astra)는 무료 도구다. 지원이 한정적이고 사용자가 직접 깃허브에서 아스트라를 구해 설치해야 한다. 그래도 매우 구체적인 종류의 API를 관리하고 보호하는 데 도움이 되는 것으로 유명하다.
아스트라는 주로 REST(REpresentational State Transfer) API에 집중한다. REST API는 자주 변하기 때문에 테스트와 안전 확보가 어렵다. 아스트라는 기업의 지속적 통합 및 배포(CI/CD) 파이프라인에 통합하는 방식으로 도움을 준다. API에 영향을 미칠 수 있는 가장 흔한 취약점이 그 기능의 일환으로 지속적으로 변경되는 과정에서 소위 안전한 REST API 안에 되돌아오지 않도록 조치한다.
앱녹스
앱녹스(AppKnox)는 사용자 지원에 매우 적극적인 솔루션이다. 사용하기 쉬운 인터페이스를 제공하며, 배포 및 사용 시 앱녹스 측에서도 도움을 많이 준다. 최소한의 노력으로도 API 보안을 강화할 수 있으므로 보안팀이 소규모인 기업에 인기가 많다. 일단 설치된 앱녹스는 HTTP 요청 취약점, SQL 주입 구멍과 같은 일반적인 문제가 없는지 API를 테스트한다. 또한 해커의 유효한 공격 경로가 될 수 없도록 API에 연결된 모든 리소스를 검사한다.
시퀀스 통합 API 보호
시퀀스 통합 API 보호(Cequence Unified API Protection) 플랫폼은 매일 API를 대상으로 이루어지는 수십억 건의 요청을 처리해야 하는 대규모 환경을 위해 설계됐다. 먼저 기업 내의 모든 API를 탐지한 후 대규모 목록에 보관하고 그 후에 API를 대상으로 취약점이 없는지 일반적인 테스트를 실시한다. 혹은 보안팀에서 API 그룹에 수행해야 할 특정한 테스트를 규정할 수도 있다. API의 안전 확보는 물론 구체적인 보호 장치 마련을 의무화하는 정부 또는 업계 규정의 준수를 돕는 목적에 유용하다.
시퀸스는 수상한 조작이나 공격에 대응해 API가 취해야 할 동작이나 자동 보호 수단을 설정할 수 있다. 시퀀스가 이를 직접 처리하므로 방화벽과 같은 외부 보안 시스템을 포함시킬 필요가 없다. 따라서 외부의 부담을 덜고 대응 시간이 빨라지므로 실시간 위협에서 거의 즉각적으로 보호할 수 있다.
데이터 씨어럼 API 시큐어
데이터 씨어럼 API 시큐어(Data Theorem API Secure)는 네트워크, 클라우드, 애플리케이션, 기타 모든 대상 내에 존재하는 모든 API의 목록을 작성한다. 따라서 API 보안을 강화하고 싶지만 어디서부터 시작해야 할지 모르거나 심지어 몇 개의 API를 사용 중인지 모르는 기업이 사용한다면 좋을 것이다. 또한 모든 새로운 API를 배포와 동시에 찾아내 API 목록을 최신 상태로 유지한다.
API 시큐어는 일단 설치되면 해커처럼 행동하면서 취약점을 찾아 모든 API를 테스트한다. 문제가 되는 API가 있다면 사람이 점검하도록 플래그를 처리하거나 여러 취약점을 자동으로 직접 해결한다.
솔트 시큐리티 API 보호 플랫폼
솔트 시큐리티 API 보호 플랫폼(Salt Security API Protection Platform)은 매우 진보한 형태로서 API에 대한 위협을 탐지하고 저지하기 위해 AI/ML을 활용하는 대표적인 사례다. 이 플랫폼은 전체 네트워크에 걸쳐 API 트래픽을 수집하고 API에 어떤 호출이 전해지고 있고 이에 대응해 API가 무슨 일을 하는지 분석한다. 그다음 로컬에서 보고 있는 것을 클라우드 기반 빅데이터 엔진에 저장된 트래픽 데이터와 비교해 대부분의 공격을 저지하고 수상한 활동은 플래그 표시함으로써 보안팀에게 알리거나 사전 설정에 따라 조치를 취한다.
이 플랫폼은 시간이 지나면서 계속 학습한다. API의 네트워크를 점검하는 시간이 길어질수록 그 특정 네트워크에서 용인 가능한 행동이 무엇인지 판단할 때 정확성이 더욱 높아진다.
노네임 시큐리티
노네임 시큐리티(Noname Security)는 거대 기업 환경을 지원하는 도구 사이에서 우수한 평판을 쌓았다. 포춘 지 선정 500대 기업 중 20%가 사용 중인 것으로 알려졌다. API를 통해 움직이는 트래픽을 분석해 일부 플랫폼이 제공하는 일반적인 API 취약점 검사 보호 기능을 넘어서도록 설계됐다. 이후 AI/ML을 활용해 악성 활동을 찾는다.
노네임 시큐리티는 테스트 시 일반적인 API와 표준이 아닌 API를 모두 사용하도록 지원한다. 예를 들면 HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC, gRPC API를 전적으로 지원한다. 트래픽 데이터를 사용해 API 게이트웨이에서 관리되지 않는 API나 표준 프로토콜을 따르지 않는 토종 API를 찾아내어 목록을 만들고 보호할 수도 있다.
스마트베어 레디API
개발 환경에 집중하는 스마트베어 레디API(Smartbear ReadyAPI)는 API를 구축하는 동안에 보안 취약점이 없는지 테스트할 수 있으며, 성능을 모니터링하는 동안에도 사용할 수 있다. 가령 API가 대량의 데이터와 마주치는 상황 역시 보안 문제일 수 있는데, 개발자는 이 때 무슨 일이 일어나는지 확인할 수 있다.
사용자는 개발 중인 API에 어떤 종류의 트래픽을 던져줄지 직접 구성할 수 있다. 혹은 레디API가 기업의 네트워크에서 실제 트래픽을 캡처한 후 이를 매우 현실적인 테스트 용도로 사용할 수도 있다. 레디API는 깃(Git), 도커(Docker), 젠킨스(Jenkins), 애저 데브옵스(Azure DevOps), 팀시티(TeamCity) 등을 지원한다.
월람 엔드투엔드 API 시큐리티
월람 엔드투엔드 API 시큐리티(Wallarm End-to-End API Security) 플랫폼은 다수의 API가 상주하는 클라우드 네이티브 환경에서 작동하도록 설계되었으며, 온프레미스 기기에 존재하는 API의 안전 확보에도 도움이 된다. 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP) 최상위 취약점 목록에 오른 것부터 API를 대상으로 자주 발생하는 크리덴셜 스터핑(credential stuffing)과 같은 구체적인 위협에 이르기까지 API가 직면할 수 있는 모든 종류의 위협에서 보호하도록 설계됐다.
월람은 봇에 의한 분산 서비스 거부(DDoS) 공격과 정찰 침투 또는 노골적인 공격을 완화하는 데 도움을 줄 수도 있다. 오늘날 인터넷 트래픽 중 대부분이 봇으로 구성된 것임을 감안하면 이런 보안 기능을 갖추는 것이 도움이 된다.
이 플랫폼은 사용자 트래픽에 기반한 한 기업의 전체 API 포트폴리오에 대해 심도 있는 관점과 개요도 제공한다. 이를 통해 보안에 대한 인사이트뿐 아니라 해당 기업이 API를 어떻게 사용하고 있으며, 개선을 위한 인사이트도 얻을 수 있다. 상세한 보고서가 월람 플랫폼의 주된 이점은 아니지만, 플랫폼을 사용하면서 얻을 수 있는 부차적인 이점이다.
editor@itworld.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.