API(Application Programing Interface)는 네트워크, 프로그램, 애플리케이션, 기기 등 컴퓨팅 환경의 거의 모든 요소에 필수적으로 자리 잡았다. 특히 클라우드와 모바일 컴퓨팅에서는 없어서는 안 될 요소다. 모든 것을 유지하는 백엔드 기능의 많은 부분을 관리하는 API가 없다면 클라우드도 모바일 컴퓨팅도 현재의 형태로 존재할 수 없을 것이다.
API는 신뢰성과 단순함 덕분에 컴퓨팅 환경 어디에서나 쉽게 찾아볼 수 있다. 아마도 대부분 기업은 몇 개의 API가 자체 네트워크, 특히 클라우드에서 가동 중인지조차 모를 것이다. 대기업에서 사용하는 API는 수천 개에 달할 가능성이 높고 상대적으로 규모가 작은 기업도 회사가 인지하는 것보다 많은 API에 의존하고 있을 가능성이 크다.
API의 위험
API가 유용해진 만큼 사용에 따른 위험도 생겼다. API 생성에 대한 표준이 거의 없는 데다가 고유한 특징을 지닌 API가 많아 악용할 수 있는 취약점이 포함된 경우가 적지 않기 때문이다. 위협 행위자는 프로그램, 데이터베이스, 애플리케이션, 네트워크를 직접 해킹하는 것보다 API를 공격하는 것이 훨씬 쉽다는 사실을 알아냈다. 해킹한 API의 기능을 바꿔 자신을 위해 일하는 일종의 내부 변절자로 만드는 일은 어렵지 않다.
API의 또 다른 위험은 권한이 과도하게 부여된다는 점이다. 프로그래머들은 중단 없이 기능을 수행할 수 있도록 API에 높은 권한을 부여한다. API를 해킹한 해커는 높은 권한을 악용해 마치 사람 관리자의 계정을 해킹한 것처럼 다른 행위를 할 수 있다. 실제로 API의 보안은 매우 심각한 문제로 대두됐다. 아카마이 연구 결과, API를 대상으로 한 공격이 전 세계 모든 인증정보 탈취 시도의 75%를 차지하는 것으로 나타났다. 공격자는 API의 취약성과 편재성을 두루 알고 있다.
API 보안 도구의 부상
API 해킹 문제의 심각성을 감안하면 최근 몇 년간 API 보안 도구의 숫자가 부쩍 늘어난 것도 놀랍지 않은 일이다. API를 보호하는 상용 도구는 수십 가지이며, 무료 또는 오픈소스 도구도 수백 가지다. 다수는 기능 면에서 다른 종류의 사이버보안 프로그램과 비슷하지만, 그 대신 API의 고유한 특성에 맞게 구성된 경우가 많다.
다양한 API 보안 도구 중 일부는 모든 것을 한꺼번에 하려고 시도하는 완전한 플랫폼을 제공한다. 최근 인기가 가장 높은 API 보안 도구는 마치 API 방화벽처럼 API를 악의적인 요청에서 보호한다. 이 외에도 공격에 대비해 코드를 강화할 수 있도록 동적으로 특정 API에 접근하고 평가해 취약점을 찾아내는 도구도 있고 인식하지 못하는 것은 아무도 보호할 수 없다는 개념에 따라 기업이 자체 네트워크 내부에 존재하는 API의 개수를 알아낼 수 있도록 환경만 검사하는 도구도 있다.
API 사이버보안 도구는 수가 워낙 많아서 전체 목록을 작성하기 어렵다. 그러나 사용자 리뷰와 상업적 리뷰를 모두 검토해 보면 일부 도구가 눈에 띄는 것도 사실이다. API 보안을 강화할 수 있는 도구와 그 기능 및 장점을 간략하게 정리했다. 미처 소개하지 못한 도구도 수백 가지지만, 오늘날 점점 적대적으로 변하는 위협 환경에서 API를 안전하게 보호하고자 할 때 어떤 것을 이용할 수 있고 무엇이 가능한지 한 눈에 파악할 수 있을 것이다.
현재 이용 가능한 최고의 보안 도구 중 9가지는 다음과 같다.
APIsec
최고의 API 보안 도구 가운데 하나인 APIsec은 거의 완벽하게 자동화되어 있다. 따라서 API 보안 개선을 이제 막 시작한 기업에 안성맞춤이다. APIsec은 API가 이미 자리 잡은 생산 환경에서 API를 검사하고 스크립트 주입 공격과 같은 흔한 취약점에 대한 테스트를 실시한다. 탐지하기 어려운 비즈니스 프로세스 공격과 같은 것도 버틸 정도인지 확인하기 위해 각 API에 대한 압박 테스트도 철저하게 실시한다. 문제가 발견되면 보안 애널리스트들이 확인할 수 있도록 상세한 결과와 함께 표시한다.
또한 APIsec은 개발자가 API를 개발하는 과정에서도 미리 활용할 수 있다. 그렇기 때문에 API가 가동되기 앞서 모든 취약점을 진압할 수 있다. 만일의 사태에 대비해 API가 배포된 뒤에도 감시를 계속한다.
아스트라
아스트라(Astra)는 무료 도구다. 지원이 한정적이고 사용자가 직접 깃허브에서 아스트라를 구해 설치해야 한다. 그래도 매우 구체적인 종류의 API를 관리하고 보호하는 데 도움이 되는 것으로 유명하다.
아스트라는 주로 REST(REpresentational State Transfer) API에 집중한다. REST API는 자주 변하기 때문에 테스트와 안전 확보가 어렵다. 아스트라는 기업의 지속적 통합 및 배포(CI/CD) 파이프라인에 통합하는 방식으로 도움을 준다. API에 영향을 미칠 수 있는 가장 흔한 취약점이 그 기능의 일환으로 지속적으로 변경되는 과정에서 소위 안전한 REST API 안에 되돌아오지 않도록 조치한다.
앱녹스
앱녹스(AppKnox)는 사용자 지원에 매우 적극적인 솔루션이다. 사용하기 쉬운 인터페이스를 제공하며, 배포 및 사용 시 앱녹스 측에서도 도움을 많이 준다. 최소한의 노력으로도 API 보안을 강화할 수 있으므로 보안팀이 소규모인 기업에 인기가 많다. 일단 설치된 앱녹스는 HTTP 요청 취약점, SQL 주입 구멍과 같은 일반적인 문제가 없는지 API를 테스트한다. 또한 해커의 유효한 공격 경로가 될 수 없도록 API에 연결된 모든 리소스를 검사한다.
시퀀스 통합 API 보호
시퀀스 통합 API 보호(Cequence Unified API Protection) 플랫폼은 매일 API를 대상으로 이루어지는 수십억 건의 요청을 처리해야 하는 대규모 환경을 위해 설계됐다. 먼저 기업 내의 모든 API를 탐지한 후 대규모 목록에 보관하고 그 후에 API를 대상으로 취약점이 없는지 일반적인 테스트를 실시한다. 혹은 보안팀에서 API 그룹에 수행해야 할 특정한 테스트를 규정할 수도 있다. API의 안전 확보는 물론 구체적인 보호 장치 마련을 의무화하는 정부 또는 업계 규정의 준수를 돕는 목적에 유용하다.
시퀸스는 수상한 조작이나 공격에 대응해 API가 취해야 할 동작이나 자동 보호 수단을 설정할 수 있다. 시퀀스가 이를 직접 처리하므로 방화벽과 같은 외부 보안 시스템을 포함시킬 필요가 없다. 따라서 외부의 부담을 덜고 대응 시간이 빨라지므로 실시간 위협에서 거의 즉각적으로 보호할 수 있다.
데이터 씨어럼 API 시큐어
데이터 씨어럼 API 시큐어(Data Theorem API Secure)는 네트워크, 클라우드, 애플리케이션, 기타 모든 대상 내에 존재하는 모든 API의 목록을 작성한다. 따라서 API 보안을 강화하고 싶지만 어디서부터 시작해야 할지 모르거나 심지어 몇 개의 API를 사용 중인지 모르는 기업이 사용한다면 좋을 것이다. 또한 모든 새로운 API를 배포와 동시에 찾아내 API 목록을 최신 상태로 유지한다.
API 시큐어는 일단 설치되면 해커처럼 행동하면서 취약점을 찾아 모든 API를 테스트한다. 문제가 되는 API가 있다면 사람이 점검하도록 플래그를 처리하거나 여러 취약점을 자동으로 직접 해결한다.
솔트 시큐리티 API 보호 플랫폼
솔트 시큐리티 API 보호 플랫폼(Salt Security API Protection Platform)은 매우 진보한 형태로서 API에 대한 위협을 탐지하고 저지하기 위해 AI/ML을 활용하는 대표적인 사례다. 이 플랫폼은 전체 네트워크에 걸쳐 API 트래픽을 수집하고 API에 어떤 호출이 전해지고 있고 이에 대응해 API가 무슨 일을 하는지 분석한다. 그다음 로컬에서 보고 있는 것을 클라우드 기반 빅데이터 엔진에 저장된 트래픽 데이터와 비교해 대부분의 공격을 저지하고 수상한 활동은 플래그 표시함으로써 보안팀에게 알리거나 사전 설정에 따라 조치를 취한다.
이 플랫폼은 시간이 지나면서 계속 학습한다. API의 네트워크를 점검하는 시간이 길어질수록 그 특정 네트워크에서 용인 가능한 행동이 무엇인지 판단할 때 정확성이 더욱 높아진다.
노네임 시큐리티
노네임 시큐리티(Noname Security)는 거대 기업 환경을 지원하는 도구 사이에서 우수한 평판을 쌓았다. 포춘 지 선정 500대 기업 중 20%가 사용 중인 것으로 알려졌다. API를 통해 움직이는 트래픽을 분석해 일부 플랫폼이 제공하는 일반적인 API 취약점 검사 보호 기능을 넘어서도록 설계됐다. 이후 AI/ML을 활용해 악성 활동을 찾는다.
노네임 시큐리티는 테스트 시 일반적인 API와 표준이 아닌 API를 모두 사용하도록 지원한다. 예를 들면 HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC, gRPC API를 전적으로 지원한다. 트래픽 데이터를 사용해 API 게이트웨이에서 관리되지 않는 API나 표준 프로토콜을 따르지 않는 토종 API를 찾아내어 목록을 만들고 보호할 수도 있다.
스마트베어 레디API
개발 환경에 집중하는 스마트베어 레디API(Smartbear ReadyAPI)는 API를 구축하는 동안에 보안 취약점이 없는지 테스트할 수 있으며, 성능을 모니터링하는 동안에도 사용할 수 있다. 가령 API가 대량의 데이터와 마주치는 상황 역시 보안 문제일 수 있는데, 개발자는 이 때 무슨 일이 일어나는지 확인할 수 있다.
사용자는 개발 중인 API에 어떤 종류의 트래픽을 던져줄지 직접 구성할 수 있다. 혹은 레디API가 기업의 네트워크에서 실제 트래픽을 캡처한 후 이를 매우 현실적인 테스트 용도로 사용할 수도 있다. 레디API는 깃(Git), 도커(Docker), 젠킨스(Jenkins), 애저 데브옵스(Azure DevOps), 팀시티(TeamCity) 등을 지원한다.
월람 엔드투엔드 API 시큐리티
월람 엔드투엔드 API 시큐리티(Wallarm End-to-End API Security) 플랫폼은 다수의 API가 상주하는 클라우드 네이티브 환경에서 작동하도록 설계되었으며, 온프레미스 기기에 존재하는 API의 안전 확보에도 도움이 된다. 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP) 최상위 취약점 목록에 오른 것부터 API를 대상으로 자주 발생하는 크리덴셜 스터핑(credential stuffing)과 같은 구체적인 위협에 이르기까지 API가 직면할 수 있는 모든 종류의 위협에서 보호하도록 설계됐다.
월람은 봇에 의한 분산 서비스 거부(DDoS) 공격과 정찰 침투 또는 노골적인 공격을 완화하는 데 도움을 줄 수도 있다. 오늘날 인터넷 트래픽 중 대부분이 봇으로 구성된 것임을 감안하면 이런 보안 기능을 갖추는 것이 도움이 된다.
이 플랫폼은 사용자 트래픽에 기반한 한 기업의 전체 API 포트폴리오에 대해 심도 있는 관점과 개요도 제공한다. 이를 통해 보안에 대한 인사이트뿐 아니라 해당 기업이 API를 어떻게 사용하고 있으며, 개선을 위한 인사이트도 얻을 수 있다. 상세한 보고서가 월람 플랫폼의 주된 이점은 아니지만, 플랫폼을 사용하면서 얻을 수 있는 부차적인 이점이다.
editor@itworld.co.kr