API(Application Programming Interface) 보안이 조직과 사이버 보안 커뮤니티에서 주요 의제로 떠오르고 있다. 다음 6가지 이니셔티브는 API 보안 문제를 해결하기 위해 2023년 출범했다.
API는 소프트웨어 개발 분야에서 단순한 프로그램부터 디자인 및 아키텍처 고려사항에 이르기까지 엔터프라이즈 컴퓨팅의 핵심 개념으로 자리잡고 있다.
개발자는 API 인터페이스를 통해 코드 외부에서 소프트웨어 구성요소 또는 리소스와 프로그래밍 방식으로 상호작용할 수 있다. API 인터페이스는 명령줄 입력 도구부터 마이크로서비스 및 클라우드 네이티브 아키텍처까지 많은 곳에 적용된다.
API 사용이 증가하면서 공격자들이 인증 관리를 우회하고 데이터를 유출시키거나 악의적 행동을 하는 방법도 다양해지고 있다. API는 특성상 애플리케이션 로직과 PII(Personally Identifiable Information) 등의 민감한 데이터를 노출시킨다. 기존 보안 도구는 API 특화 위협을 감지하고 완화하는 데 어려움을 겪는 경우가 많으며, 조직들도 해킹, 악용, 범죄에 취약해졌다.
최근 트레이서블(Traceable)이 발표한 AI 보고서에 따르면 조직 중 60%가 지난 2년 동안 API 관련 보안 공격에 노출됐다. 그 중 74%는 3번 이상 보안 사고를 겪었다. 기업 중 38%만이 API 활동, 사용자 행동, 데이터 흐름 간 복잡한 맥락을 식별할 수 있었으며, 57%는 기존 보안 솔루션이 사기성 API 활동과 실제를 효과적으로 구분하지 못한다고 답했다.
조사 대상 조직 중 61%는 평균 127개의 서드파티 API 연결에 대응하면서 향후 2년 동안 API 관련 위험이 증가할 것으로 예상했다. 33%만이 외부 API 위협 관리에 자신이 있다고 답했다.
주요 의제가 된 API 보안
API 보안은 많은 조직과 사이버 보안 커뮤니티에서 주요 의제로 떠오르고 있다. RQ(ReliaQuest)의 수석 사이버 위협 정보 분석가 크리스 모건은 CSO에 “API 보안은 매우 중요하게 고려되고 있다. 보호되지 않거나 잘못 구성된 API는 위협 행위자들이 표적 네트워크에 접근할 수 있는 절호의 기회를 제공한다”라고 말했다.
2023년부터 기업들이 클라우드 서비스 전환 추세를 이어가면서 대규모 데이터 세트, 서비스, 제품의 디지털화가 가능해지고 있다. 이에 따라 API 보안 중요성도 더 커질 것으로 전망된다. 모건은 “이런 움직임을 바탕으로 취약한 API 공격 표면이 증가하고 있다. API 서비스를 강화하고 비즈니스 운영, 고객, 데이터를 보호해야 하는 요구사항이 점점 더 중요해질 것이다”라고 설명했다.
보안 기업 파이어테일(FireTail)의 CEO 겸 공동 설립자 제레미 스나이더는 최근 블랙햇 USA(Black Hat USA) 컨퍼런스에서 만난 여행 업계 사람들이 포인츠닷컴(points.com) API 보안 문제 때문에 API 위협을 진지하게 고려하기 시작했다고 밝혔다. 또 그는 “자동차 산업은 현재 커넥티드 카(Connected Car)와 자율주행 자동차를 대규모 원격 측정 데이터가 있는 스마트 장치로 보고 있다. 자동차 산업 역시 보안 공개 및 API 기반 개념증명(PoC, Proof of Concept) 취약점 공격으로 인해 API 보안을 더 엄밀하게 조사하기 시작했다”라고 말했다.
API 보안을 개선하고 개발하는 데 다음 6가지 사항이 도움될 수 있다. 올해 시작된 주목할 만한 이니셔티브, 프로그램, 리소스 6가지를 소개한다.
GSMA, 개방형 네트워크 API 이니셔티브 출범
지난 2월 국제 모바일 무역협회(GSMA)는 사이버 보안을 포함하는 API 경제 세계에서 통신 산업이 서비스를 설계 및 제공하는 방식을 바꾸기 위해 ‘GSMA 오픈 게이트웨이(Open Gateway)’ 프레임워크를 공개했다.
GSMA 사무총장 매츠 그랜리드는 “사업자 상호연결 개념을 API 경제에 적용하면 개발자들이 ID, 사이버 보안, 청구 등 서비스에 기술을 한 번만 사용하더라도 전 세계 모든 사업자와 통합될 수 있다”라고 말했다.
GSMA 오픈 게이트웨이 MoU(Memorandum of Understanding)는 BT그룹, 보다폰(Vodafone), AT&T, 버라이존(Verizon), 오렌지(Orange) 등 세계적 규모의 모바일 네트워크 기업들이 지원하고 있다.
트레이서블 AI, 제로 트러스트(Zero Trust)를 위한 API 보안 기준 아키텍처 공개
보안 스타트업 트레이서블 AI는 지난 6월 네트워크 수준 관리/ID 액세스 관리에 중점을 두었던 제로 트러스트 보안 이니셔티브에 API 보안을 통합하는 가이드인 ‘제로 트러스트를 위한 API 보안 기준 아키텍처’를 출시했다. 이 아키텍처는 정부 기관뿐 아니라 여러 사이버 보안 벤더들이 널리 도입 중인 벤더 중립 프레임워크 ‘NIST 제로 트러스트 아키텍처’와 일맥상통한다.
아키텍처는 NIST 프레임워크를 활용해 호환성, 상호 운용성, 산업 표준 준수를 확보한다. 자체 API에 제로 트러스트를 구현하는 조직들에게 신뢰할 만한 리소스가 되고 있다고 트레이서블 AI는 밝혔다. 가이드 개요는 다음과 같다.
• API를 위해 번역된 제로 트러스트의 핵심 원리와 정의
• 제로 트러스트가 API 수준에서 고려해야 할 사항
• 조직이 제로 트러스트 배포 시 API 보안을 운용하는 방법.
전자책은 “API는 보안 및 리스크 관련 부서의 계산법을 근본적으로 바꾸는 서드파티 통합 기회가 무궁무진한 분산 아키텍처를 촉진한다"라고 밝혔다. F5의 보안 가이드에는 지속적인 API 종점 모니터링 및 보호뿐만 아니라 변화하는 애플리케이션 수명 주기에 대한 대응이 포함돼 있다.
CISA, 협력사와 함께 웹 애플리케이션 액세스 제어 남용에 대한 사이버 보안 지침 발표
미국 사이버 보안 및 인프라 보안국(CISA)은 호주 사이버 보안 센터(ASCS), 미국 국가안보국(NSA)과 함께 웹 애플레이케이션 제공업체, 디자이너, 개발자 및 조직에 IDOR(Insecure Direct Object Reference) 취약점을 경고하는 공동 사이버 보안 지침을 발표했다.
IDOR 취약점은 악의적 공격자가 다른 유효한 사용자의 ID(user identifier)를 지정해 웹사이트 또는 웹 API에 요청을 보내고 데이터를 수정하거나 삭제하고 민감한 데이터에 접근할 수 있도록 하는 액세스 제어 취약점으로 알려져 있다. IDOR 공격은 가장 보편적이고 비용이 많이 드는 API 공격 방법 중 하나다. 조직이 적절한 인증 및 승인 점검을 수행하지 않는다면 공격자의 액세스 요청은 쉽게 이뤄질 수 있다.
OWASP가 API 보안 위험 목록 10가지를 업데이트
보안 비영리 재단 OWASP(Open Worldwide Application Security Project)가 지난 7월 ‘2023 API 보안 위험 목록 10가지’를 공개했다. 조직이 직면한 API 보안 위험을 설명하는 목록이다. OWASP는 지난 2019년 API 보안 프로젝트의 일환으로 API별 위험 지침을 공개한 바 있는데, 지침이 업데이트된 것은 이번이 처음이다. OWASP는 “2019년 이후로 API 보안 산업은 더 번창하고 성숙해졌다”라고 밝혔다.
OWASP API 보안 목록 10가지의 주목적은 개발자, 디자이너, 관리자, 조직 등 API 개발과 유지보수에 관련된 이들을 교육하는 것이다. 최신 API 보안 목록은 다음과 같다.
1. 손상된 객체 수준 인증(Broken object-level authorization)
2. 손상된 인증(Broken authentication)
3. 손상된 객체 속성 수준 인증(Broken object property level authorization)
4. 제한 없는 리소스 소비(Unrestricted resource consumption)
5. 손상된 기능 수준 인증(Broken function level authorization)
6. 민감한 비즈니스 흐름에 대한 제한 없는 액세스(Unrestricted access to sensitive business flows)
7. 서버 측 요청 위조(Server-side request forgery)
8. 잘못된 보안 구성(Security misconfiguration)
9. 부적절한 인벤토리 관리(Improper inventory management)
10. 안전하지 못한 API 사용(Unsafe consumption of APIs)
솔트 시큐리리, API 보안 생태계 강화를 위한 STEP 프로그램 출범
API 보안 기업 솔트 시큐리티(Salt Security)가 지난 8월 새 이니셔티브 ‘STEP(Salt Technical Ecosystem Partner) 프로그램’을 출범했다. STEP 프로그램은 API 시스템 전반에 걸쳐 솔루션을 통합하고 조직들이 API 보안 태세를 강화할 수 있도록 지원한다. 구체적으로는 기업들을 API 테스트하기 위해 위험 기반 접근 방식으로 전환하고 우선순위 API를 집중적으로 스캔할 수 있도록 도우며, 데브옵스(DevOps) 및 데브섹옵스(DevSecOps) 팀들의 마찰을 줄일 수 있도록 설계됐다.
협력사로는 동적 애플리케이션 보안 테스트(DAST) 기업인 브라이트 시큐리티(Bright Security), 인빅티 시큐리티(Invicti Security), 스택호크(StackHawk), 대화형 애플리케이션 보안 테스트(IAST) 기업인 콘트라스트 시큐리티(Contrast Security) 등이 있다.
스택호크의 CEO 조니 클리퍼트는 “강력한 앱 보안(AppSec) 프로그램을 제공하려면, 개발자가 코드를 프로덕션 환경에 배포하기 전에 취약점 발견 및 해결을 간소화하는 동급 최고 기술에 액세스할 수 있어야 한다”라고 말했다. 클리퍼트는 API 개발의 급격한 성장을 고려해 관련 부서가 API 보안 테스트의 우선순위를 정하고 자동화하되, 개발자 워크플로우와 원활히 통합되는 방식으로 보안 테스트를 수행해야 한다고 덧붙였다. cio@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.