‘중요해지는 API 보안’… 2023년 주목할 만한 API 보안 이니셔티브 6가지

API(Application Programming Interface) 보안이 조직과 사이버 보안 커뮤니티에서 주요 의제로 떠오르고 있다. 다음 6가지 이니셔티브는 API 보안 문제를 해결하기 위해 2023년 출범했다. 
 

API는 소프트웨어 개발 분야에서 단순한 프로그램부터 디자인 및 아키텍처 고려사항에 이르기까지 엔터프라이즈 컴퓨팅의 핵심 개념으로 자리잡고 있다. 

개발자는 API 인터페이스를 통해 코드 외부에서 소프트웨어 구성요소 또는 리소스와 프로그래밍 방식으로 상호작용할 수 있다. API 인터페이스는 명령줄 입력 도구부터 마이크로서비스 및 클라우드 네이티브 아키텍처까지 많은 곳에 적용된다. 

API 사용이 증가하면서 공격자들이 인증 관리를 우회하고 데이터를 유출시키거나 악의적 행동을 하는 방법도 다양해지고 있다. API는 특성상 애플리케이션 로직과 PII(Personally Identifiable Information) 등의 민감한 데이터를 노출시킨다. 기존 보안 도구는 API 특화 위협을 감지하고 완화하는 데 어려움을 겪는 경우가 많으며, 조직들도 해킹, 악용, 범죄에 취약해졌다. 

최근 트레이서블(Traceable)이 발표한 AI 보고서에 따르면 조직 중 60%가 지난 2년 동안 API 관련 보안 공격에 노출됐다. 그 중 74%는 3번 이상 보안 사고를 겪었다. 기업 중 38%만이 API 활동, 사용자 행동, 데이터 흐름 간 복잡한 맥락을 식별할 수 있었으며, 57%는 기존 보안 솔루션이 사기성 API 활동과 실제를 효과적으로 구분하지 못한다고 답했다.

조사 대상 조직 중 61%는 평균 127개의 서드파티 API 연결에 대응하면서 향후 2년 동안 API 관련 위험이 증가할 것으로 예상했다. 33%만이 외부 API 위협 관리에 자신이 있다고 답했다.

주요 의제가 된 API 보안
API 보안은 많은 조직과 사이버 보안 커뮤니티에서 주요 의제로 떠오르고 있다. RQ(ReliaQuest)의 수석 사이버 위협 정보 분석가 크리스 모건은 CSO에 “API 보안은 매우 중요하게 고려되고 있다. 보호되지 않거나 잘못 구성된 API는 위협 행위자들이 표적 네트워크에 접근할 수 있는 절호의 기회를 제공한다”라고 말했다. 

2023년부터 기업들이 클라우드 서비스 전환 추세를 이어가면서 대규모 데이터 세트, 서비스, 제품의 디지털화가 가능해지고 있다. 이에 따라 API 보안 중요성도 더 커질 것으로 전망된다. 모건은 “이런 움직임을 바탕으로 취약한 API 공격 표면이 증가하고 있다. API 서비스를 강화하고 비즈니스 운영, 고객, 데이터를 보호해야 하는 요구사항이 점점 더 중요해질 것이다”라고 설명했다. 

보안 기업 파이어테일(FireTail)의 CEO 겸 공동 설립자 제레미 스나이더는 최근 블랙햇 USA(Black Hat USA) 컨퍼런스에서 만난 여행 업계 사람들이 포인츠닷컴(points.com) API 보안 문제 때문에 API 위협을 진지하게 고려하기 시작했다고 밝혔다. 또 그는 “자동차 산업은 현재 커넥티드 카(Connected Car)와 자율주행 자동차를 대규모 원격 측정 데이터가 있는 스마트 장치로 보고 있다. 자동차 산업 역시 보안 공개 및 API 기반 개념증명(PoC, Proof of Concept) 취약점 공격으로 인해 API 보안을 더 엄밀하게 조사하기 시작했다”라고 말했다. 

API 보안을 개선하고 개발하는 데 다음 6가지 사항이 도움될 수 있다. 올해 시작된 주목할 만한 이니셔티브, 프로그램, 리소스 6가지를 소개한다.

GSMA, 개방형 네트워크 API 이니셔티브 출범
지난 2월 국제 모바일 무역협회(GSMA)는 사이버 보안을 포함하는 API 경제 세계에서 통신 산업이 서비스를 설계 및 제공하는 방식을 바꾸기 위해 ‘GSMA 오픈 게이트웨이(Open Gateway)’ 프레임워크를 공개했다. 

GSMA 사무총장 매츠 그랜리드는 “사업자 상호연결 개념을 API 경제에 적용하면 개발자들이 ID, 사이버 보안, 청구 등 서비스에 기술을 한 번만 사용하더라도 전 세계 모든 사업자와 통합될 수 있다”라고 말했다. 

GSMA 오픈 게이트웨이 MoU(Memorandum of Understanding)는 BT그룹, 보다폰(Vodafone), AT&T, 버라이존(Verizon), 오렌지(Orange) 등 세계적 규모의 모바일 네트워크 기업들이 지원하고 있다. 

트레이서블 AI, 제로 트러스트(Zero Trust)를 위한 API 보안 기준 아키텍처 공개
보안 스타트업 트레이서블 AI는 지난 6월 네트워크 수준 관리/ID 액세스 관리에 중점을 두었던 제로 트러스트 보안 이니셔티브에 API 보안을 통합하는 가이드인 ‘제로 트러스트를 위한 API 보안 기준 아키텍처’를 출시했다. 이 아키텍처는 정부 기관뿐 아니라 여러 사이버 보안 벤더들이 널리 도입 중인 벤더 중립 프레임워크 ‘NIST 제로 트러스트 아키텍처’와 일맥상통한다. 

아키텍처는 NIST 프레임워크를 활용해 호환성, 상호 운용성, 산업 표준 준수를 확보한다. 자체 API에 제로 트러스트를 구현하는 조직들에게 신뢰할 만한 리소스가 되고 있다고 트레이서블 AI는 밝혔다. 가이드 개요는 다음과 같다. 

• API를 위해 번역된 제로 트러스트의 핵심 원리와 정의
• 제로 트러스트가 API 수준에서 고려해야 할 사항
• 조직이 제로 트러스트 배포 시 API 보안을 운용하는 방법.

F5, API 보안 모범 사례 전자책 출판
보안 기업 F5는 조직이 직면하는 API 보안 문제 및 위험, 관련 부서가 기업에서 API 보안을 강화할 수 있는 전략을 묶어 무료 전자책 ‘API 보안 모범 사례: API 보호를 위한 주요 고려사항(API Security Best Practices: Key Considerations for API Protection)’으로 출판했다.

전자책은 “API는 보안 및 리스크 관련 부서의 계산법을 근본적으로 바꾸는 서드파티 통합 기회가 무궁무진한 분산 아키텍처를 촉진한다"라고 밝혔다. F5의 보안 가이드에는 지속적인 API 종점 모니터링 및 보호뿐만 아니라 변화하는 애플리케이션 수명 주기에 대한 대응이 포함돼 있다.

CISA, 협력사와 함께 웹 애플리케이션 액세스 제어 남용에 대한 사이버 보안 지침 발표
미국 사이버 보안 및 인프라 보안국(CISA)은 호주 사이버 보안 센터(ASCS), 미국 국가안보국(NSA)과 함께 웹 애플레이케이션 제공업체, 디자이너, 개발자 및 조직에 IDOR(Insecure Direct Object Reference) 취약점을 경고하는 공동 사이버 보안 지침을 발표했다. 

IDOR 취약점은 악의적 공격자가 다른 유효한 사용자의 ID(user identifier)를 지정해 웹사이트 또는 웹 API에 요청을 보내고 데이터를 수정하거나 삭제하고 민감한 데이터에 접근할 수 있도록 하는 액세스 제어 취약점으로 알려져 있다. IDOR 공격은 가장 보편적이고 비용이 많이 드는 API 공격 방법 중 하나다. 조직이 적절한 인증 및 승인 점검을 수행하지 않는다면 공격자의 액세스 요청은 쉽게 이뤄질 수 있다. 

OWASP가 API 보안 위험 목록 10가지를 업데이트
보안 비영리 재단 OWASP(Open Worldwide Application Security Project)가 지난 7월 ‘2023 API 보안 위험 목록 10가지’를 공개했다. 조직이 직면한 API 보안 위험을 설명하는 목록이다. OWASP는 지난 2019년 API 보안 프로젝트의 일환으로 API별 위험 지침을 공개한 바 있는데, 지침이 업데이트된 것은 이번이 처음이다. OWASP는 “2019년 이후로 API 보안 산업은 더 번창하고 성숙해졌다”라고 밝혔다. 

OWASP API 보안 목록 10가지의 주목적은 개발자, 디자이너, 관리자, 조직 등 API 개발과 유지보수에 관련된 이들을 교육하는 것이다. 최신 API 보안 목록은 다음과 같다.

1. 손상된 객체 수준 인증(Broken object-level authorization)
2. 손상된 인증(Broken authentication)
3. 손상된 객체 속성 수준 인증(Broken object property level authorization)
4. 제한 없는 리소스 소비(Unrestricted resource consumption)
5. 손상된 기능 수준 인증(Broken function level authorization)
6. 민감한 비즈니스 흐름에 대한 제한 없는 액세스(Unrestricted access to sensitive business flows)
7. 서버 측 요청 위조(Server-side request forgery)
8. 잘못된 보안 구성(Security misconfiguration)
9. 부적절한 인벤토리 관리(Improper inventory management)
10. 안전하지 못한 API 사용(Unsafe consumption of APIs)

솔트 시큐리리, API 보안 생태계 강화를 위한 STEP 프로그램 출범
API 보안 기업 솔트 시큐리티(Salt Security)가 지난 8월 새 이니셔티브 ‘STEP(Salt Technical Ecosystem Partner) 프로그램’을 출범했다. STEP 프로그램은 API 시스템 전반에 걸쳐 솔루션을 통합하고 조직들이 API 보안 태세를 강화할 수 있도록 지원한다. 구체적으로는 기업들을 API 테스트하기 위해 위험 기반 접근 방식으로 전환하고 우선순위 API를 집중적으로 스캔할 수 있도록 도우며, 데브옵스(DevOps) 및 데브섹옵스(DevSecOps) 팀들의 마찰을 줄일 수 있도록 설계됐다. 

협력사로는 동적 애플리케이션 보안 테스트(DAST) 기업인 브라이트 시큐리티(Bright Security), 인빅티 시큐리티(Invicti Security), 스택호크(StackHawk), 대화형 애플리케이션 보안 테스트(IAST) 기업인 콘트라스트 시큐리티(Contrast Security) 등이 있다.

스택호크의 CEO 조니 클리퍼트는 “강력한 앱 보안(AppSec) 프로그램을 제공하려면, 개발자가 코드를 프로덕션 환경에 배포하기 전에 취약점 발견 및 해결을 간소화하는 동급 최고 기술에 액세스할 수 있어야 한다”라고 말했다. 클리퍼트는 API 개발의 급격한 성장을 고려해 관련 부서가 API 보안 테스트의 우선순위를 정하고 자동화하되, 개발자 워크플로우와 원활히 통합되는 방식으로 보안 테스트를 수행해야 한다고 덧붙였다. cio@idg.co.kr