Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안 / 클라우드

GCP, ‘올해의 클라우드 주적’ API 공격 대비…새 보안 프레임워크 프리뷰 공개

Jon Gold | CSO 2022.07.05
GCP(Google Cloud Platform)이 올해 급격히 상승할 것으로 예상되는 API 공격에 대비하여 새 API 보안 프레임워크의 프리뷰 버전을 발표했다.
 
ⓒ Google Cloud

GCP가 지난 1일(현지 시각) 새로운 '어드밴스드 API 보안 프레임워크(Advanced API Security Framework)'의 프리뷰 버전을 발표했다. 새 프레임워크는 일련의 강화된 API 보안 기능을 포괄한다. 잠재적인 위협을 식별하고, 봇 트래픽을 차단하며, API의 잘못된 구성이나 공격으로 인한 데이터 침해를 식별하는 것이 목표라고 구글은 설명했다. 정식 출시 날짜는 공개되지 않았다. 
 
아피지의 API 관리 플랫폼을 기반으로 한 새 어드밴스드 API 보안 프레임워크는 누락된 CROS 정책 같이 잘못 구성된 API 프록시를 식별해준다. ⓒ Google Cloud

지난 2016년, 구글은 미화 6억 2,500만 달러(약 7,100억 원)에 지능형 API 개발사 아피지(Apigee)를 인수했고, 이후 아피지는 구글 클라우드의 API 관리 플랫폼에 통합됐다. 새 보안 프레임워크는 이 아피지 플랫폼을 기반으로 한 것이다. 구글에 따르면 사용자는 새 프레임워크를 사용해 API 트래픽의 비정상적인 패턴을 더 면밀하게 감지하고 잠재적인 익스플로잇을 포착해낼 수 있다. 
 
API 공격은 웹 애플리케이션의 주요 공격 벡터 중 하나로 알려져 있다. 여기에 더해 구글은 2019년에 발간된 가트너 보고서 'API 보안: API를 보호하기 위한 방법(API Security: What You Need to Do to Protect Your APIs)'를 인용하며 올해부터 API 공격이 가장 잦은 공격 방식이 될 전망이라고 전했다. 이에 대비해 새 프레임워크는 지정된 프레임워크에서 관리하는 모든 API를 정기적으로 검토하고, 잠재적인 위협이 탐지될 시 IT 부서에 자동으로 보고한다. 여기에 더해 사용자는 API가 준수해야 하는 표준 보안 정책을 설정할 수 있어 이 또한 위반될 시 자동으로 보고된다.
 
어드밴스드 API 보안 프레임워크는 API 프록시당 봇 트래픽을 시각화할 수 있다. ⓒ Google Cloud
    
또한 새 프레임워크는 사전 설정된 조건에 따라 API로 전송되거나 수신되는 데이터에서 비정상적인 봇 트래픽을 포착한다고 구글은 전했다. 비정상적인 패턴의 봇 트래픽이 탐지되면 이 즉시 IT 팀에 전송된다. 이 프레임워크는 HTTP 200 OK 승인을 받은 봇마저도 포착해 사후 데이터 침해를 파악할 수 있다고 구글은 설명했다.   


API 공격에 특히 취약한 의료, 금융 산업

구글은 의료와 금융 산업이 API 공격 방식에 특히 취약하다고 이어 설명했다. 예를 들어, 의료 기관이 이용하는 클라우드 프레임워크는 벤더와 보험회사가 상호 연결된 광범위한 API을 기반으로 한다. 따라서 보험 회사에 환자의 정보를 안전하게 공유하고 치료 권장 사항을 자동으로 생성할 수 있다는 이점을 누릴 수 있지만, 환자의 데이터를 탈취하려는 해커들에게 취약점을 열어주게 된다. 

마찬가지로, 금융 서비스 부문은 방대한 양의 민감한 트랜잭션 데이터를 처리한다. 게다가 요즘 급부상하고 있는 오픈뱅킹 표준을 구현하려면 광범위한 API 프레임워크를 구축해야 한다. 이 역시 해커에게 구미가 당길 만한 취약점을 만들어주는 셈이다. 

구글 클라우드 제품 책임자 비카스 아난드는 "디지털 트랜스포메이션이 API 사용량과 트래픽을 증폭시키면서, 이제 API 보안은 비즈니스 리스크를 둘러싼 주요 '[사이버] 전쟁터'가 됐다"라고 말했다.
ciokr@idg.co.kr
 Tags API공격 GCP 구글클라우드플랫폼 구글클라우드 봇트래픽
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.