API를 통해 수행된 트랜잭션의 비율
70
%
자료 제목 :
API 보안 위협 보고서
API SECURITY THREAT REPORT
자료 출처 :
Cequence Security
원본자료 다운로드
발행 날짜 :
2022년 07월 18일
보안 / 클라우드

“클라우드를 해킹하라” API가 가장 위험한 이유

Jason Kent | IDG Connect 2022.07.18
클라우드 보안이 얼마나 효과적인지를 측정하는 주요 지표 중 하나가 클라우드 보안 연합(CSA)의 클라우드 컴퓨팅 최고 보안 위협(Top Threats to Cloud Computing) 목록일 것이다. 

2년마다 한 번씩 발간되는 이 목록의 새 버전이 최근 발표됐는데, 가장 눈에 띄게 성장한 것이 바로 안전하지 않은 인터페이스와 API이다. 2017년 API는 클라우드 보안 위협 목록에 3위로 첫 등장했지만, 2019년에는 7위로 낮아졌다. 올해 목록에서는 2위로 훌쩍 순위가 높아졌다. 급격한 순위 변동의 원인이 무엇인지, 이런 변화 속에서 클라우드를 보호하기 위해 취해야 할 조처는 무엇인지 알아보자.
 
ⓒ Getty Images Bank
 

API의 급부상

우선 API에 대한 의존도가 급격하게 커졌다. 웹 기반 애플리케이션 인프라에서 API 기반 인프라로의 이전이 빠르게 진행됐으며, 이는 웹 트래픽 분석을 통해 확인할 수 있다. 시퀀스 시큐리티(Cequence Security)의 2021년 하반기 트래픽 분석에서 21억 건의 트랜잭션 중 70%는 API를 통해 수행된 것이었다. 이런 변화는 점점 더 가속화되고 있다. 리서치 회사 ESG(Enterprise Strategy Group)는 현재 웹 앱과 웹 사이트의 28%가 API를 사용하고, 2년 내로 비율이 2배 이상 증가할 것으로 전망했다.

API는 개발자에게 클라우드 서비스를 구축할 수 있는 편리한 빌딩 블록을 제공하지만, 극히 민감한 데이터에 대한 액세스도 가능해 해커의 주요 공격 대상이 된다. ESG의 조사에서도 응답 기업의 1/4은 잘못 구성된 API에 대한 공격을 경험했으며, 1/5은 계정 탈취 공격을 받은 것으로 나타났다. 마지막으로 특히 우려되는 부분은 이들 기업의 27%만이 공개된 OWASP 문제를 해결하기 위한 조처를 취했다는 것이다.

공격의 파괴력은 상당하다. 공격을 받은 기업의 40%는 서비스 중단을 경험했으며, 고객과 브랜드 평판에 연쇄적인 피해가 발생했다. 부정적인 고객 경험 34%, 주주 가치 하락 34%, 매출 손실도 26%의 기업이 경험했다. 내부적인 파급효과도 있어서 41%의 기업은 직원이 악영향을 받고 38%는 추가 보안 제품이나 서비스를 배치해야 했다.
 

공격 툴과 기법

API가 CSA 목록의 상위에 있는 이유는 여기에 있다. API는 보호하기 매우 까다롭기 때문이다. 공격자는 다른 취약점이나 악용 기법을 이용하기 보다는 API가 동작하는 방식을 악용한다. 이른바 리빙 오프 더 랜드(Living off the Land, LotL) 공격이다. 이 공격에는 서명이나 규칙을 위반하는 행위가 없기 때문에 전통적인 보안 솔루션이 이런 활동을 탐지하기가 매우 어렵다. 하지만 많은 기업이 여전히 IPS나 WAF 같은 차세대 방화벽, 애플리케이션 보안 툴 등에 의존하는데, 이들 중 어떤 솔루션도 API가 남용되고 있다는 것을 보여주는 변칙적인 행위를 잡아내지 못한다.

더욱 우려되는 것은 많은 기업이 이런 사실을 인지하지 못하고 기존 툴이 API 보안도 맡고 있다고 생각한다는 점이다. 문제의 핵심에 있는 것은 바로 이런 불일치로, 이 때문에 API는 가장 드러나는 위협 대상이 되고 있다. API 보안이 중요하다는 것을 알고 있는 기업도 많다. 클라우드 마이그레이션 원격 근무 환경 보호, 위협 탐지를 통해 드러나기 때문이다. 하지만 기존 보안 툴에 대한 잘못된 믿음 때문에 여전히 공격에 취약한 상태이다.
 

통합된 접근법

그렇다면 API 보안 문제를 더 효과적으로 해결하기 위해서는 어떤 조처를 해야 할까? 무엇보다도 먼저 API 보안은 API의 전체 라이프사이클을 보호하는 것이라는 인식이 중요하다. 이를 위해서는 전략적인 접근이 필요한데, 보안이 API 관련 개발 단계부터 배치, 그리고 제거까지 전 과정에 내장되어야 한다. 예를 들어, 시프트 레프트 접근법을 도입해 개발 단계부터 코딩 오류의 위험을 줄여야 한다.

API를 탐지하기 위한 디스커버리는 지속적으로 수행되어야 하며, 발견된 API를 잊어버리고 방치하지 않도록 해야 한다. 또한 보안팀이 공개적으로 노출된 API와 자원에 대한 공격자의 관점을 얻을 수 있는 기회도 제공한다. 발견한 API는 인벤토리로 지속적으로 추적해야 하며, 올바르게 구성하고 업데이트해야 한다.

모니터링은 애플리케이션 보안 솔루션과 관련된 서명이나 규칙 기반 프로세스에서 벗어나 행위 기반의 프로세스에 중점을 둬야 한다. 이런 접근이 의심스럽거나 악의적인 활동을 찾아내는 데 더 효과적이며, 성능이나 API 적용을 방해하지 않고도 API에 대한 위험한 변경을 탐지할 수 있다.

마지막으로 API 보안에는 적극적인 방어가 포함되어야 한다. API는 자동화된 공격의 대상이 되기 쉬운데, 이런 공격은 스텔스 기법을 사용해 공격을 은폐한다. 공격이 무력화되고 실패하고 공격에 지치면 아무리 집요한 공격자라도 공격을 그만 둘 가능성이 커진다. 

이 모든 요소를 통합적으로 적용하면, API와 클라우드 환경의 특성에 맞는 포괄적이고 통일된 API 보안을 구현할 수 있다. API 도입이 계속 증가하면서 적절한 툴과 기술을 사용해 API 보안 문제 해결에 착수해야 할 시점이다. 그렇지 않으면, 2년 후에는 API 보안이 CSA 위협 목록의 1위에 올라있을 것이다. 

*Jason Kent는 시퀀스 시큐리티의 HIR(Hacker in Residence)이다. 
editor@itworld.co.kr
 Tags API 해커 CSA

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.