Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
개발자 / 보안

시스코가 소프트웨어 개발 과정에서 API 보안성을 확보한 방법

Poornima Apte | CSO 2022.11.16
시간 낭비를 줄일 줄 아는 소프트웨어 개발자는 재사용할 수 있는 마이크로서비스와 그에 부합하는 API를 애플리케이션 구성요소의 기본 재료로 활용한다. 시스코의 개발자 관계/전략/경험 담당 VP 그레이스 프란시스코는 “개발자들은 이미 훌륭한 솔루션이 나와 있는 것을 재구축하는 것보다 직접 제공할 수 있는 부가 가치에 집중하고 싶어 한다. 이런 작업을 쉽게 만드는 API는 그만큼 개발자들이 소비하기 쉽다”라고 말했다.
 
ⓒ Getty Images Bank

말 그대로 개발자들은 API를 소비하고 있다. 2020년 슬래시데이터(SlashData) 설문 조사에 따르면, 거의 90%의 개발자들이 API를 어느 정도 사용하는 것으로 나타났다. 


혼돈의 API 환경

API를 활용한 소프트웨어 개발 방식은 효율성이 높지만, CISO의 밤잠을 설치게 하는 보안 취약점으로 이어지기도 한다. 상호 의존적인 SaaS, 마이크로서비스, 내외부 API가 도입되면서 기업 입장에서는 이용되는 API를 파악하고 통제하는 것에 더욱 어려움을 겪고 있다. 서로 어지럽게 연결된 클라우드 네이티브 아키텍처는 “이 난장판은 너무 크고 너무 깊고 너무 높다”라고 한 닥터 수스의 말을 연상케 한다.

이런 난장판은 확장되기도 한다. API는 온프레미스 또는 클라우드에 있는 다수의 플랫폼에 걸쳐 자주 분산된다. 클라우드 네이티브 아키텍처는 강력한 보안 경계가 있는 하나의 깔끔한 단위로 몰아넣을 수 없다.

더 심한 문제는 API 자체의 보안 수준이 일정하지 않다는 점이다. 내부 및 외부 API 모두 취약하며, 코드가 취약한 API에 간접적인 의존성을 가지는 경우도 있다. API 취약성이 발생할 수 있는 계층은 클라우드 보안 태세부터 애플리케이션이 구축된 이미지, 클라우드 네이티브 애플리케이션의 구성, 애플리케이션 자체를 구성하는 소프트웨어, 클라우드 네이티브 애플리케이션의 내외부 통신을 가능하게 하는 API 구현에 이르기까지 다양하다.

CI/CD 파이프라인을 중심으로 한 오늘날의 애자일 개발 문화에서는 애플리케이션을 짧은 주기로 제공하므로 복잡한 보안 문제가 많아질 수 있다. 2주짜리 스프린트 프로젝트는 이제 익숙하다. 프란시스코는 “구축 및 배포 속도가 워낙 빠르기 때문에 실제로 실행 중인 실시간 프로덕션 상태에 들어가기 전까지 미처 잡아내거나 파악하지 못하는 것들이 있다”라고 지적했다. 보안에 관련된 것이라면 아예 안 하는 것보다는 늦게라도 하는 편이 나을 수 있지만, 보안 작업을 개발 주기의 마지막으로 미루면 시간과 노력이 낭비된다.
 
 
시스코의 개발자 관계/전략/경험 담당 VP 그레이스 프란시스코 ⓒ Cicso
개발자들은 API 생애주기를 관리할 때 API 게이트웨이를 사용해 접근과 접근권한을 제어한다. 게이트웨이는 서비스를 사용해 누가 들어오고 나갔는지도 통제할 수 있다. 프란시스코는 게이트웨이가 어느 정도 보안을 제공하지만, “여전히 틈이 생길 수 있다”라고 지적했다.

끊임없이 사이버 공격 위협을 받는 기업은 출처에 상관없이 그들이 제공하는 코드 전체로 인해 위태로울 때가 많다. API로 인한 혼란에 대처할 여유가 없을 수 있다.

API가 자유롭게 배포되고 그에 따라 잠재적인 공격 벡터 수가 늘어나면서 API의 보안 구성요소에 대한 미시적 관찰과 분석이 늘고 있다. 캡제미니(Capgemini)의 미주 본부 클라우드 및 커스텀 애플리케이션 담당 MDA(Managing Delivery Architect) 론 위티는 “최신 소프트웨어 개발 과정에서는 API의 구축 방식과 배포 방식 등 API에 대한 압박이 훨씬 많다. 이제는 코드 품질 검사, 보안 검사, 인라인 테스트에 대한 기대도 있으며, 그 결과 파이프라인이 더 복잡해진다”라고 말했다.


시스코의 API 보안 솔루션

API 환경의 복잡성을 해결하고 안전성을 높이기 위해 시스코는 보안을 소프트웨어 개발 과정 초기에 통합하는 ‘시프트 레프트(shift-left)’ 전략을 채택했다. 프란시스코는 “시프트 레프트 보안의 핵심은 개발자가 코드를 강화하고 사이버 공격 위협을 줄일 수 있도록 보안을 개발자 일상 업무의 최우선 순위로 삼는 것이다”라고 설명했다.

2022년 CSO50 상을 수상한 시스코의 ‘API를 위한 API(APf-for-an-API)’ 솔루션은 보안을 기업 API 서비스의 엔드투엔드 주기와 접목한다. 코드 개발부터 배포를 지원하고 애플리케이션이 프로덕션 단계에 있는 동안 API의 보안 태세를 실시간으로 추적하며, API 게이트웨이와 통합한다. 시스코의 보안 정책을 기반으로 API 인터페이스를 테스트한다.

엔드투엔드 솔루션은 개발자와 데브섹옵스(DevSecOps) 전문가 모두를 위한 것이다. 프란시스코는 “문화적 관점에서 볼 때 사용하는 말이 다르고 서로 다른 데이터 지점을 바라보는 집단이므로 둘 사이의 사일로를 허물려면 아직 할 일이 많다”라고 설명했다.

보안에 집중한 여러 도구 가운데 ‘API를 위한 API’ 솔루션의 최대 이점은 개발자가 빠르고 효율적으로 인사이트를 얻도록 하나의 제어 인프라로 모든 도구를 관리하는 데 있다. 프란시스코는 도구를 통해 워크플로우 내내 가시성이 향상되므로 개발자 및 데브섹옵스 전문가가 주도적으로 일할 수 있다는 일하는 점과 일하는 환경에서 벗어나지 않고 도구를 사용할 수 있다는 점도 중요하다고 덧붙였다. 도구는 통합 개발 환경(IDE)과 접목되므로 개발자들은 굳이 IDE를 벗어나지 않아도 도구에 접근할 수 있다.  

시스코는 단일 툴셋을 통해 개발자, 섹옵스, 경영진에게 보안에 대한 인사이트를 제공하는 동시에 애플리케이션을 안전하고 다시 프로덕션할 수 있는 방식으로 배포할 수 있다.


시스코 솔루션의 구성요소

개발자를 위해 IDE 내부에서는 오픈소스 도구 API 인사이트(API Insights)가 브라우저 기반 뷰를 제공한다. 개발자가 코딩을 하면서 CI/CD 파이프라인을 따라 나아가는 과정에서 도움을 준다. 미리 설정된 위험 표준을 준수하면서 API 품질을 추적한다. 

시스코는 전 세계적으로 서드파티 API에 대한 인사이트와 이들 API가 야기하는 잠재적 보안 위협을 수집하기 위해 팬옵티카(Panoptica) 클라우드 네이티브 애플리케이션 보안 플랫폼을 선택했다. 이 플랫폼은 스테이징, 테스트, 프로덕션 단계로 코드가 배포되는 과정에서 실시간 추적 및 프로덕션 수준 인사이트를 제공해 개발자들이 사용하는 서드파티 API의 잠재적인 문제를 부각시킨다. 프란시스코는 “팬옵티카의 보안 플랫폼은 위협을 잡아내기 위해, 애플리케이션이 실행되는 동안 좀비 API와 같은 API에 대한 인사이트와 데이터를 수집한다”라고 설명했다. 팬옵티카는 오픈소스 도구 API클래리티(APIClarity)의 기능도 재구현한다.

캡제미니의 위티는 “적절한 거버넌스 시행 도구를 파이프라인에 갖추는 것이 중요하다”라며, 개발 및 프로덕션 관점에서 보안의 중요성을 다시 한번 강조했다.


API 보안성 확보의 과제

프란시스코는 ‘API를 위한 API’ 솔루션 구현 시 가장 큰 과제는 “개발, 보안, 운영 등 다양한 배경과 전문 기술을 가진 사람으로 구성된 팀을 규합해 API 보안 중심의 엔드투엔드 애플리케이션 제공 플랫폼을 공동으로 구축하는 것”이었다고 말했다. 시스코는 엔지니어링, 기술, 인큐베이션, 고객 서비스, 데브섹옵스 등 여러 분야의 팀을 합쳤다.

프란시스코는 “팀 구성원 간 대화를 이어줄 기회를 모색하고 다양한 팀들과 훨씬 더 긴밀하게 협력하라. 각 팀을 따로 다루면 안 된다. 각자의 과제에 대해 이야기하고 공통의 어휘에 도달하라. 언어도 문제의 일부이기 때문이다”라고 조언했다.

위티도 동의했다. “보안은 모든 사람의 문제여야 하며, 문제는 미리 시작된다. 보안을 목적으로 개발해야 한다. 모든 개발자와 아키텍트는 기밀성, 무결성, 책임성의 관점에서 프로세스를 바라봐야 한다고 덧붙였다.

보안을 처음부터 프로세스에 통합하고 모든 도구를 중앙 시스템에 몰아넣으면 팀 전원이 합심할 수 있다. 시스코가 알게 된 것처럼, 사이버 공격자들이 하루가 멀다 하고 더욱 똑똑해지는 와중에도 이런 투명성은 강력한 보안의 핵심 요소다.
editor@itworld.co.kr
 Tags 시스코 API 데브섹옵스 CSO50어워드
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.