Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

API

“금융 서비스 기업 노린 API 기반 사이버 공격 급증” 아카마이

콘텐츠 전송 네트워크(CDN) 전문 업체 아카마이가 지난 월요일 발표한 보고서에 따르면, 금융 서비스 산업이 인기 있는 사이버 공격 표적으로 자리 잡고 있다. 금융 산업을 노린 애플리케이션 및 API 공격은 지난 1년 동안 3배 이상 증가했다.    아카마이는 소비자의 앱 기반 서비스 요구가 증가하고 있다는 점을 감안할 때 API는 금융 서비스 기업이 운영을 혁신하는 방법의 핵심이라고 말했다. 여기에 팬데믹은 원격 뱅킹 서비스의 성장을 가속했을 뿐이며, 이에 따라 API 사용도 증가했다고 전했다.  이와 동시에 모든 애플리케이션 그리고 여러 앱 기능 통신 방식의 표준화가 API를 생성하면서 공격자의 잠재적인 타깃 표면이 증가했다고 보고서는 언급했다. 이에 하이테크 기업과 전자상거래 기업을 비롯해 금융 서비스 기업까지 API 익스플로잇을 통한 공격 대상이 됐다.  보고서는 “공격자가 웹 애플리케이션 공격에 성공하면 기밀 데이터를 훔칠 수 있으며, 심지어는 네트워크 초기 접근 권한을 얻고 측면으로 이동할 수 있는 더 많은 자격 증명까지 확보할 수 있다. 도난당한 정보는 다크웹에서 판매되거나 다른 공격에 사용될 수 있다. 이는 금융 서비스가 보유하고 있는 개인식별정보(PII), 계좌 정보 등의 데이터를 고려할 때 매우 우려스럽다”라고 전했다.  이어 사이버 범죄자가 금융 서비스 기업을 넘어 고객 계정도 노리고 있다고 보고서는 밝혔다. 해당 산업에 속한 기업 공격의 80% 이상은 기관이 아닌 고객을 대상으로 피싱 또는 직접 공격이 이뤄졌다는 게 보고서의 설명이다.  아울러 금융 서비스 기업이 쓰는 시스템에서 발견된 제로데이 취약점을 공격자가 빠르게 활용해왔다고 아카마이는 지적했다. 한 가지 예는 올해 아틀라시안의 컨플루언스 서버 및 데이터센터 제품에서 발견된 원격 코드 실행 취약점이다. 해당 결함이 공개된 지 일주일도 지나지 않아 아카마이는 6월 7일 특정 시간 동안 시간당 약 8만 건의 컨플루언스 기반...

아카마이 사이버 공격 API 6일 전

시스코가 소프트웨어 개발 과정에서 API 보안성을 확보한 방법

시간 낭비를 줄일 줄 아는 소프트웨어 개발자는 재사용할 수 있는 마이크로서비스와 그에 부합하는 API를 애플리케이션 구성요소의 기본 재료로 활용한다. 시스코의 개발자 관계/전략/경험 담당 VP 그레이스 프란시스코는 “개발자들은 이미 훌륭한 솔루션이 나와 있는 것을 재구축하는 것보다 직접 제공할 수 있는 부가 가치에 집중하고 싶어 한다. 이런 작업을 쉽게 만드는 API는 그만큼 개발자들이 소비하기 쉽다”라고 말했다.   말 그대로 개발자들은 API를 소비하고 있다. 2020년 슬래시데이터(SlashData) 설문 조사에 따르면, 거의 90%의 개발자들이 API를 어느 정도 사용하는 것으로 나타났다.  혼돈의 API 환경 API를 활용한 소프트웨어 개발 방식은 효율성이 높지만, CISO의 밤잠을 설치게 하는 보안 취약점으로 이어지기도 한다. 상호 의존적인 SaaS, 마이크로서비스, 내외부 API가 도입되면서 기업 입장에서는 이용되는 API를 파악하고 통제하는 것에 더욱 어려움을 겪고 있다. 서로 어지럽게 연결된 클라우드 네이티브 아키텍처는 “이 난장판은 너무 크고 너무 깊고 너무 높다”라고 한 닥터 수스의 말을 연상케 한다. 이런 난장판은 확장되기도 한다. API는 온프레미스 또는 클라우드에 있는 다수의 플랫폼에 걸쳐 자주 분산된다. 클라우드 네이티브 아키텍처는 강력한 보안 경계가 있는 하나의 깔끔한 단위로 몰아넣을 수 없다. 더 심한 문제는 API 자체의 보안 수준이 일정하지 않다는 점이다. 내부 및 외부 API 모두 취약하며, 코드가 취약한 API에 간접적인 의존성을 가지는 경우도 있다. API 취약성이 발생할 수 있는 계층은 클라우드 보안 태세부터 애플리케이션이 구축된 이미지, 클라우드 네이티브 애플리케이션의 구성, 애플리케이션 자체를 구성하는 소프트웨어, 클라우드 네이티브 애플리케이션의 내외부 통신을 가능하게 하는 API 구현에 이르기까지 다양하다. CI/CD 파이프라인을 중심으로 한 오늘날의 애자일 개발 문화에서는 ...

시스코 API 데브섹옵스 2022.11.16

오픈AI, 인공지능 이미지 생성기 달리 API 발표

오픈AI가 AI 기반의 이미지 생성기 달리(DALL-E)의 개발자용 API를 출시한다. 달리 API를 이용하면 API를 이용해 개발자는 자체 애플리케이션에 달리 서비스를 통합할 수 있다. 했다. 달리 서비스는 텍스트 설명을 기반으로 AI가 1024×1024 크기의 이미지를 생성하며, 사용자는 색상 범위나 이미지 스타일 등을 선택할 수 있다.   API를 이용해 달리 서비스를 통합한 애플리케이션이 이미지 설명과 기타 패러미터를 오픈AI의 달리 엔진에 전달하면, 오픈AI가 자사 서버에서 이미지를 생성해 보내주는 방식이다.  하지만 달리 API는 공개 API가 아니다. 달리 API를 이용하려면 오픈AI에 등록해야 하고, 달리 이미지 생성기에 액세스할 수 있는 사설 API 키가 필요하다. 또한 달리 API 사용에 대한 비용도 지불해야 한다. 요금은 이미지 해상도를 기준으로 생성된 각 이미지에 따라 다르다. 현재 달리 서비스의 이용료는 1024×1024 크기 이미지 하나당 2센트이다. 512×512 크기 이미지는 1.8센트, 256×256 크기 이미지는 1.6센트이다. 현대 달리 API를 사용하는 대표적인 곳은 마이크로소프트로, 새로운 마이크로소프트 디자이너(Microsoft Designer) 앱의 비공개 테스트에 사용하고 있다. 대형 스톡 이미지 서비스 업체인 셔터스톡도 최근 달리를 자사 웹 사이트에 통합할 것이라고 발표했다. 오픈AI에 따르면, 이외에도 디자인 앱 CALA, 믹스타일(Mixtiles) 역시 달리 API를 사용한다. 참고로, 달리의 대안으로는 무료 API인 스테이블 디퓨전(Stable Diffusion), 유료 API인 스태빌리티 AI 등이 있다. editor@itworld.co.kr

오픈AI 달리 DALL-E 2022.11.07

한글과컴퓨터-삼성SDS, AI 기반 API·SDK 사업 확장 위한 파트너십 체결

한글과컴퓨터(이하 한컴)가 AI 기술 기반의 API·SDK 사업 확장을 위해 삼성SDS와 손을 잡았다.   이번 협력으로 한컴은 삼성SDS의 자동화 분야 기술파트너로, 역할을 하게되며, 한컴오피스, 한컴싸인, 광학문자인식(OCR), 자연어처리(NLP), KDAN의 PDF 다큐먼트 AI 등 AI를 비롯한 다양한 보유 기술들을 API와 SDK 형태로 삼성SDS에 제공한다. 삼성SDS는 한컴이 제공하는 API·SDK를 자사가 보유한 브리티 RPA(Brity Robotic Process Automation), 오토메이션플랫폼과 같은 업무 자동화 솔루션과 연계해 개발함으로써 고도화에 나선다는 계획이다. 또한, 양사는 삼성SDS의 자동화 분야 고객별 니즈에 알맞은 신규 API를 공동 개발해 공급하고, 삼성SDS의 기존 고객뿐 아니라 해외의 신규 고객을 대상으로 새로운 업무 자동화 서비스 개발 및 사업화도 공동으로 추진한다. 이를 위해 양사는 정기협의체를 구성해 기술 및 정보 공유를 추진하는 등 긴밀하게 협력해나갈 예정이다. 한컴 김연수 대표는 “이번 파트너십은 한컴의 고도화된 SW기술이 RPA분야를 시작으로 다양한 AI, 클라우드 기반 서비스들과 연계해 확장해가는 주요한 계기가 될 것으로 기대한다”며, “앞으로 한컴의 기술들을 API와 SDK로 개방함으로써 다양한 산업 분야의 기업들과의 협력관계를 확대하여 새로운 AI 서비스 케이스를 적극 발굴하겠다”고 밝혔다. 삼성SDS 양재영 상무는 “한컴의 우수한 문서 편집, 비정형 데이터 처리 등 다양한 기술과 연계를 통해 RPA 솔루션의 자동화 범위와 깊이를 더해 고객에게 더 똑똑하고 편리한 업무 자동화 솔루션을 제공하겠다”라고 말했다.  editor@itworld.co.kr

한글과컴퓨터 삼성SDS AI 2022.09.05

“마이크로소프트 365도 옮겼다” 윈도우 앱을 컨테이너로 옮기는 방법

마이크로소프트 플랫폼 상에서 구축 작업을 하는 개발자라면 누구나 알고 있는 오랜 격언은 “어떤 마이크로소프트 제품이 전성기를 맞이할 준비가 되었는지 파악하려면, 그 제품이 마이크로소프트의 주력 애플리케이션이나 서비스에 사용되는지 여부를 보면 알 수 있다”는 것이다.  즉, 올리언스(Orleans) 분산 애플리케이션 프레임워크는 헤일로(Halo)의 대부분을 구동했을 때, 플루이드 프레임워크(Fluid Framework)는 팀즈(Teams) 내에 들어갔을 때 등등이 본격적으로 사용할 때가 되었다는 의미이다. 최근에 승인 도장을 받은 서비스는 애저 쿠버네티스 서비스(Azure Kubernetes Service, AKS) 상의 윈도우 컨테이너다. 마이크로소프트는 코로나19 대유행에 따른 급속한 업무 패턴의 변화를 고려한 확장성 및 유연성 제고를 위해 마이크로소프트 365 플랫폼의 대부분을 AKS로 옮기는 작업에 지난 1년 정도를 보냈다.       마이크로소프트 365, 클라우드 네이티브 컨테이너로 이전 마이크로소프트 365 규모의 서비스를 컨테이너로 옮기는 과정은 복잡했다. 오피스 온라인(Office Online) 단일 테넌트 시스템을 멀티 테넌트 가상화 아키텍처로 옮기는 일은 특히 CI/CD로의 이전을 동반한 경우 충분히 어려웠다. 제일 먼저 이전한 것은 컨테이너로의 이전에 필요한 아키텍처 개선의 많은 부분이었다. 무엇보다도 애플리케이션 VM에서 마이크로소프트 그래프(Microsoft Graph)로 옮기는 것이 중요했다. 그러나 많은 서비스, 특히 테넌트를 구성하는 서비스와 시스템 사이의 네트워킹을 지원하고 가용성을 관리하는 용도의 서비스는 여전히 커스텀 방식이었다.  이 접근법은 일관성 부재로 이어졌다. 애플리케이션 빌드는 특정 플랫폼을 목표로 해야 했다. 그 결과, 아키텍처의 비효율성이 발생했다. 서로 다른 VM을 호스팅하려면 서로 다른 서버 종류가 필요했기 때문이다. 마이크로소프트 365 서비스를 호스팅한 ...

마이크로소프트365 마이그레이션 리팩터링 2022.08.22

“클라우드를 해킹하라” API가 가장 위험한 이유

클라우드 보안이 얼마나 효과적인지를 측정하는 주요 지표 중 하나가 클라우드 보안 연합(CSA)의 클라우드 컴퓨팅 최고 보안 위협(Top Threats to Cloud Computing) 목록일 것이다.  2년마다 한 번씩 발간되는 이 목록의 새 버전이 최근 발표됐는데, 가장 눈에 띄게 성장한 것이 바로 안전하지 않은 인터페이스와 API이다. 2017년 API는 클라우드 보안 위협 목록에 3위로 첫 등장했지만, 2019년에는 7위로 낮아졌다. 올해 목록에서는 2위로 훌쩍 순위가 높아졌다. 급격한 순위 변동의 원인이 무엇인지, 이런 변화 속에서 클라우드를 보호하기 위해 취해야 할 조처는 무엇인지 알아보자.     API의 급부상 우선 API에 대한 의존도가 급격하게 커졌다. 웹 기반 애플리케이션 인프라에서 API 기반 인프라로의 이전이 빠르게 진행됐으며, 이는 웹 트래픽 분석을 통해 확인할 수 있다. 시퀀스 시큐리티(Cequence Security)의 2021년 하반기 트래픽 분석에서 21억 건의 트랜잭션 중 70%는 API를 통해 수행된 것이었다. 이런 변화는 점점 더 가속화되고 있다. 리서치 회사 ESG(Enterprise Strategy Group)는 현재 웹 앱과 웹 사이트의 28%가 API를 사용하고, 2년 내로 비율이 2배 이상 증가할 것으로 전망했다. API는 개발자에게 클라우드 서비스를 구축할 수 있는 편리한 빌딩 블록을 제공하지만, 극히 민감한 데이터에 대한 액세스도 가능해 해커의 주요 공격 대상이 된다. ESG의 조사에서도 응답 기업의 1/4은 잘못 구성된 API에 대한 공격을 경험했으며, 1/5은 계정 탈취 공격을 받은 것으로 나타났다. 마지막으로 특히 우려되는 부분은 이들 기업의 27%만이 공개된 OWASP 문제를 해결하기 위한 조처를 취했다는 것이다. 공격의 파괴력은 상당하다. 공격을 받은 기업의 40%는 서비스 중단을 경험했으며, 고객과 브랜드 평판에 연쇄적인 피해가 발생했다. 부정적인 고객 경험 34%...

API 해커 CSA 2022.07.18

인도, 개방형 디지털 결제 시스템 ‘인디아 스택’ 발표

인도 정부가 자국의 ID 관리 및 디지털 결제 시스템을 개방형 API를 통해 모든 관계국이 이용할 수 있도록 한다고 밝혔다. API의 이름은 Indiastack.global이다.   2010년 디지털 ID 프로젝트 아다르(Aadhaar)로 시작된 인디아 스택(India Stack)은 인도 시민의 생체 정보 데이터베이스와 종이와 현금이 필요없는 서비스 제공을 위한 디지털 툴로 구성된다. 인도 정부는 이들 시스템이 인도와 같이 인구 밀도가 높은 국가에서 서비스를 신속하게 제공하는 데 성공한다면, 다른 국가에서도 같은 혜택을 쉽게 구현할 수 있을 것으로 기대한다. 인디아 스택은 디지털 ID 시스템인 아다르와 UPI(United Payments Interface) 같은 디지털 결제 시스템을 중심으로 하지만, 어떤 요소도 인도 정부의 단일 기구가 보유하거나 유지하지 않는다. 인디아 스택 웹 사이트의 설명에 따르면, “각 구성요소는 서로 다른 정부기관이 보유하고 유지한다. 전자인증이나 eKYC 같은 아다르 제품은 UIDA(Unique ID Authority)가, 전자서명 기술 사양은 정보통신기술부가 맡는다”라고 설명했다. 이번에 공개된 다른 툴로는 디지털 공공 조달 플랫폼 GeM, 백신 접종 관리 플랫폼 Co-WIN, 거버넌스 앱 UMANG, 보안 디지털 문서 플랫폼 디지로커 등이 있다. 디지로커는 전자정보기술부가, UPI는 중앙은행 산하 기관인 NPCI(National Payments Corporation of India)가 맡는다. 계정 통합 프레임워크는 인도 중앙은행 RBI가 규제하며, 기술 표준은 RBI 산하 기술 조직인 ReBIT가 소유권을 갖는다. 이들 툴을 이용하거나 이들 표준을 기반으로 서비스를 구축하고자 하는 국가는 이들 각각의 기관에 연락해 API나 샌드박스, 기타 필요한 요소를 제공받아야 한다. 아니면 디지오(Digio), 카자(Karza) 처럼 API와 샌드박스를 제공하는 중개회사를 통해 액세스할 수도 있다. 이들 API의 개방성...

인도 API 개방형 2022.07.06

유니버셜리얼타임, 올인원 API 관리 플랫폼 ‘앱토모 APIM v5’ 출시

유니버셜리얼타임이 API 관리 플랫폼인 ‘앱토모(AppTomo) APIM v5’를 출시한다고 밝혔다.  앱토모 APIM v5 출시를 시작으로 유니버셜리얼타임은 API 관리에 필요한 핵심 기능을 올인원 형태로 공급한다. 앱토모 APIM v5는 API 게이트웨이, API 엔진, API 포털로 구성된 올인원 플랫폼이다.   유니버셜리얼타임은 각 요소를 단일 아키텍처로 설계해 개발했다. 게이트웨이는 스프링 클라우드 API 게이트웨이를 기반으로 국내 금융 및 엔터프라이즈 요구사항을 반영해 개발한 개방형 표준 솔루션이다.  다음으로 API 엔진은 거래추적, 접근 제어, 체이닝거래 통제, 레거시 현대화 등의 기능을 수행한다. 특히, 레거시 현대화 측면에서 API 엔진은 기간계 시스템을 직접 연동하거나 MCI, EAI, FEP 등을 통해 연동하는 중계 시스템으로 자리잡았다.  그리고 API 포털은 오픈 API 기반 개발 생태계 및 데브옵스 체제 구축을 돕는 포털이다. 이들 솔루션은 유니버셜리얼타임이 참여한 금융권 오픈 API 및 마이데이터 프로젝트들을 통해 검증을 거쳤다. 유니버셜리얼타임은 2016년부터 금융권의 오픈 API 플랫폼 구축 사업에 참여했다. 당시 유니버셜리얼타임은 앱토모 API 엔진을 공급했다. 이후 앱토모 API 포털을 개발해 솔루션 포트폴리오를 확대했고 2021년 API 게이트웨이까지 개발을 마쳤다. 그리고 2022년 API 게이트웨이, 엔진, 포털을 통합한 앱토모 APIM v5를 발표했다.  유니버셜리얼타임은 앱토모 APIM v5 출시와 함께 고객 맞춤형 플랫폼 전략으로 솔루션 개발과 공급 방향을 전환할 계획이다.  유니버셜리얼타임의 박용우 대표는 “앱토모 APIM v5는 단순히 여러 포인트 솔루션을 통합한 것이 아니라 보안, 모니터링, 체이닝거래 통제 및 거래추적, 시스템 연계, 레거시 현대화 같은 금융권과 엔터프라이즈의 요구 사항을 단일 플랫폼으로 구현한 것”이라고 설명했다. 유니버...

유니버셜리얼타임 API 2022.06.29

마이크로소프트, 문자 분류 머신러닝 모델 간소화하는 API 공개

최근 마이크로소프트가 ML.NET 텍스트 클래시피케이션 API(ML.NET Text Classification API)의 프리뷰를 공개했다. 오픈소스 ML.NET 머신러닝 프레임워크를 사용한 사용자 지정 문자 분류 모델의 학습을 간소화하는 API다.    마이크로소프트는 ML.NET 텍스트 클래시피케이션 API가 최신 딥러닝 기술을 사용한다고 말했다. 개발자는 ML.NET로 사용자 지정된 머신러닝 학습 모델을 .NET 앱에 통합할 수 있다. 문자 분류는 레이블이나 범주를 문자에 적용하는 프로세스로, 일반적으로 이메일을 스팸과 스팸이 아닌 것으로 분류하거나 고객 리뷰에서 긍정적/부정적인 감정을 분석하고, 지원 티켓에 레이블을 적용하는 데 사용된다.  ML.NET 텍스트 클래시피케이션 API는 토치샤프(TorchSharp) .NET 라이브러리로 구동된다. 이 라이브러리는 파이토치(PyTorch) 머신러닝 프레임워크를 지원하는 libtorch 라이브러리에 대한 액세스를 제공한다. 토치샤프는 .NET에서 신경망을 기초부터 훈련시키는 저수준 기능을 보유하고 있는데, ML.NET에서는 이런 교육을 더 쉽게 수행할 수 있도록 토시샤프의 일부 복잡성이 추상화됐다.  마이크로소프트는 마이크로소프트 리서치와 협력해 NAS-BERT(Bidirectional Encoder Representations from Transformers)에 토치샤프를 적용했다. NAS-BERT는 신경망 아키텍처 탐색(neural architecture search, NAS)으로 얻은 BERT의 변형이다. 사전 훈련된 버전을 시작으로 텍스트 클래시피케이션 API는 새 모델을 처음부터 구축하는 대신 사용자 데이터로 기존 모델을 미세 조정한다. 텍스트 클래시피케이션 API는 ML.NET 2.0.0 및 0.20.0 프리뷰 버전에 포함됐다. Microsoft.ML 패키지 외에 Microsoft.ML.TorchSharp 및 TorchSharp-cpu(CPU 사용 시),...

머신러닝 파이토치 ML.NET 2022.06.16

API 디자인, 개발, 테스트를 위한 무료 도구 12선

RESTful API의 인기가 높아지자 API를 생성하고 테스트하고 관리하는 도구도 점점 많이 나오고 있다. 이런 도구는 API를 처음 접하는 초보자부터 마감에 시달리는 전문가까지 쉽게 API를 살펴보고 테스트할 수 있게 도와준다.  다음은 API 작업 시 유용한 서비스를 따로 선정한 것이다. 일부는 API를 구성하거나 테스트할 때 쓸 수 있으며, 입문자에게 적합한 서비스도 포함됐다. 전문적인 API 관리 기능을 제공하기 때문에 일단 평가판으로 이용해보고, 필요한 경우 더 높은 수준의 (유료) 서비스로 전환해보자.     아마존 API 게이트웨이(Amazon API Gateway) AWS의 무료 평가판을 이용하면 아마존 API 게이트웨이를 포함해 AWS가 제공하는 대부분 서비스를 무료로 이용할 수 있다. 무료 아마존 API 게이트웨이는 1년 동안 월 최대 100만 번의 API 호출을 처리할 수 있다는 제한이 있지만, 입문자에게는 괜찮은 처리량이다.  아마존 API 게이트웨이를 유료로 이용하면, 트래픽 관리, API 버전 제어 및 모니터링과 같은 메타 도구를 사용해 아마존 EC2, AWS 람다(Lambda) 위에 구축된 애플리케이션을 위한 프론트 엔드 API를 구축할 수 있다. API메트릭스(APImetrics) API메트릭스는 API 모니터링 및 알림 시스템으로, 시각적인 API 제작 도구와 REST 및 SOAP API를 지원한다. 또한 여러 개의 API 호출을 순서대로 실행할 수 있는 워크플로우 시스템, 문제 사항을 파악할 수 있는 대시보드도 함께 제공한다. 무료 상품은 따로 없으며, 14일 체험판을 통해 여러 서비스를 살펴볼 수 있다. 가장 저렴한 상품에선 월 최대 2만 회 호출을 허용하며, 모든 호출 결과는 제한 없이 계속 저장된다. 따라서 데이터 보관을 위해 별도의 비용을 내지 않아도 된다는 장점이 있다. 어써터블(Assertible) 어써터블은 실제 서비스에 배치된 API를 모니터링 하기 위한 테스트나 어써...

API 과부하 테스트 2022.06.14

“잘못 구성된 구글 클라우드 API, 공격 벡터 될 수 있어” 미티가 경고

5일 클라우드 보안 업체 미티가(Mitiga)가 GCP(Google Cloud Platform) 내에서 보안에 위협이 될 수 있는 이상한 동작을 일부 발견했다. 미티가는 GCP를 올바르게 구성하지 않을 경우 공격자가 이런 동작을 악용해 사용자의 클라우드 환경에서 악의적인 활동을 벌일 수 있다고 경고했다.   문제가 되는 동작은 구글 클라우드가 사용하는 API 중 하나와 연결된다. 해당 API를 통해 사용자는 직렬 포트에서 데이터를 검색하고 클라우드에서 가상머신을 생성해 데이터를 포트에 지속적으로 쓰는 작업을 할 수 있다. 하지만 구글 클라우드가 이런 트래픽을 분류하는 방식 때문에 관리자에게는 충분한 가시성이 제공되지 않는다. 공격자가 이런 동작을 악용할 경우 포트에 대한 지속적인 호출로 인해 악의적인 활동임이 드러날 수 있지만, API의 세부 사항에 익숙하지 않은 개발자는 이를 놓칠 수 있다.    미티가 "공격자, C&C 권한 얻을 수 있다" 미티가는 구글 클라우드 실행 중 메타데이터를 수정하는 방법에서도 이상한 점을 발견했다. 다른 클라우드 제공업체도 사용자에게 메타데이터 수정 권한을 제공하지만, 가상머신을 종료한 이후에만 수정할 수 있다. 하지만 구글 가상머신에서는 사용자 지정 값으로 메타데이터 태그를 설정하면, 메타데이터 서버가 기본적으로 해당 값을 읽는다. 미티가는 직렬 포트 읽기 기능과 함께 이를 악용할 경우 공격자에게 C&C 기능을 제공할 수 있는 전체 피드백 루프가 생성된다고 말했다. 또한 미티가는 악성코드가 API를 사용해 시스템에 대한 전체 관리자 권한을 얻는 방법도 설명했다. VM이 시작될 때 사용자 데이터를 사용하도록 가상머신을 구성하는 명령을 사용해 공격자는 가상머신 실행 중 스크립트를 로드하고 시스템을 제어할 수 있다. 구체적으로 미티가는 이번 조사 결과를 바탕으로 다음과 같은 공격 시나리오가 전개될 수 있다고 설명했다.   하나 이상의 VM에서 setMet...

구글클라우드 GCP API 2022.05.06

API, 통합, 마이크로서비스를 통해 혁신을 이끌어내는 방법

소비자 기대 수준이 급격히 변화하여 더 밀접하게 연결된 디지털 세계를 최소한의 기본 전제로 요구하고 있습니다. 디지털로의 전환은 단순한 성장 전략이 아니라 생존 전략입니다. 그리고 생존을 위해서는 혁신을 실현할 방법을 찾아야만 합니다.  혁신을 이끄는 데 있어 핵심은 꼭 맞는 툴과 아키텍처를 활용한 비즈니스의 디지털 전환입니다. 기존 시스템의 전면적인 개보수 및 재구축 작업없이도 연결성과 민첩성을 높일 수 있어야 합니다. 직원을 재교육하거나 새로 채용할 필요도 없어야 합니다. 이와 같은 전환은 기업이 완벽히 통합되고 연결되어야 가능합니다. 그리고 그 연결은 API, 통합, 마이크로서비스를 바탕으로 성립됩니다. 이 가이드에서는 혁신을 이끌어내고 기업의 IT 기능을 현대화하기 위해 필요한 것은 무엇인지 짚어 보겠습니다. 이 모든 요소를 충족하는 최신화된 플랫폼을 찾고 계신다면, 발빠르게 움직이는 글로벌 기업들이 이미 활용하고 있는 Software AG의 webMethods를 추천합니다. 주요 내용 - API를 체계적으로 관리하세요 - 마이크로서비스가 미래입니다 - 통합솔루션과 함께 진정한 IoT 서비스를 시작하세요 - DevOps not DevOops! - 커넥터를 활용해 연결성을 향상하세요

API 마이크로서비스 통합 2022.03.29

2021년 연간 API & 통합 보고서 - API, 통합, 마이크로서비스 관련 통계

2021년 연간 API & 통합 보고서는 950명의 IT 분야 의사결정권자를 대상으로 한 설문조사 결과를 분석한 것입니다. 해당 보고서에 따르면, 약 99%의 기업들이 이미 통합 시스템을 사용하고 있으며, 그 중 온프레미스와 클라우드를 아우르는 하이브리드 통합 시스템을 사용하는 경우가 가장 많은 것으로 나타났습니다. 이처럼, 통합에 대한 수요는 끊임없이 증가하고 있으며 기업은 더욱 고도화된 솔루션 채택을 위해 박차를 가하고 있습니다. API, 통합 및 마이크로서비스 시스템을 각각 별개의 기술적 도구로 인식하는 관점은 더 이상 유효하지 않으며, 기업의 미래는 세가지 니즈를 한 번에 충족하는 번들 솔루션에 있습니다.   이 보고서를 통해 API, 통합 및 마이크로서비스에 관한 기업들의 인식과 도입 현황을 파악할 수 있으며, 해당 기술 도입에 따라 기업들이 얻은 이점과 이와 반대로 그들이 주로 겪고 있는 도전과제 등을 확인하실 수 있습니다. <33p> 주요 내용 - IT 선도 기업은 API 도입을 기업 운영의 핵심으로 인식 - 통합 시스템 : 하이브리드가 미래 - 어느새 주류로 자리잡은 마이크로서비스 - 번들 솔루션 : 더 빠른 혁신을 위한 기회

API 마이크로서비스 통합 2022.03.29

드롭위저드 REST API 프레임워크, 예제로 간단히 시작해보기

드롭위저드(Dropwizard)는 여러 자바 패키지를 하나로 묶는 REST 지향 프레임워크다. 스프링(Spring), 그리고 스프링의 웹MVC 패키지의 대안으로, 더 매끄러운 경험을 제공한다. 스프링보다 더 많은 규칙 구성을 채택하며 REST API 제공 무관한 API 표면의 대부분을 없앤다는 점이 특징이다.     새로운 드롭위저드 프로젝트 시작하기 공식 드롭위저드 메이븐(Maven) 아키타입을 통해 새 프로젝트를 설계하는 것부터 시작한다. 로컬 시스템의 원하는 위치에서 명령줄을 열고 예시 1의 명령을 입력한다. 예시 1. 아키타입 실행 mvn archetype:generate -DarchetypeGroupId=io.dropwizard.archetypes -DarchetypeArtifactId=java-simple -DarchetypeVersion=2.0.0 이 명령어는 인터랙티브 모드로 실행된다. 여기서는 com.infoworld의 그룹 ID와 Demo의 아티팩트 ID를 사용했다. 또한 이름으로 Demo를 사용했다.   아키타입 배포가 완료되면 cd 명령어로 디렉터리로 이동한다(여기서는 cd Demo). 이제 mvn clean package를 사용해서 종속 항목을 설치한다. 다음과 같이 앱을 실행할 수 있다. java -jar target/Demo-1.0-SNAPSHOT.jar server  (앱 이름이 Demo가 아닌 경우 자신이 지정한 이름을 사용해야 한다.)   지금 localhost:8080을 방문하면 기본 JSON 형식의 “not found” 오류가 표시된다.   {"code":404,"message":"HTTP 404 Not Found"}   엔드포인트 매핑 엔드포인트가 매핑되지 않았으므로 지금까지 앱은 404만 반환한다. 드롭위저드에서 이 부분을 수행하는 방법을 명확히 이해하는 것이 좋다. 간단한 문자열 엔드포인트를 매핑함으로써 이 프로세스를 격리한다.  &nb...

REST API JAVA 2021.12.27

글로벌 칼럼 | API, 네트워크 업체 종속의 숨은 위협

대부분 기업은 네트워크의 업체 종속을 우려한다. 기업에 종속 회피 방법을 물으면, ‘표준 인터페이스’ 또는 ‘오픈소스’라고 답한다. 오늘날까지도 종속 회피 조치에 ‘API 관리’를 포함한 기업의 수는 많지 않다. 하지만 API는 현재 가장 빠른 속도로 성장하는 종속 문제이며, 앞으로 중대한 문제가 될 것임이 확실하다.    API는 ‘애플리케이션 프로그래밍 인터페이스(application programing interface)’를 의미한다. 오늘날에는 의미가 확장돼 애플리케이션뿐만 아니라 클라우드, 네트워크에 사용하는 모든 소프트웨어 컴포넌트의 인터페이스를 가리킨다. API는 소프트웨어 조각이 서로 통신할 수 있게 해준다. 따라서 하드웨어 장치가 연결된 환경보다는 소프트웨어 컴포넌트가 연결된 환경에서 필수적이다. 표준 인터페이스만큼이나 중요한 것이다. 하지만 이렇게 중요한 API의 흐름을 추적하는 기업은 극히 드물다.  네트워크 장비에는 4개의 소프트웨어 계층이 있다. 최하단에는 이더넷 인터페이스 칩을 소프트웨어와 연결하는 드라이버가 있다. 그 위에는 일반적인 호스팅 기능을 제공하는 NOS(Network Operating System)가 있고, 그 위에는 특수한 네트워크 기능을 처리하는 ‘미들웨어’가 있다. 최상부에는 통합 커뮤니케이션이나 서비스 거부 공격 완화 등 관리 및 서비스 기능을 하는 네트워크 의존 애플리케이션이 있다. 이들 계층은 API를 다른 계층으로 노출한다.  우리는 이더넷과 광 네트워크, 무선 네트워크까지 다양한 하드웨어 인터페이스에 익숙하다. 또 이더넷 커넥터를 광 네트워크 포트에 연결할 수 없다는 것과 입력 선을 출력 단자와 연결하면 안 된다는 것을 잘 안다. 하지만 API는 물리적 커넥터가 없다.  소프트웨어에서 발생하는 API 문제 API는 메시지 교환 규격이다. 메시지 포맷, 데이터 구조, 요청/응답 동기화 등 모든 측면이 API 규격 내에 설정되어 있고, 전체 ...

네트워크 업체종속성 API 2021.12.09

IDG 블로그 | 컨테이너로 추상화된 네이티브 서비스가 공통 서비스가 되는 이유

퍼블릭 클라우드 서비스 업체 네이티브 서비스의 첨단 기능은 확실한 이점을 제공한다. 대부분 기업은 이제 새로운 애플리케이션을 개발할 때 클라우드 네이티브 패턴을 이용하며, 기존 애플리케이션을 마이그레이션할 때도 이 패턴을 점점 더 많이 활용하고 있다. 하지만 한편으로는 특정 클라우드 서비스 업체에 종속되는 것을 최소화하고자 한다. 사실 특정 클라우드 서비스 업체의 네이티브 서비스를 이용하면, 해당 서비스는 다른 클라우드로 옮기지 못한다.   컨테이너가 메가트렌드가 된 이유는 바로 여기에 있다.  IT 부서는 보통 컨테이너는 괜찮은 아이디어로 고려한다. 모두가 사용하고 있으며, 개발 생태계를 만들어 낸 주류의 흐름을 따르는 이점이 있기 때문이다. 또한 컨테이너는 쿠버네티스 같은 클러스터 관리자와 오케스트레이션 서비스를 이용해 확장할 수 있다. 그리고 마지막으로 컨테이너는 애플리케이션을 기반이 되는 네이티브 서비스로부터 추상화하는 괜찮은 방법이기 때문이다. 애플리케이션을 이 클라우드에서 저 클라우드로 이식하기 쉬워진다. 또한 컨테이너는 애플리케이션을 추상화하지 않을 때보다 특정 퍼블릭 클라우드의 특징이나 기능을 덜 생각해도 된다. 그렇다면, 컨테이너는 단점이 없을까? 컨테이너 자체와 컨테이너 생태계의 모든 좋은 점은 여러 퍼블릭 클라우드에 걸쳐 동작하는 공통 플랫폼으로 자리잡고 있다. 오늘날의 개발자와 애플리케이션 아키텍트는 더 이상 스토리지와 컴퓨팅 서비스를 특정 클라우드 서비스 업체의 조건에 맞춰 생각하지 않는다. 보통은 스토리지와 컴퓨팅 서비스를 추상화된 개념으로 생각한다. 이 개념은 컨테이너를 사용하는 특정 네이티브 서비스로 해석될 수 있으며, 이들 자원을 공통 서비스라고 부르고 여러 클라우드에 걸쳐 동일한 것으로 취급한다. 애플리케이션과 개발자에게 네이티브 서비스는 이제 퍼블릭 클라우드 플랫폼과는 독립적으로 운영되는 공통 서비스이다. 퍼블릭 클라우드 서비스 업체가 제안하는 구체적인 가치는 성능 문제나 서비스 장애가 발생하지 ...

네이티브서비스 컨테이너 추상화 2021.11.15

유무료 API 보안 테스트 도구 10선

API(Application Programming Interfaces)는 대부분의 현대적인 프로그램과 애플리케이션에서 핵심적인 요소다. 클라우드 환경과 모바일 애플리케이션 모두 이제 API에 대한 의존도가 높아져, 구성요소를 관리하는 API의 개입은 필수적이다. 많은 대기업, 특히 대형 온라인 기업의 인프라에는 수천 개의 API가 내장돼 있다. API는 앞으로도 계속 증가할 수밖에 없다.   API의 특징은 많은 API가 아주 소량의 코드로 구성되며, 네트워크 리소스 요구사항 측면에서 두드러지지 않도록 작게 설계된다는 점이다. 이와 동시에 API는 유연하고, 상호작용하거나 제어하는 프로그램이 패치 등으로 변경되는 경우에도 계속 동작하면서 맡은 역할을 수행할 수 있다. API는 이렇게 유용하지만 나름의 문제점도 있다. 한 가지 기능을 반복 실행하는 것부터 다양한 프로그램이나 플랫폼의 여러 측면을 현명하게 제어하는 것까지, API는 설계하기에 따라 거의 모든 일이 가능하다. 따라서 API 생성을 관리하는 표준이 사실상 없다. 대부분의 API가 고유하며, 많은 기업은 필요에 따라 무심코 새로운 API를 만든다. 보안 팀에는 API가 악몽이 될 수 있다. 공격자에 있어 API가 과도한 권한이 부여된 경우가 많다는 점이 매력적인 부분이다. 몇 가지 소수의 기능만 수행하는 API도 관리자에 준하는 특권을 가진 경우가 많다. 크기도 작은 API가 큰 피해를 끼칠 일은 없다고 무심히 생각하는 탓이다. 공격자는 API를 해킹한 다음 그 자격 증명을 데이터 유출이나 더 깊은 네트워크 침투와 같은 용도로 사용한다. 아카마이(Akamai)의 보안 연구에 따르면, 자격 증명 공격의 약 75%가 취약한 API를 겨냥했다.  문제는 갈수록 악화되고 있다. 가트너에 따르면, 2022년에는 API와 관련된 취약점이 모든 사이버보안 범주에 걸쳐 가장 빈번한 공격 벡터가 될 전망이다. 해답은 API 테스트 도구 핵심적인 네트워킹 및 프로그램 구성요소를 공격자들이 항...

API API보안 APIsec 2021.09.29

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.