Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

API보안

유무료 API 보안 테스트 도구 10선

API(Application Programming Interfaces)는 대부분의 현대적인 프로그램과 애플리케이션에서 핵심적인 요소다. 클라우드 환경과 모바일 애플리케이션 모두 이제 API에 대한 의존도가 높아져, 구성요소를 관리하는 API의 개입은 필수적이다. 많은 대기업, 특히 대형 온라인 기업의 인프라에는 수천 개의 API가 내장돼 있다. API는 앞으로도 계속 증가할 수밖에 없다.   API의 특징은 많은 API가 아주 소량의 코드로 구성되며, 네트워크 리소스 요구사항 측면에서 두드러지지 않도록 작게 설계된다는 점이다. 이와 동시에 API는 유연하고, 상호작용하거나 제어하는 프로그램이 패치 등으로 변경되는 경우에도 계속 동작하면서 맡은 역할을 수행할 수 있다. API는 이렇게 유용하지만 나름의 문제점도 있다. 한 가지 기능을 반복 실행하는 것부터 다양한 프로그램이나 플랫폼의 여러 측면을 현명하게 제어하는 것까지, API는 설계하기에 따라 거의 모든 일이 가능하다. 따라서 API 생성을 관리하는 표준이 사실상 없다. 대부분의 API가 고유하며, 많은 기업은 필요에 따라 무심코 새로운 API를 만든다. 보안 팀에는 API가 악몽이 될 수 있다. 공격자에 있어 API가 과도한 권한이 부여된 경우가 많다는 점이 매력적인 부분이다. 몇 가지 소수의 기능만 수행하는 API도 관리자에 준하는 특권을 가진 경우가 많다. 크기도 작은 API가 큰 피해를 끼칠 일은 없다고 무심히 생각하는 탓이다. 공격자는 API를 해킹한 다음 그 자격 증명을 데이터 유출이나 더 깊은 네트워크 침투와 같은 용도로 사용한다. 아카마이(Akamai)의 보안 연구에 따르면, 자격 증명 공격의 약 75%가 취약한 API를 겨냥했다.  문제는 갈수록 악화되고 있다. 가트너에 따르면, 2022년에는 API와 관련된 취약점이 모든 사이버보안 범주에 걸쳐 가장 빈번한 공격 벡터가 될 전망이다. 해답은 API 테스트 도구 핵심적인 네트워킹 및 프로그램 구성요소를 공격자들이 항...

API API보안 APIsec 2021.09.29

"봇넷의 API 공격에 대비하라" 대부분 기업이 대비하지 못한 이유

기업들이 애플리케이션을 클라우드로 이전하면서 API(Application Programming Interfaces)를 통해 제반 컴퓨팅 기능이 노출되고 범죄자는 새롭게 노출된 공격 표면을 신속히 악용했다. 공격자는 봇넷을 이용해 공격 범위와 효율을 극적으로 증가시킬 수 있다. 새로운 기술이 나올 때마다 그랬듯이 보안은 뒤쳐져있다.    경영컨설팅 업체인 에이릿(AArete)의 기술 사업부 총괄인 존 캐리는 "기업은 보안 비용을 전략적으로 사용해야 한다"며, "안티-봇(anti-bot) 기술에 대한 투자는 기업에게 익숙하지 않은 것이 보통이다. 도구와 스킬의 수요가 높고 갈수록 비싸지고 있다. 마찬가지로 위협 지형도 확장되고 있다. 수익성이 높은 범죄 분야이기 때문이다”라고 설명했다.   악화되는 봇넷 API 공격   올해 초 보안업체인 라드웨어(Radware)와 오스터만 리서치(Osterman Research)가 발행한 보고서에 따르면, 98%의 기업이 2020년 자사 애플리케이션에 대한 공격을 경험했고, 82%는 봇에 의한 공격이 있었다. 대표적인 봇 공격 유형은 86%의 기업이 경험한 DoS(Denial of Service) 공격을 비롯해, 웹 스크래핑(web scraping, 84%), 계정 탈취(account takeover, 75%) 등이 있다.  API 보안은 설문에 응한 기업 가운데 55%가 ‘최고 우선순위’였고, 59%는 2021년에 ‘크게 투자할 것’이라고 응답했다. 봇 관리 도구를 이용한다고 밝힌 기업은 25%에 불과했다.  2022년에 걸쳐 59%의 기업이 API에 크게 투자할 계획이고, 51%가 웹 애플리케이션 방화벽에 투자할 계획이라고 말했지만, 봇 관리 도구에 투자할 계획이 있다고 말한 기업은 32%에 불과했다. 아울러 52%의 기업이 API 지속 배포(Continuous Delivery, CD)에 보안을 완전히 통합했고, 63%의 기업이 웹 애플리케이션에 보안을 통합했다. ...

API 봇넷 2021.07.05

API 공격의 메커니즘과 이를 확인, 예방하는 방법

5월 초, 피트니스 기업 펠로톤(Peloton)은 인터넷에 고객 계정 데이터가 노출되었다고 발표했다. 사용자가 계정 프로필을 비공개로 설정했더라도 누구든 펠로톤 서버에 있는 사용자의 계정 데이터에 접근할 수 있었다. 원인은 무단 요청을 허용하는 결함이 있는 API(Application Programming Interface)였다.   손쉬운 사물통신(machine-to-machine)을 가능하게 하는 API 사용량이 최근 폭발적으로 증가했다. 아카마이(Akamai)에 따르면, API 통신은 현재 전체 인터넷 트래픽의 83% 이상을 차지한다. 또한 많은 보안 문제의 원인이기도 하다. 펠로톤 외에도 최근 API 관련 사이버보안 문제로 뉴스에 나왔던 기업은 에퀴팩스(Equifax), 인스타그램(Instagram), 페이스북(Facebook), 아마존(Amazon), 페이팔(Paypal) 등이 있다. API 사용 증가와 비례하는 공격  솔트 시큐리티(Salt Security)가 2월에 공개한 보고서에 따르면, 기업 가운데 91%가 지난해 API와 관련된 보안 문제를 겪은 것으로 나타났다. 가장 보편적인 것은 취약점이었으며, 응답자 가운데 54%를 차지했고 46%는 인증 문제, 20%는 봇 문제, 19%는 DoS(Denial of Service) 문제를 겪었다. 80%의 기업이 보안 도구로 API 공격을 효과적으로 방지할 수 없다고 생각한다. 솔트 시큐리티의 조사에 따르면, 기업 가운데 2/3가 API 보안 관련 우려 때문에 새로운 애플리케이션의 생산 속도를 늦췄다고 한다. WAF(Web Application Firewall)과 API 게이트웨이를 갖춘 솔트의 고객은 모두 매월 다수의 API 공격을 경험하고 있으며, 이는 API 공격이 이런 보안 도구를 통과했다는 것을 의미한다. 솔트에 따르면, WAF와 API 게이트웨이는 OWASP API 보안 10대 위협 가운데 90%를 놓친다. 하지만 1/4 이상의 기업이 보안 전략 없이 중요한 API...

API API보안 2021.05.26

API 보안에 대한 5가지 미신

최근 보안 분야는 데이터 유출 사건으로 바빴다. 지난 2일 크렙스 온 시큐리티(Krebs on Security)는 파네라 브레드(Panera Bread)가 3,700만 명의 고객 데이터 유출 사고를 8개월 동안 무시했다고 폭로했다. 이후 4일 밤에는 지난해 9월 고객 인터페이스 제공업체 [24]7.ai에서 발생한 침해 사건에 대한 보도가 나왔다. 정확한 피해 범위는 아직 밝혀지지 않았지만 기사 작성 시점을 기준으로 [24]7 고객인 델타 에어라인(Delta Airlines) 측은 "수십만 명의 고객이 침해에 노출됐을 가능성이 있다"고 밝혔으며 또 다른 고객사인 시어스 홀딩스(Sears Holdings)는 10만 개 미만의 신용카드 번호가 유출됐다고 밝혔다. 델타는 공식 성명서에서 [24]7.ai의 유출 원인이 프로그램의 악성코드라고 설명했으나 파네라는 인증되지 않은 API 엔드포인트를 원인으로 지목했다. 파네라가 침해를 인지한 시점은 2017년 8월 2일이지만 그동안 무시한 것으로 알려졌다. Credit: Getty Images Bank API 보안을 중시하거나 더 자세히 알아보고자 하는 사람을 위해 API 보안에 대한 5가지 미신을 정리했다. API 취약점의 실체는 무엇일까. 미신 1. API 보안은 기술이 아닌 기능이다 API 보안 관리 업체 포럼 시스템(Forum Systems)의 최고 기술 책임자인 제이슨 메이시는 "API 제품 시장에서 많은 업체가 API 보안 기능에 대해 이야기한다"며, "현실적으로 API 보안을 제공하는 기능이 있다는 주장은 방화벽 또는 안티바이러스 보안을 제공하는 기능이 있다는 주장과 같다"고 말했다. 메이시는 "보호의 주체는 기능이 아니라 제품"이라면서, "애플리케이션이 진정한 방화벽 또는 악성코드 보호를 제공한다고 하면 아무도 믿지 않을 것이다. 마찬가지다. API 관리 플랫폼이 진정한 API 보안을 제공한다고...

API API보안 2018.04.11

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.