“2022년, API가 빈번한 공격 대상으로 전환되어 엔터프라이즈 웹 애플리케이션의 데이터 침해로 이어질 것이다. 각각의 새로운 API는 잠재적으로 고유한 공격 경로가 되고 있다. 하지만 기존 솔루션이 API 보안기능을 제대로 이행하지 못하고 있어 API 위협의 규모는 더욱 커지고 산업 전반에 데이터 탈취, 계정 탈취 등 심각한 문제가 발생할 수 있다.” -가트너-
코로나19 이후 디지털 통신으로 전환이 급속도로 진행되면서 API(Application Programing Interface) 시장도 빠르게 성장하고 있다. 가트너는 2018년부터 API가 주요 공격 타깃이 되고 있다고 경고하고 OWASP에서도 API 10대 보안위협을 발표하며 데이터 탈취, 계정 탈취, 피싱, 서비스 거부(DoS) 공격에 대한 각별한 주의를 당부하고 있다.
◇”기존 솔루션으로는 API 전체에 대한 가시성 확보 한계...보안위협과 직결돼”
데일리시큐는 최근 한국을 방문한 API 보안 글로벌기업 노네임시큐리티(Nonamesecurity) APAC 총괄부사장 PK Lim(림)을 만나 인터뷰를 진행했다.
림 부사장은 “현재 클라우드로 IT 환경이 전환되면서 모든 베이스가 API로 이루어지고 있다. 하지만 금융기관이나 기업들은 어떤 API를 사용하고 운영하며 어떻게 개발되고 트래픽은 어떻게 되는지 가시성을 확보하지 못하고 있다”며 “네트워크상에서 AIP 트래픽 전체를 모니터링하고 어떤 흐름으로 API에서 민감한 정보들이 흘러가는지 가시성을 확보하는 것이 중요하다. 특히 온프레미스와 클라우드에서 API 보안취약점을 모니터링하고 위협 탐지, 방어, 차단까지 이루어져야 침해사고를 예방할 수 있다”고 강조했다.
특히 금융기관이 사용하는 API 유형으로는 제 3자 제공 금융 서비스를 위한 API 그리고 최종 사용자를 위한 API 등이다. 금융 API는 개인식별정보(PII) 데이터, 지불 카드 정보(PCI) 데이터 등 대량의 민감한 데이터를 전송하고 있다. 이런 상황에 잘못된 API 설계 및 구현, 테스트를 하지 않고 사용, 소프트웨어 버그 등을 관리하지 않는다면 대형 보안사고로 이어질 수 있다.
실제로 API 공격 사례도 급증하고 있다. 사례를 보면, 100% API 중심으로 운영되는 신생 은행 P사가 API 취약점을 이용한 해킹으로 대량의 데이터를 탈취당한 사건, 전세계 1만개 이상 점포를 두고 있는 대형 외식업체 D사는 API 다중 조작 공격을 통해 해킹을 당한 바 있다.
또 미국 우정국과 대형 이통사도 API 변조 공격으로 대량의 데이터를 탈취당한 사례도 있다. 미국과 캐나다에서 2천개 지점을 운영하는 제과 기업도 인증되지 않은 API 엔드포인트가 계정 가입자라면 누구나 사용자들의 개인식별정보에 접근할 수 있도록 잘못 설정해 3천700만명의 고객 정보가 유출된 바 있다. 이외에도 무수히 많은 API 보안사고들이 이어지고 있고 앞으로도 더욱 증가할 전망이다.
림 부사장은 “API 보안 위협이 급증하면서 OWASP에서도 API 위협 Top 10을 발표하고 데이터 탈취, 계정 탈취, 서비스 거부 공격에 API 취약점들이 악용되고 있음을 경고하고 있다”며 “하지만 현재 범용 애플리케이션 보안 솔루션만으로는 웹 API를 보호하는데는 한계가 있다. 즉 기존 API 게이트웨이, 웹방화벽, 소스코드 분석 툴로는 애플리케이션 로직의 취약성을 이용한 공격과 백엔드단에서 발생하는 API 위협에는 무방비로 당할 수 있다. API를 진정으로 보호하려면 복잡한 관계와 흐름에 대해 잘 이해해야 하고 이러한 모델링은 메타데이터 분석으로부터 데이터 자체, API 트랜잭션분석이 필요하다”고 조언했다.
한국의 금융기관 마이데이터 서비스 보안 가이드라인을 보면, 이상거래 시도를 포함한 보안사고 등을 모니터링 및 기록하고 비정상적인 API 접근을 모니터링하고 필요시 해당 요청 서버 또는 API의 접근 제한 등을 수행하는 등 대안을 마련하라고 가이드하고 있지만 기존 관제 및 모니터링 솔루션으로는 기능적 이상 징후에 대한 가시성을 확보할 수 없다고 그는 말한다.
◇노네임 API 시큐리티 플랫폼, API 개발부터 운영까지 전체를 보호
그는 현재 OWASP에서 발표한 API 10대 보안리스크에 대응할 수 있는 솔루션으로 노네임시큐리티(이하 노네임)가 유일한 대안이라고 말한다.
노네임은 포춘 500대 기업중 20% 기업과 협력하고 있으며 2022년 실리콘벨리에서 가장 빠르게 성장하는 기업 1위로 선정된 바 있다. 가장 큰 특징은 사용자의 API 사용을 모니터링만 하는 경쟁사에 비해 노네임은 API 전체 환경을 보호한다는 점이다.
노네임은 가장 광범위한 개발 플랫폼, 워크플로우, 네이티브 네트워크 트래픽 및 게이트웨이 서비스 연계와 활용을 통해 API 식별, 공격방어 및 차단, API 테스트를 온프레미스와 하이브리드, 클라우드 SaaS 형태로 모두 지원한다는 점이다. 이를 통해 코드에서 프로덕션까지 API 에코시스템 전반의 전에 보안 범위를 포괄해 보호한다.
림 부사장이 말하는 노네임 솔루션의 특징은 다음과 같다.
레거시 API 및 섀도 API를 포함해 환경 전반에 걸쳐 모든 API를 검색하고 카탈로그화한다. 데이터 정책 및 거버넌스 규칙을 준수하는 리스크가 전혀 없고, 가볍고, 마찰이 없는 구축이 가능하다.
또 소스, 정책, 구성 및 런타임에서 잘못된 구성, 이상 징후 및 취약성을 식별할 수 있다. 비지도 머신 러닝을 사용해 API를 위해 특별히 구축된 행동 기반 상황별 모델링 기술이 적용된다.
그리고 소스 코드 또는 API 보안 소견의 런타임 문제 해결을 위한 사용자 친화적인 워크플로우를 제공한다. 수동, 반자동 및 완전 자동 프로세스로 구성된 광범위한 교정 라이브러리를 통해 차단 시스템과 연계 시 차단 정책 사용이 가능하다.
끝으로 API 엔드포인트를 지속적으로 테스트해 API 리스크가 발생하기 전에 이를 파악하고 전반적인 API SDLC를 개선할 수 있다. API, CI/CD 등을 통해 수동으로 실행하거나 자동화할 수 있는 API 보안 테스트 모듈이 적용된다.
림 부사장은 “노네임은 레거시, 신규, 악성 API 식별을 목록화하고 AI 기반의 공격자, 의심스러운 동작 및 잘못된 구성을 탐지한다. 그리고 실시간으로 공격을 차단하고 기존 워크플로우를 활용해 취약성 및 잘못된 구성을 해결하고, 운영 전에 API의 무결성을 적극적을 테스트해 문제를 발견하고 검증할 수 있다”며 “API 보안 관리 문제를 해결하고, 실시간 API 보안을 제공하며, API 개발 라이프사이클을 보호하는 유일한 API 보안 플랫폼”이라고 설명했다.
노네임 API 시큐리티 플랫폼은 △NLP(자연어 처리)를 사용해 API 호출/데이터 내의 복잡한 관계를 식별해 API 비즈니스 로직을 자동으로 학습하고 △클라우드 서비스, Kafka, 미러링 및 기존 방어시스템, 워크플로우와 연동 △API 이상 징후를 의도 중심의 공격으로 그룹화하고 분류하는 스마트 분석 △NLP를 사용해 비 정상적인 API 이상 이벤트 및 사건에 대한 자체 설명 보고서를 자동으로 생성 △다양한 클라우드/온프레미스, 데이터 소스, 워크플로우, 각종 보안장비 등과 연동 연동 그리고 △현재까지 Noname API AMP를 통해 매월 백 억회 이상의 API 호출이 분석되고 있다는 점에서 경쟁사 대비 비교 우위를 점하고 있다.
◇노네임, 엔시큐어와 한국 시장 본격 공략
노네임시큐리티는 올해 2월 아시아에서도 중요한 한국 시장 확대를 위해 엔시큐어(대표 문성준)와 손을 잡고 본격적인 영업활동에 들어갔다.
림 부사장은 “엔시큐어는 API 보안에 대한 이해도가 높은 기업이다. 고객들의 요구사항을 디테일하게 파악하고 있으며 API 보안시장 확대에 대한 비전을 갖고 실행해 나갈 수 있는 기업이라고 판단했다”며 “한국에서도 데이터를 이용하는 모든 기업들이 API 보안솔루션이 필요하다. 특히 마이데이터를 이용하는 기업 모두 API를 활용한다. 한국 금융기관과 기업들을 중심으로 노네임 API 시큐리티 플랫폼을 본격적으로 확장시켜 나갈 계획”이라고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★