2024-02-23 13:05 (금)
[RSAC 2023 현장 인터뷰] 노네임시큐리티 “API 취악점 공격 급증...클라우드 전환시, API 보안이 핵심”
상태바
[RSAC 2023 현장 인터뷰] 노네임시큐리티 “API 취악점 공격 급증...클라우드 전환시, API 보안이 핵심”
  • 길민권 기자
  • 승인 2023.05.01 13:29
이 기사를 공유합니다

“API 개발하고 운영하는 모든 단계에서 API 보안 가시성 확보로 사전예방 중요” 
사진 왼쪽부터 문성준 엔시큐어 대표, 노네임 시큐리티 마이클 베이커(Michael Baker) CRO, 오즈 고란(Oz Golan) CEO. (샌프란시스코)
사진 왼쪽부터 문성준 엔시큐어 대표, 노네임 시큐리티 마이클 베이커(Michael Baker) CRO, 오즈 고란(Oz Golan) CEO. (샌프란시스코)

[샌프란시스코=데일리시큐] “노네임시큐리티는 API 보안 분야에서 글로벌 선도기업이다. 전년 대비 지난해 700% 성장을 이루었고 향후 한국을 중심으로 아시아 시장도 크게 성장할 것으로 기대하고 있다. 클라우드 대전환 시기에 API 보안은 더욱 중요해 지고 있으며 우리는 고객들을 위해 365일 24시간 적극 지원해 나갈 것이다.”

이번 RSAC 2023에서 중요한 보안 산업으로 떠오른 분야가 바로 API 보안분야다. 전세계적으로 클라우드 전환이 확대되면서 조직의 아키텍처가 변화하기 시작했으며 다양한 시스템과 연동을 위해 수많은 API가 개발·활용되고 있다. 

이때문에 해커들은 API의 취약점을 공격해 클라우드에 올라간 데이터를 탈취하려고 한다. 그런 이유로 API를 개발하고 운영하는 모든 단계에서 API 보안위협에 대응해야 하는 상황에 직면해 있다. 

데일리시큐는 RSAC 2023이 열리는 샌프란시스코에서 API 보안 리딩 기업 노네임시큐리티(Noname Security) 오즈 고란(Oz Golan) CEO와 마이클 베이커(Michael Baker) CRO를 직접 만나 인터뷰를 진행했다. 이 자리에는 한국에서 노네임시큐리티 API 보안 플랫폼 사업을 적극적으로 추진하고 있는 문성준 엔시큐어 대표도 배석했다. 

오즈 CEO는 “노네임시큐리티 이름에 대해 궁금해 한다. 회사를 설립하기 전에 이미 API 보안 플랫폼을 개발했다. API 보안이 시장에서 핵심 분야로 성장할 것을 확신했다. 그래서 회사를 키우기 위해 직원들을 모집하고 이스라엘 투자자들과 많은 미팅을 추진했다. 그때 회사 이름을 기입하는 란이 있었는데 아직 회사 이름을 정하지 못해 ‘Noname’이라고 기입하게 됐고 자연스럽게 노네임 시큐리티가 회사명이 됐다”고 설명했다. 

그는 “모든 분야에서 디지털 트렌스포메이션과 클라우드 전환이 활발해지면서 API 개발과 활용이 급증했고 그런 가운데 API 취약점으로 인해 API는 해커들의 공격 타깃이 될 것이라고 생각했다. 이스라엘 투자자들도 이에 공감하고 적극적인 투자를 해주었고 우리는 5년만에 주목받는 글로벌 기업으로 성장하게 됐다”고 설명했다. 

RSAC 2023 노네임 시큐리티 전시부스
RSAC 2023 노네임 시큐리티 전시부스

노네임시큐리티는 고객의 디지털 전환을 가속화하는 과정에서 API를 보호할 수 있도록 지원하는데 집중하고 있다. 특히 조직에서 사용하는 수많은 API를 식별해 주고 어떤 취약성을 갖고 있으며 위험한 API가 네트워크 내외부에 어떤 위협을 가져올 수 있는지 선제적으로 정보를 제공해 잠재적 보안위협을 예방하는데 초점을 맞추고 있는 유일한 기업이다. API 개발부터 운영까지 모든 단계에서 발생할 수 있는 보안 위협을 사전 예방할 수 있도록 한다. 

노네임시큐리티는 RSAC 2023에서도 큰 주목을 받았다. 클라우드 상에서 데이터와 애플리케이션을 보호하려는 기업들의 노력은 결국 API 보안으로 귀결되기 때문이다. 

오즈 CEO는 “노네임은 API의 모든 것에 대해 광범위한 가시성을 제공하는 유일한 기업이다. 전체 API 보안에 대해 완벽하게 사전 예방할 수 있는 솔루션을 제공하고 있다. 현재 포춘 500대 기업의 20%가 노네임 고객이며 향후 고객은 더욱 확대될 것이며 아시아 지역에서도 이런 기조는 동일할 것이라고 생각한다”고 강조했다. 

노네임 API 보안 플랫폼은 HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC 및 gRPC를 포함해 모든 API의 가시성을 제공하고, API 키 유출, 자격 증명 유출, 코드 노출 및 중요 문서 노출 탐지를 비롯해 API 게이트웨이 및 WAF와 같은 기존 시스템을 비롯해 내부 및 외부에서 잠재적인 공격 경로 정보를 제공한다. 

특히 비즈니스 로직, 물리적 네트워크 인프라 및 API 트래픽의 시각화를 제공해 시스템과 데이터가 어떻게 연결되는지 등 중요한 경로와 숨겨진 취약성을 식별할 수 있도록 한다. 

그리고 공격자가 취약성을 찾기 전에 외부 공격 표면을 정기적으로 자동 검색해 이전에 알 수 없었던 취약점을 찾아 진화하는 위협에 대해 자동 보호 기능을 제공하는 것이 특징이다. 

더불어 API를 통과하는 데이터 유형에 대한 가시성을 제공하고 신용카드 데이터, 전화번호, SSN 및 기타 중요한 데이터에 액세스할 수 있는 API 수를 신속하게 식별할 수 있게 제공한다. 또 API가 통과하는 게이트웨이, API가 마지막으로 업데이트된 시간, 액세스 중인 데이터 유형 및 API에 액세스하는 사용자 수를 파악할 수 있도록 지원한다. 

오즈 CEO는 “가트너에서도 API 보안이 최우선 과제라고 말하고 있다. API 보안에 대비하지 않는다면 심각한 위협에 노출될 수 있다. 공격자들이 취약성을 악용하기 전에 취약점을 제거해 사전 예방을 하고 API 공격 표면을 줄여 나가는 것이 중요하다”며 “한국에서도 API 보안에 대한 중요성이 확대될 것이다. 한국도 클라우드 전환이 증가할 수록 API 보안에 대한 니즈가 더욱 커질 것이라고 확신한다. 노네임이 적극적으로 지원하겠다”고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★