AI 기반 재구축: 웹 애플리케이션 및 API를 위한 보안의 재정의
AI(Artificial Intelligence)의 등장으로 보안 분야는 짧은 시간 안에 상당한 변화를 겪고 있습니다. 이전에는 없던 새로운 종류의 위협부터, 새로운 기법을 통해 다시 부상한 ‘업사이클링된’ 취약점까지, 보안팀 직원들은 AI가 자산으로도, 위협으로도 얼마나 강력한 영향을 미칠 수 있는지를 빠르게 체감하고 있습니다.
이러한 변화는 레이어 7 담당 방어자에게 더욱 두드러집니다. 국가 차원의 공격자부터 감정에 휘둘리는 청소년에 이르기까지, AI를 활용해 더욱 정교하고 자동화된 차세대 툴을 배포하며 사이버 범죄를 실행하고 있습니다.
웹 애플리케이션에 대한 공격은 매우 급격하게 증가하고 있습니다. Akamai 분석가에 따르면 2024년에 전년 대비 33% 증가한 것으로 나타났습니다. 또한 API는 지속적으로 성장하는 표적으로 부상했으며 2024년에는 1500억 건의 API 공격이 기록되었습니다.
그러나 모든 책임을 AI에 돌릴 수는 없습니다. 악성 활동의 변화에는 보통 하나의 원인이 없습니다. 클라우드 서비스의 급속한 성장, 마이크로서비스 아키텍처의 도입, 기술 숙련도의 새로운 수준 등이 드라마를 더욱 심화시키고 기타 다양한 요인이 결합되어 지치게 복잡한 디지털 생태계를 형성하고 있습니다.
최신 SOTI: 앱 스타일
변화의 시대에는 지식이 가장 중요합니다. Akamai는 지식을 공유하는 차원에서 새로운 SOTI(State of the Internet) 보고서인 2025년 앱 및 API 보안 현황: AI가 디지털 환경을 변화시키는 방법을 발표했습니다. 이 보고서는 Akamai의 분석을 바탕으로 웹 애플리케이션과 API에 영향을 미치는 트렌드를 제시합니다. Akamai는 새롭게 변화하는 보안 환경을 살펴보며, 보안 전문가들이 중요한 시스템과 데이터를 어떻게 보호해야 하는지에 대해 설명합니다.
애플리케이션 및 API에 대한 공격 전략
웹 애플리케이션과 API에 대한 공격은 상호 연결되어 있지만, 상호 의존적인 것은 아닙니다. API를 제외한 웹 애플리케이션 공격도, 웹 애플리케이션과 무관한 API 공격도 다수 존재합니다. 악용 방식과 기법은 공격자의 동기와 기술적 역량에 따라 달라집니다.
웹 애플리케이션 공격은 웹 애플리케이션의 사용자 인터페이스 구성요소(예: 공개 로그인 페이지)를 표적으로 삼으며, 일반적으로 비교적 단순한 기법이 사용됩니다.
API 공격은 애플리케이션의 API 엔드포인트, 즉 시스템 간 연결을 포함한 영역의 취약점을 노리며, 각 API의 구조와 동작에 대한 깊은 이해를 필요로 합니다.
독립적인 방어
공격 자체가 상호 의존적이지 않다면, 그에 대한 방어 전략도 독립적으로 수립되어야 합니다. 최신 애플리케이션은 기능 구축을 위해 API 의존도가 점점 높아지고 있기 때문에, 웹과 API 공격 모두를 아우르는 미래 지향적인 사이버 보안 전략을 수립하는 것이 중요합니다.
이러한 요소를 간과하면, 애플리케이션의 프론트엔드와 백엔드 전반에 걸친 취약점을 노리는 복합적이고 정교한 다중 기법 공격에 노출될 수 있습니다. 공격자는 LLM(Large Language Model)과 생성형 AI가 제공하는 자동화 기능을 통해 그 어느 때보다 쉽게 대규모 봇넷이나 피싱 캠페인을 실행할 수 있습니다.
API 공격: 새로운 인사이트
Akamai SIG(Security Intelligence Group)에서는 적절한 데이터 과학 및 리서치를 위해 데이터 출력을 엄격히 검토하고 원시 데이터의 출처를 분석해야 한다는 것을 잘 알고 있습니다. 또한 API가 현재 공격자들의 주요 표적이라는 점도 명확히 인식하고 있습니다. Akamai는 이 두 가지 인사이트를 바탕으로 최신 보고 데이터 세트를 발전시켜 API 위협 리서치 및 분석을 강화하고 흥미로운 결과를 도출했습니다. 2024년:
OWASP API 보안 상위 10대 취약점과 관련된 인시던트가 32% 증가하며 인증 및 권한 부여 취약점을 통해 민감한 데이터와 기능이 노출되는 문제이 드러났습니다.
MITRE 보안 프레임워크와 관련된 보안 알림이 30% 증가했으며 공격자들이 AI와 자동화를 활용해 API를 악용하는 사례가 증가했습니다
유럽, 중동, 아프리카(EMEA) 지역에서 발생한 1160억 건의 웹 공격 중 37%가 API를 표적으로 삼아, 전 세계 다른 모든 지역보다 높은 집중도를 보였습니다
AI로 구동되는 API는 사람이 개발한 API보다 더 취약한 것으로 드러났습니다. 이들 API의 대부분은 인증 메커니즘이 약한 상태로 외부에 노출되어 있으며, 적절한 테스트도 거치지 않아 공격에 더욱 취약합니다.
해당 API가 무엇과 연결되어 있는지에 따라, 상황은 심각한 결과로 이어질 수 있습니다. 공격자가 전자 서명 공급업체의 API를 악용해 사기성 청구서를 전송했던 사건을 기억하시나요? 그야말로 심각한 결과를 초래했습니다.😬
보안 코드 검토는 결코 과대평가된 것이 아닙니다
Akamai는 아직 API 공격의 학습 단계에 있지만, 현실 세계는 “프로덕션 환경에서 테스트하는” 방식으로 배움이 이뤄지고 있습니다. 소비자는 혁신을 요구하고 수익을 위해서는 빠른 혁신이 필수적입니다.
보안은 코드 검토 프로세스에서 가장 까다로운 요소가 되어야 하므로, 제품을 시장에 출시하는 과정에서 가장 큰 걸림돌이 되기도 합니다. 이로 인해 테스트가 줄어들고, 검증되지 않은 코드 위에 또 다른 코드가 쌓이는 악순환이 이어지는 경우가 많습니다.
보안 검사는 개발자의 목적과 본질적으로 상반될 수 있지만, 테스트를 줄이면 이상적인 결과와는 거리가 먼 상황이 초래될 수 있습니다.
보안 알림 증가: 분석 결과, PCI DSS(Payment Card Industry Data Security), GDPR(General Data Protection Regulation), ISO(International Organization for Standardization)–27001과 관련된 보안 알림이 각각 16%, 21%, 22% 증가했습니다.
API 악용 탐지 과제: 이러한 과제는 위협을 사전 예방적으로 식별하기 위해 실시간 비정상 및 행동 모니터링의 필요성을 강조합니다.
관리되지 않은 좀비 및 섀도 API: 이들은 API 보안 인시던트의 주요 원인으로 보안팀은 포괄적인 API 목록을 유지하는 데 어려움을 겪고 있습니다.
웹 애플리케이션 공격: 새로운 발견
앞서 언급했듯이 웹 애플리케이션과 API에 대한 공격은 상호 연결되어 있지만 상호 의존적이지는 않습니다. “상호 연결” 부분에 대해 설명하자면, Akamai 리서치는 지난 2년간 전 세계적으로 웹 애플리케이션과 API를 동시에 표적으로 삼은 웹 공격이 크게 증가했음을 보여줍니다.
지역과 업계별로 문제가 다르기 때문에, Akamai는 특정 업계, 지역, 공격 트렌드를 분석해 레이어 7 악용의 영향을 다각도로 분석했습니다. 보고서의 주요 발견 사항 중 일부는 다음과 같습니다.
2023년 1분기부터 2024년 4분기까지 웹 애플리케이션과 API를 표적으로 한 웹 공격은 140억 건에서 290억 건 이상으로 65% 증가했습니다 .
동일 기간 동안 레이어 7 DDoS(Distributed Denial-of-Service) 공격은 94% 증가해 월간 공격 건수가 5000억 건을 약간 넘은 수준에서 1조 1000억 건을 넘어섰습니다.
아시아 태평양 및 일본 지역을 대상으로 한 웹 공격은 73% 증가해 2023년 290억 건에서 2024년 510억 건으로 증가했습니다.
커머스 업계는 여전히 주요 표적으로 2024년에 2300억 건 이상의 웹 공격을 받았으며, 이는 다음으로 높은 표적인 첨단 기술 업계의 약 3배에 달하는 수치입니다.
AI의 공격 및 방어 역할
공격자가 AI를 활용해 무엇을 할 수 있는지에 대해 활발히 논의되고 있습니다. AI 시스템의 악용 측면에서 다음과 같이 사실상 맞춤형 옵션 메뉴가 있습니다.
- 이전에는 상상하기 어려웠던 속도로 자동화된 취약점 스캔
- AI로 생성된 악성 코드
- AI 기반 봇을 활용한 자동화된 공격
- 자동화된 증폭 DDoS 공격
- 행동 기반 공격(탐지를 회피하고 일반적인 API 취약점을 노리는 저속 및 저용량 공격)
여기서 긍정적인 점은 범죄자만 AI를 활용하는 것이 아니라는 점입니다. AI는 AI 기반 WAF(Web Application Firewall) 시스템을 통해 봇, DDoS 공격, 스크래퍼, 스캐너 등 사이버 위협을 식별하고 방어하는 데도 도움을 주고 있습니다.
선제적 방어는 컴플라이언스를 이끌어냅니다
컴플라이언스는 기업의 전체적인 위험 관리 체계에 큰 영향을 미치므로 SOTI 보고서에서도 규제를 다루었습니다. 비즈니스에 대한 모든 위협이 사이버 위협은 아닙니다. 전 세계적으로 진화하는 다양한 보안 규정을 준수하는 것만에도 전념해야 합니다.
SOTI에서는 미국의 CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act)와 유럽의 NIS2(Network and Information Systems) Directive 등 지역별 새로운 사이버 보안 요구사항과 업데이트된 사이버 보안 요구사항을 다루었습니다. 지리적 지역마다 규제 복잡성이 다르기 때문에 미묘한 차이가 전 세계에 영향을 미칩니다.
예를 들어, 북미는 포괄적인 위험 관리와 의무적인 인시던트 보고에 초점을 맞추고 있지만 유럽은 모바일 서비스를 포함하도록 규제를 확대하고 있습니다.
보안팀 직원은 공격자의 수준과 속도에 맞춰 자동화 및 혁신을 추진해야 하고, 동시에 정부 기준을 준수하고, 인시던트를 처리하고, 팀이 요구하는 기타 업무를 수행해야 합니다.
앱과 API에 대한 위협이 증가함에 따라 규제 당국이 적극적으로 대응하고 있습니다. 따라서 미래에 대비한 조치를 많이 하면 많이 할수록 좋습니다. 따라서 선제적 방어에 집중하면 컴플라이언스 및 보안을 확보할 수 있습니다(물론 규제가 적절히 수립되었다면).
유출 발생을 가정하고 기본을 강화하세요
AI 시대에 안전을 유지하는 핵심은 유출 발생을 가정하고 기본을 강화하는 포괄적인 보안 계획을 수립하는 것입니다. 규제 당국의 압박을 받지 않더라도 지금처럼 기존 검토 절차를 재검토하고 기본을 강화하는 것이 좋은 시기는 없습니다.
대규모 유출 및 공격 중 얼마나 많은 것이 피싱 이메일 클릭으로 인해 발생했을까요? 공격자는 기본 보호 조치의 취약점을 계속해서 성공적으로 악용합니다.
강화된 입력 검증, 안전한 개발 관행, 정기적인 보안 감사에 중점을 두는 것은 과대평가된 관행이 아니며 장기적인 보안을 제공할 것입니다. 반면 반응적이며 유행에 따라 변화하는 보호 조치는 향후 예상치 못한 결과를 초래할 수 있습니다.
결론: SOTI 다운로드
전체 내용 보기: 새로운 SOTI(State of the Internet) 보고서, 2025년 앱 및 API 보안 현황: AI가 디지털 환경을 변화시키는 방법을 다운로드하세요.
