요구사항을 충족하지 못하는 포괄적인 API 보안 도입

API 보안 테스트 툴의 현저한 부족

2023년 SANS API 보안 설문조사에 따르면, API 보안 테스트 툴을 보유하고 있는 응답자는 50% 미만인 것으로 나타났습니다. API 검색 툴을 사용하는 응답자는 이보다 더 적었습니다(29%). 또한 이 보고서에 따르면 DDoS(분산 서비스 거부) 및 부하 분산 서비스에 포함된 API 보안 제어가 '잘 활용되고 있지 않다'고 나타났습니다. 이러한 기능을 사용한다고 답한 응답자는 29%에 불과했습니다.

공격이 증가하는 현실을 감안하면 우려스러운 트렌드입니다. Akamai의 최근 인터넷 보안 현황 보고서 '보안 격차의 허점: 애플리케이션 및 API 공격의 증가'에서 보고한 대로, 2022년은 애플리케이션 및 API 공격이 기록적으로 많은 해였습니다. 그러나 SANS 설문조사에서 기업에 가장 큰 보안 리스크가 무엇이라고 생각하는지에 대한 응답을 살펴보면, 포괄적인 범위의 API 툴을 도입하지 않는 것도 놀랍지는 않습니다. 

2023년 7월에 발표된 보고서는 대부분 미국에 거주하는 231명의 응답자를 대상으로 설문조사를 실시했습니다. 응답자의 78%는 현재 애플리케이션 보안 업무를 하고 있으며, 15%는 앞으로 애플리케이션 보안 업무를 담당할 계획이라고 답했습니다.

간과되는 API 리스크

기업의 상위 3가지 리스크 순위를 묻는 질문에 응답자들은 ‘재사용 가능한 인증정보를 얻기 위한 피싱’을 가장 많이 꼽았으며, ‘누락된 패치를 악용하는 공격자’, ‘취약한 애플리케이션/API를 악용하는 공격자’가 그 뒤를 이었습니다. 가중치 순위에서 최하위를 차지한 항목은 ‘잘못 설정된 서버/서비스’였습니다. 이는 기업이 API가 초래할 수 있는 리스크를 이해하고 있음에도 해당 영역에 대한 투자를 우선시하지 않고 있음을 분명히 보여줍니다.

다양한 보안 컨트롤 및 프로세스

SANS Institute의 새로운 보안 트렌드 이사 존 페스카토레(John Pescatore)는 보고서에서 "API 리스크를 발견하고, 평가하고, 방어하는 것은 여러 보안 컨트롤과 프로세스를 통해 완벽한 커버리지를 제공해야 하는 복잡한 문제입니다."라며 "이미 널리 사용되고 있는 애플리케이션 수준의 툴은 부분적인 커버리지를 제공할 수 있지만, 전체 커버리지를 제공하는 API 보안 관련 컨트롤은 아직 널리 사용되고 있지 않습니다."라고 설명했습니다.

API 실행 방법 (및 API 개수)의 이해

SANS 보고서는 또한 기업들이 환경에서 실행 중인 API가 얼마나 많은지 제대로 파악하지 못하고 있다고 지적합니다. 응답자의 3분의 2 이상이 프로덕션에서 실행 중인 API 인벤토리의 정확도가 75% 미만이라고 답했습니다. 

기업들은 수년간 네트워크, 컴퓨터, 애플리케이션을 포함한 정확한 자산 인벤토리를 확보하는 데 어려움을 겪어 왔습니다. 실행 중인 API의 위치 (및 개수)를 파악하려면 더 많은 주의를 기울여야 합니다. 보고서는 "취약한 API가 공격의 가장 일반적인 접속 지점이 되고 있기 때문에 API 인벤토리의 정확도를 높이고 검색 작업을 더 자주 수행해야 합니다."라고 이야기합니다. 

구매자들은 API 보안을 위해 다양한 방향을 모색하고 있습니다.

그러나 이러한 API 보안 격차를 해소하기 위해 새로운 툴을 도입하는 방안에 대해서는 공감대가 이뤄지지 않았습니다.  응답자들에게 현재 사용하지 않는 솔루션 중 향후 2년 내에 도입할 계획이 있는 솔루션에 대해 질문한 결과, 다음과 같이 다양한 답변이 나왔습니다. 

• 보안 웹 게이트웨이(14%)
• 동적 애플리케이션 취약점 테스트(13%)
• 웹 애플리케이션 방화벽(13%)
• 콘텐츠 전송 네트워크 내 앱/API 보안 기능(13%)
• API 보안 테스트(12%)
• API 검색(10%)

구매자들이 애플리케이션 및 API 보안을 위해 다양한 솔루션을 찾고 있기 때문에 Akamai처럼 포괄적인 솔루션을 제공할 수 있는 벤더사의 역할이 더 중요해졌습니다. 기업은 여러 분야를 아우르는 강력한 서비스 조직을 갖춘 공급업체를 통해 봇 관리, 웹 애플리케이션 방화벽, 기타 필요 기능을 이용함으로써 상당한 혜택을 얻을 수 있습니다.

확장 탐지 및 대응 기술

또한 XDR(확장 탐지 및 대응)을 사용해 모든 API 활동에 대한 가시성을 제공하고, 리스크 체계를 파악하며, 정상 행동과 악용 행동을 이해해 위협을 차단하는 새로운 기술의 등장은 API 보안 측면에서 상당한 이점을 제공합니다.

Akamai의 최근 Neosec 인수는 이러한 트렌드를 더욱 뒷받침합니다. 이제 기업은 최소 30일간의 API 행동 분석과 Akamai 콘텐츠 전송 네트워크(CDN)가 제공하는 가시성을 결합해 전례 없는 수준의 API 행동 애널리틱스를 얻을 수 있습니다.

SANS 설문조사 결과는 무제한 리소스 소비와 안전하지 않은 API 사용을 비롯해 몇 가지 새로운 리스크를 목록에 추가한 새로운 OWASP 10대 API 보안 리스크 릴리스를 살펴볼 때도 흥미로운 배경을 제공합니다.

프레임워크에 대한 공감대

OWASP에 대해 말하자면, 이 설문조사는 보안 전문가들이 가치 있다고 보는 프레임워크에 대해 어느 정도 공감대가 있음을 보여주었습니다. 응답자의 절반 이상이 애플리케이션/API 리스크를 정의하는 데 사용하는 방법으로 OWASP 10대 웹 애플리케이션 보안 리스크(55%), MITRE ATT&CK 프레임워크(55%), OWASP 10대 API 보안 리스크(52%)를 꼽았습니다. 클라우드 보안 연합(40%)과 인터넷 보안 중요 보안 제어 센터(33%)가 상위 5개 항목에 포함되었습니다.

여전히 중요한 개발자 보안 교육

보고서는 또한 일반적으로 기업이 개발자에게 보안 교육을 제공하는 데 여전히 집중하고 있다는 사실을 발견했습니다. 개발 직원에게 보안 교육을 제공한다고 답한 기업은 응답자의 75% 이상이었습니다. 보고서에 따르면 응답자의 70% 이상이 보안 팀의 25% 이상을 대상으로 애플리케이션 보안 교육을 제공한다고 답했습니다.

가시성 및 방어

Akamai App & API Protector는 웹 애플리케이션 및 방화벽 보호, 봇 관리, API 보안, DDoS 방어를 위한 포괄적인 앱 및 API 솔루션을 제공해 강력한 방어는 물론 기업 자체 환경의 위협에 대한 가시성을 제공합니다. 가장 복잡한 분산 아키텍처에서도 취약점을 빠르게 탐지하고 전체 웹 및 API 자산 전체에서 위협을 방어합니다.