연방 감시 하의 API 보안: CIO를 위한 경고

한 인시던트에서 어떤 글로벌 도메인 및 호스팅 공급업체는 공격자들이 공급업체의 API 아키텍처에 존재하는 약점을 활용해 고객 계정 정보를 추출한 유출 사고를 겪었습니다. 조사 결과, 인증 제어 실수와 API 모니터링 부재 사실이 드러났습니다.

마찬가지로, 어떤 주요 통신 회사는 보호되지 않은 API 엔드포인트로 인해 민감한 사용자 데이터를 노출했습니다. 불충분한 인풋 검증과 부적절한 접속 제한에서 비롯된 이 문제는 연방 규제 기관의 주의를 끌었습니다.

두 경우 모두에서 관련 기업은 기존의 방어 체계에 투자했지만 최신 디지털 서비스의 중요한 구성요소 역할을 하는 API에 동일한 방어 체계를 엄격하게 적용하지 못했습니다.

거의 모든 컴플라이언스 프레임워크의 기본 요구사항은 보유 중인 자산과 해당 프레임워크가 처리하는 데이터의 유형을 언제나 명확하게 파악하고 있는 것입니다. API가 많은 경우 서로 다른 팀이나 타사에 의해 지속적으로 개발 및 업데이트되고 있는 상황에서 대부분의 기업은 완전한 실시간 API 인벤토리를 파악하지 못하고 있습니다. 

기업은 자체 환경에서 보유하고 있는 API, 각각의 API가 사용되는 방법에 대한 지식을 증명할 수 있어야 하며, 더 중요하게는 가시성 또는 프로세스를 완전히 벗어나 작동하는 API를 식별할 수 있어야 합니다.

API가 식별되더라도 이러한 API를 통해 어떤 데이터가 흐르는지 또는 데이터가 제대로 보호되고 있는지 명확하게 알 수는 없는 경우도 있습니다. 많은 기업이 API 소유권을 확인할 수 없으며 트래픽이 웹 애플리케이션 방화벽(WAF) 또는 API 게이트웨이와 같은 승인된 제어 기능을 통해 흐르고 있는지 여부를 확인할 수도 없습니다. 

Akamai의 2024년 API 보안 영향 연구에 따르면 전체 API 인벤토리를 보유한 IT 보안 전문가 중 민감한 데이터를 반환하는 API를 실제로 알고 있는 사람은 27%에 불과합니다. 이는 2023년의 수치인 40%에서 감소한 것입니다. 

또한 역할 간 단절이 존재하는 경우가 많습니다. 설문 조사에 참여한 CIO 중 43%는 어떤 API가 민감한 데이터를 반환하는지 알고 있다고 답했지만, CISO 중에서는 17%만이 이러한 견해를 공유한 것을 보면 알 수 있습니다. 신용 카드 정보, 개인 식별 가능 데이터 또는 의료 관련 기록과 같은 민감한 데이터가 노출될 경우 이러한 가시성 격차가 심각한 컴플라이언스 위반으로 이어질 수 있습니다.

컴플라이언스는 단순히 자산을 파악하는 것이 아닙니다. 이는 오용을 실시간으로 탐지하고 해결하는 것입니다. 보안팀은 누군가 API를 악용해 고객 데이터를 추출하거나 상승된 권한을 얻었는지 여부를 확인할 수 있어야 합니다.

예를 들어, 기업은 OWASP API 보안 상위 10대 리스크에 등재된 손상된 오브젝트 수준 권한과 같은 위협을 방지하거나 미묘한 비즈니스 논리 남용을 탐지할 수 없는 경우가 많습니다. 이러한 공격 패턴은 점점 더 자주 발생하고 있으며 기존의 경계 툴을 우회하는 경우가 많습니다.

많은 기업이 기능 테스트에만 의존하며 보안 테스트의 중요성을 간과하고 있습니다. 컴플라이언스 프레임워크에 따라 처음부터 보안을 내장해야 할 필요성이 점점 더 증가하고 있기 때문에 배포 전에 API를 테스트해 취약점이 있는지 반드시 확인해야 합니다.

이러한 잠재적 보안 격차 때문에 규제 기관은 API 보안 실패를 데이터 보호 법률을 직접적으로 위반한 것으로 간주하기 시작하고 있습니다. 이는 강제 조치, 처벌 또는 필수 복구 노력으로 이어지는 경우가 많습니다. 설문 조사에 참여한 미국 IT 및 보안 책임자(CIO, CISO, CTO)들은 지난 12개월 동안 경험한 API 보안 인시던트의 평균 예상 비용이 미화 94만 3162달러에 달한다고 말했습니다.

이제 기업은 API 생태계 전반에서 보안 역량뿐 아니라 컴플라이언스 준수 준비성도 입증해야 합니다. API 보안이 몇 가지 일반적인 주요 규제에 어떻게 매핑되는지 확인하세요.

• PCI DSS v4.0: 모든 결제 관련 API를 식별 및 문서화하며 강력한 인증을 통해 이를 보호하고, 지속적으로 모니터링하고, 카드 소유자 데이터에 대한 접속을 제한해야 합니다.

• GDPR: 데이터 최소화, 접속 제어 및 데이터 유출 알림을 의무화합니다. 이 모든 것은 개인 데이터를 처리하는 API 보안에 따라 달라집니다.

• HIPAA: API를 통해 접속하는 보호 건강 정보를 암호화, 역할 기반 접속 및 감사 로그를 사용해 보호해야 합니다.

• DORA: 비정상 및 실패 시나리오가 있는지 모니터링해야 하는 API를 비롯한 모든 디지털 채널에서 안정성 테스트 및 인시던트 탐지가 필요합니다.

보호되지 않거나 문서화되지 않은 API는 카드 소유자 데이터 또는 건강 기록을 노출하든 아니면 규제가 엄격한 부문의 비정상 징후를 탐지하지 못하든 컴플라이언스 위반을 의미할 수 있습니다.

디지털 인프라 및 리스크 이니셔티브를 이끄는 CIO는 API 보안에 대한 계획적이고 체계적인 접근 방식을 취해야 합니다. 첫 번째 우선순위는 API 환경에 대한 완벽한 가시성을 확보해야 한다는 것입니다. 클라우드, 온프레미스, 하이브리드 환경 전반에 걸쳐 실시간으로 인벤토리를 파악하지 못한다면 API 사용을 효과적으로 보호하거나 감사하는 것은 거의 불가능합니다.

다음으로, 설계부터 보안을 내장해야 합니다. 이를 위해 강력한 인증을 구축하고, 모든 인풋을 검증하고, 기업의 모든 API에 '최소 권한' 접속을 적용해야 합니다. 옵저버빌리티도 마찬가지로 중요합니다. API 트래픽을 실시간으로 모니터링하면 팀은 비정상 징후를 조기에 탐지하고 리스크가 확대되기 전에 대응할 수 있습니다. 이는 많은 규제 프레임워크에서 중요한 요구사항입니다.

또한 보안 노력을 컴플라이언스 요구사항에 직접 매핑해야 합니다. API 제어와 PCI DSS, GDPR, HIPAA, DORA 같은 프레임워크 간의 명확한 조율을 통해 기업은 진행 상황을 입증하고 증거를 문서화하고 자신 있게 감사를 준비할 수 있습니다.

마지막으로, 안정성을 지속적으로 테스트해야 합니다. API는 사후에 고려하는 대신 보다 광범위한 보안 테스트 전략과 운영 안정성 계획의 일부가 되어야 합니다. 특히 DORA의 적용을 받는 유럽 연합 내 기업의 경우 공격을 시뮬레이션하고, 실패 시나리오를 평가하며, 연속성을 보장하는 역량이 기본적인 기대치가 되고 있습니다.

Akamai API Security는 API 보호에 대한 전체 수명 주기 접근 방식을 제공해 기업이 컴플라이언스를 간소화하고 리스크 노출을 줄일 수 있도록 합니다. 이 솔루션은 다음을 통해 주요 컴플라이언스 요구사항을 지원합니다.

• 포괄적인 검색 및 인벤토리: 섀도 및 좀비 API를 포함한 모든 API를 지속적으로 검색하고 분류함으로써 가시성을 유지하고 PCI DSS 및 GDPR과 같은 프레임워크에서 요구되는 문서화 요구사항을 충족합니다.

• 리스크 및 체계 평가: 결과를 주요 컴플라이언스 프레임워크(예: PCI DSS, ISO 27001, GDPR, HIPAA)에 매핑해 컴플라이언스 위반으로 이어질 수 있는 설정 오류 또는 취약점을 식별합니다.

• 행동 위협 탐지: 기존의 툴이 종종 놓치는 비정상적인 행동, 비즈니스 논리 남용 및 부적절한 데이터 노출을 탐지해 DORA의 운영 안정성 목표를 지원합니다.

• 컴플라이언스 대시보드를 통한 중앙 집중화된 가시성: API의 컴플라이언스 여부를 한 곳에서 확인할 수 있도록 해 시간 경과에 따른 체계 트렌드를 추적하고 감사 준비를 간소화합니다.

• 보안 생태계와의 원활한 통합: 보안 정보 및 이벤트 관리(SIEM) 시스템, 티켓팅 시스템 및 워크플로우 툴과 통합되어 컴플라이언스 증거를 생성하는 데 도움이 되고 인시던트 대응이 간소화됩니다.

API 관련 인시던트는 더 이상 고립된 기술 문제로 간주되지 않습니다. 이는 규제와 관련된 대가를 치뤄야 하는 컴플라이언스 준수 실패입니다. 연방 감시가 강화됨에 따라 기술 CIO는 API 보안을 구축할 뿐 아니라 운영에 적용하고 감사 가능한 상태로도 만들어야 합니다. API를 보안 및 컴플라이언스 프로그램의 필수 요소로 취급하면 리스크를 줄일 뿐만 아니라 새로운 규제 및 위협이 떠오르는 상황에서 기업의 장기적인 안정성을 보장할 수도 있게 됩니다.