API 수명주기란?

API(애플리케이션 프로그래밍 인터페이스)는 디지털 경제의 필수 구성요소가 되었습니다. API는 다양한 소프트웨어 구성요소가 서로 쉽게 통신할 수 있도록 지원함으로써 혁신, 신속한 소프트웨어 개발, 플랫폼 간 데이터 공유 기능에 필수적입니다.

API 수명주기는 API를 설계, 구축, 관리, 최종적으로 폐기하는 프로세스입니다. API 수명주기의 단계는 새로운 API에 대한 아이디어에서 시작해 설계, 개발, 테스트, 배포, 최종적으로 폐기에 이르는 단계로 이루어집니다. 수명주기의 각 단계는 API가 기능적이고 안전하며 사용자에게 가치가 있는 상태로 유지되도록 하는 데 도움이 됩니다.

API 수명주기 관리는 수명주기의 모든 단계에서 API를 전략적으로 감독하고 관리하는 것을 말합니다. API 수명주기 관리는 API 개발 및 배포의 다양한 단계를 조정함으로써 API가 고품질 기능을 제공하고, 사이버 위협으로부터 보호되며, API 이해관계자의 요구사항을 충족하도록 보장합니다.

API 수명주기 관리는 일반적으로 여러 팀이 책임집니다.

• 개발 팀은 API 설계, 개발, 테스트를 담당합니다.

• DevOps 팀은 배포, 자동화, 프로덕션 환경 유지 관리에 집중합니다. 

• 제품 관리자는 API 전략을 수립하고 사용 사례를 정의하는 데 참여할 수 있습니다.

전체 수명주기 API 관리의 다양한 단계에 대한 단일 정의는 없습니다. 그러나 대부분의 API 프로그램에는 다음 단계가 포함되어 있습니다.

1. 계획 및 설계

API 수명주기의 초기 설계 단계에서는 API 전략을 수립하고, API의 목적을 정의하고, 잠재적인 사용 사례를 식별하고, API의 기능을 개략적으로 설명합니다. API 설계에는 API 아키텍처에 대한 결정을 내려야 합니다. API 아키텍처는 API의 구조에 대한 고수준 계획으로, 특히 마이크로서비스 아키텍처에서 다른 시스템 및 구성요소와 상호 작용하는 방식을 결정합니다. API 계약은 API의 예상 행동을 설명합니다. API 설계에는 REST API용 OpenAPI, GraphQL API용 SDL, 다양한 종류의 API 문서화 및 테스트용 Swagger와 같은 툴을 사용하는 API 사양 및 스키마의 생성도 포함됩니다.

2. 개발

개발 단계에서 개발 팀은 API 계약에 명시된 사양에 따라 API를 코딩합니다. 또한 팀은 다양한 설정과 매개변수를 사용해 API를 설정해 API가 작동하고 다른 시스템과 상호 작용하는 방식을 정의합니다. 설정에는 엔드포인트, 방법, 인증 메커니즘, 속도 제한, 응답 형식 및 API가 올바르고 안전하게 작동하도록 보장하는 기타 중요한 측면을 지정하는 것이 포함됩니다.

3. 테스트

이 단계에서 API는 런타임 환경에서 엄격한 테스트를 거쳐 소프트웨어의 취약점이나 버그를 식별하고 수정합니다. API 테스트는 API가 정의된 사양을 충족하고 의도한 대로 엔드포인트와 작동하도록 보장합니다. 품질 보증 테스터는 각 API의 기능, 성능, 보안을 수동으로 테스트합니다. 기업은 다음과 같은 목적으로 개발 수명주기 초기에 API 테스트를 시작해야 합니다.

• 각 API가 적절한 보안 제어를 통해 구축되었는지 확인 

• API가 프로덕션에 도달하기 전에 코딩 오류 및 설정 오류와 같은 잠재적 취약점 해결

API 테스트는 다양한 지역 또는 CI/CD 파이프라인 내에서 자동으로 실행될 수도 있습니다. 다양한 API 테스트는 다음과 같습니다.

• API가 설계 단계에서 설명한 기대치를 충족하는지 확인하는 계약 테스트

• API가 지정된 시간 내에 응답을 제공할 수 있는지 확인하는 성능 테스트

• API 취약점을 찾아 해결하는 API 보안 테스트

API 보안 테스트에 대한 자세한 내용은 아래의 "API Security를 위한 핵심 기능"을 참조하세요.

4. 배포

테스트가 성공적으로 완료되면 API가 프로덕션 환경에 배포됩니다. 개발 팀은 CI/CD 파이프라인과 API Gateway 를 사용해 배포 프로세스를 표준화하고 자동화할 수 있습니다. 배포 중에 외부 사용자와 개발자가 공용 API를 사용할 수 있습니다.

5. 모니터링 및 유지 관리

배포 후 API의 성능, 보안, 사용량을 지속적으로 모니터링합니다. DevOps 엔지니어는 API 성능 및 보안이 특정 임계값이나 지표를 충족하지 못할 때 자동으로 알리도록 알림을 설정할 수 있습니다. 이 단계에서는 유지 관리 및 업데이트를 통해 해결할 수 있는 보안 취약점, 오류, 지연 시간이 드러납니다.

6. 버전 관리 및 업데이트

API 내에서 문제가 발견되면 개발 및 DevOps 팀이 새로운 API 버전을 개발하고 릴리스할 수 있습니다. 하위 호환성을 보장하려면 이러한 버전을 관리해야 합니다.

7. 서비스 중단 및 폐기

중단은 API가 더 이상 사용되지 않거나 심각한 문제가 발생하여 새 버전이 필요한 경우 API를 교체하는 것을 의미하는 용어입니다. 서비스 중단이 진행되는 동안 이해관계자와 사용자에게 알림이 전송되고 서비스 종료 일정이 제공됩니다. DevOps 팀은 서비스 종료 시 API를 더 이상 사용하지 않도록 제거하고, 사용자에게 기능 문제가 발생하지 않도록 모든 의존성을 적절히 관리합니다.

오늘날의 위협 환경에서는 API 검색, 체계 관리, 런타임 보호, API 보안 테스트를 제공하는 완벽한 API 보안 솔루션이 필요합니다. 이 포괄적인 접근 방식은 API 수명주기 전반에 걸쳐 API를 관리하고 보호하기 위해 사용하는 기업의 기존 툴을 보완하는 중요한 역할을 합니다.

API 검색: 대부분의 기업은 API 트래픽의 대부분에 대한 가시성이 거의 없거나 전혀 없는데, 모든 API가 API 게이트웨이를 통해 라우팅된다고 가정하기 때문입니다. 하지만 사실은 그렇지 않습니다. 일반적인 기업의 API 중 다수는 관리되지 않습니다(예: 잊혀졌지만 여전히 실행 중이며 민감한 데이터와 접촉하는 휴면 API). 완전하고 정확한 인벤토리가 없으면 기업은 다양한 리스크에 노출됩니다. 필요한 핵심 기능은 다음과 같습니다. 

• 설정이나 종류에 관계없이 모든 API의 위치 및 인벤토리 파악

• 휴면, 레거시, 좀비 API 탐지

• 잊히거나, 방치되거나, 알려지지 않은 섀도 도메인 식별

• 사각지대 제거 및 잠재적 공격 경로 파악 

API 체계 관리: 완전한 API 인벤토리를 구축한 후에는 API를 통해 어떤 종류의 데이터가 이동하고 있는지, 이것이 규제 요구사항을 준수하는 데 있어서 어떤 영향을 미치는지 파악해야 합니다. API 체계 관리는 트래픽, 코드, 설정에 대한 포괄적인 보기를 제공해 기업의 API 보안 체계를 평가합니다. 필요한 핵심 기능은 다음과 같습니다.

• 인프라를 자동으로 스캔해 설정 오류와 숨겨진 리스크 발견

• 주요 이해관계자에게 취약점을 알리는 맞춤형 워크플로우 생성

• 민감한 데이터에 접속할 수 있는 API 및 내부 사용자 식별

• 탐지된 문제에 심각도 순위를 할당해 해결 우선순위 지정

API 런타임 보안: ‘유출 가정’이라는 개념에 대해 다들 잘 알고 계실 것입니다. API 관련 유출 및 공격도 이와 같이 불가피한 수준에 도달하고 있습니다. 프로덕션 환경에서 운영 중인 모든 API에 대해 실시간으로 공격을 탐지하고 차단할 수 있어야 합니다. 필요한 핵심 기능은 다음과 같습니다.

• 데이터 변조 및 유출, 정책 위반, 의심스러운 행동, API 공격 모니터링

• 추가적인 네트워크 변경이나 설치하기 어려운 에이전트 없이 API 트래픽 분석

• 기존 워크플로우(티켓팅, SIEM 등)와 통합해 보안 및 운영 팀에 알림 제공

• 부분적으로 또는 완전히 자동화된 해결을 통해 실시간으로 공격 및 오용 방지 

API 보안 테스트: API 개발팀은 가능한 한 빨리 작업해야 한다는 압박을 받고 있습니다. 모든 애플리케이션을 개발할 때 속도가 필수적인데, 개발 속도가 빠르면 취약점이나 설계 결함이 발생하고 이를 발견하지 못할 가능성이 큽니다. 개발 중인 API를 프로덕션에 출시하기 전에 테스트하면 취약한 API를 수정하는 데 드는 리스크와 비용을 크게 줄일 수 있습니다. 필요한 핵심 기능은 다음과 같습니다.

• 악성 트래픽을 시뮬레이션하는 광범위한 자동화된 테스트 실행

• API가 프로덕션 환경에 들어가기 전에 취약점을 발견해 공격 성공 리스크 줄이기

• 확립된 거버넌스 정책 및 룰에 따라 API 사양 검사

• 온디맨드 또는 CI/CD 파이프라인의 일부로 실행되는 API 중심 보안 테스트 실행

효과적인 API 수명주기 관리는 기업과 팀에 여러 가지 중요한 이점을 제공합니다.

• 고품질 API: 적절한 수명주기 관리는 API가 잘 설계되고 안전하며 사용자의 요구사항을 충족하도록 보장합니다.

• 강력한 API Security: 팀은 수명주기 관리를 통해 API 취약점을 식별하고 수정해 공격자가 API를 공격 기법으로 사용하는 것을 방지함으로써 API Security를 개선할 수 있습니다. 

• 효율적인 개발: 품질 수명주기 관리는 개발 프로세스를 간소화해 팀이 새로운 API와 렌디션(iterations)을 더 빠르게 생성할 수 있도록 합니다.

• 성능 향상: API 수명주기의 지속적인 모니터링은 API 성능을 최적화하는 데 도움이 됩니다.

• 버전 관리: 팀은 API 수명주기 관리를 통해 API를 새로운 버전으로 원활하게 업그레이드하거나 필요할 때 이전 버전으로 롤백할 수 있습니다.

API 수명주기를 관리하면서 IT 팀은 몇 가지 도전 과제에 직면할 수 있습니다.

• 보안: API는 민감한 데이터를 노출하는 경우가 많고 보안이 충분하지 않은 경우가 많기 때문에 사이버 범죄자들에게 주요 공격 기법이 되었습니다. 보안 팀은 위협을 방지하기 위해 속도 제한, 강력한 인증, 코드의 보안 취약점을 식별하고 제거하는 기능을 구축해야 합니다.

• 버전 관리: 팀은 기존 통합 작업에 문제가 발생하지 않도록 각각의 새로운 버전의 API가 하위 호환되는지 확인해야 합니다.

• 문서: 최신 문서를 유지하는 것은 API에 의존하는 개발자와 이해관계자에게 필수적입니다. 팀이 새로운 버전을 개발하고 배포하는 데 급급하면서 이 작업을 간과하기 쉽습니다.

IT 팀은 다양한 API 관리 솔루션을 사용해 API 수명주기를 관리할 수 있습니다.

• API 관리 플랫폼: AWS API Gateway 및 Microsoft Azure API Management와 같은 플랫폼은 API 생태계의 관리, 보안, 모니터링을 위한 포괄적인 솔루션을 제공합니다.

• API 설계 툴: Swagger 및 OpenAPI와 같은 솔루션은 API 사양 및 문서를 생성하는 툴을 제공합니다.

• 자동화 툴: API를 테스트하고 배포할 때 Jenkins 또는 GitLab CI/CD와 같은 툴을 사용하면 워크플로우를 간소화할 수 있습니다.

• API 애널리틱스: API용 Google Analytics와 같은 플랫폼은 API 사용량, 성능, 지표를 추적합니다.

• 개발자 포털: API 문서, 테스트, 커뮤니티 참여를 위한 중앙 허브를 제공합니다.