Akamai를 통해 API 보안을 강화한 Commerzbank 

유럽 최대의 금융 기관 중 하나인 Commerzbank는 국제적으로 강력한 입지를 갖추어 혁신적인 API 기반 디지털 서비스를 통해 고객에게 가치를 제공합니다. 이 은행은 처음부터 CRUD(생성, 읽기, 수정, 삭제) 작업을 시작으로, 재사용성이 높은 솔루션을 구축하는 데 주력했습니다. 이러한 접근 방식은 탁월한 확장성의 기반이 되어 시간이 지남에 따라 내부 및 외부 API를 자사 생태계에 더 쉽게 통합할 수 있도록 했습니다.

그러나 AI로 가속되고 있는 시대에 Commerzbank는 기존의 보안 조치만으로는 고객의 신뢰도를 유지하고 안전하고 원활한 접속에 대해 커져가는 기대치를 충족할 수 없다는 사실을 인식했습니다. 이 은행은 OWASP 원칙 준수, 잘 정의되고 깔끔한 인터페이스 정의, 엄격한 정책, 보안 토큰 개념, 정기적인 모의 해킹 등의 광범위하고 강력한 메커니즘을 구현했습니다. 그러나 위협과 복잡성이 증가함에 따라 Commerzbank는 실시간으로 적응할 수 있는 솔루션이 필요했습니다.

이를 위해 이 은행은 Akamai 및 Deloitte와 파트너십을 맺고 기존 API 관리 플랫폼을 강화하고 확장하는 전용 API 보안 레이어를 구축했습니다. 이 이니셔티브는 은행이 API 생태계가 확장됨에 따라 민첩성, 컴플라이언스 및 안전한 확장 역량을 유지하는 동시에 비정상 징후를 탐지하고, 관리되지 않는 섀도 API를 발견하고, 부서 간 거버넌스를 강화하는 데 도움이 되었습니다.

Commerzbank는 매달 60억 건 이상의 API 호출을 처리해 고객, 파트너, 내부 애플리케이션으로 구성된 방대한 디지털 생태계를 지원합니다. 2017년부터는 Axway Amplify API Management Platform을 사용해 내부 및 인터넷 기반 API를 모두 관리하고 있습니다. 하지만 위협이 더욱 정교해지면서 수석 소프트웨어 엔지니어이자 솔루션 아키텍트인 볼커 슐츠바흐는 강력한 API 방어의 필요성을 인식했습니다.

슐츠바흐는 “자사 API 관리 플랫폼의 기능에는 전혀 문제가 없었습니다.”라고 말했습니다. “하지만 비정상적인 API 행동과 잠재적인 공격이 문제를 일으키기 전에 탐지할 수 있는 수단이 필요했습니다.”

은행의 보안관제센터(SOC)에서 방화벽과 같은 광범위한 네트워크 보호 기능을 담당했지만 슐츠바흐의 팀은 혁신을 저해하지 않으면서도 비정상 징후와 섀도 API를 조기에 탐지할 수 있도록 모든 비즈니스 관련 API를 직접 감독하기를 원했습니다.

여러 벤더사를 평가한 후 Commerzbank는 환경 전반에서 API를 지속적으로 검색, 분류, 보호하는 Akamai의 API Security 솔루션을 선택했습니다. 슐츠바흐는 “비정상 징후 탐지가 최우선 과제였습니다.”라고 말했습니다.

“호출 건을 하나씩 점검하는 방식이 아닌 행동 기반 평가가 필요했는데, Akamai에서 이를 지원했습니다.”라고 그는 덧붙였습니다. API Security는 머신 러닝 기반 비정상 징후 탐지 기능을 통해 비정상 API 행동, 잠재적 오용, 섀도 API를 탐지해 관리형 및 비관리형 엔드포인트 모두에 대한 완벽한 가시성을 제공합니다.

슐츠바흐는 “API Security가 개발 단계에서 ‘악성’ API를 탐지하고 보안을 통합하는 데 도움이 된다는 점에서 깊은 인상을 받았습니다.”라고 설명했습니다.

구축의 첫 번째 단계는 API를 가동하기 전에 시뮬레이션하고 테스트하는 데 사용되는 Commerzbank의 샌드박스 게이트웨이에서 시작되었습니다. 해당 팀은 API Security의 정확성과 응답성을 검증한 후, 처음에 약 25개의 프로덕션 API를 보호했습니다.

“먼저 룰을 만들고, 오탐률을 줄이고, 팀이 알림에 대응할 수 있게 하고 싶었습니다. 다음 단계에서는 API Security의 용도를 더욱 넓힐 계획입니다.”라고 슐츠바흐는 설명했습니다.

이러한 확장은 나아가 수많은 API와 엔드포인트를 아울러 내부 및 외부 트래픽에 대한 지속적인 가시성과 보안을 제공할 것입니다.