- 커머스 기업은 API 관련 인시던트를 자주 겪으며, 그중에서도 접속 제어 문제와 AI 관련 공격이 가장 큰 원인으로 꼽힙니다. 커머스 분야 리더들은 지난해 가장 빈번하게 발생한 인시던트 유형으로 누락되거나 불충분한 접속 제어 시스템의 악용을 꼽았으며, 그 다음으로는 AI 기술과 관련된 API를 노린 공격이 근소한 차이로 뒤를 이었다고 응답했습니다.
- 민감한 고객 및 결제 데이터 흐름에 대한 가시성 부족은 여전히 심각한 문제점으로 남아 있습니다. 많은 커머스 기업은 완전한 API 인벤토리를 보유하고 있다고 말하지만, 그중 어떤 API가 민감한 데이터를 반환하는지 아는 기업은 거의 없습니다.
- 커머스 분야 리더들은 AI 보안을 최우선 과제로 삼고 있지만, 테스트 성숙도와 런타임 보호 수준은 여전히 뒤처져 있습니다. 41%의 커머스 기업이 AI 기술을 공격으로부터 보호하는 것을 최우선 사이버 보안 과제로 삼고 있습니다.
핵심 내용
자주 묻는 질문(FAQ)
자주 묻는 질문(FAQ)
2026년도 설문 조사에 따르면 커머스 기업의 85%가 지난 12개월 동안 API 관련 보안 인시던트를 1건 이상 경험했다고 응답했습니다.
가장 일반적인 인시던트 유형은 누락되거나 불충분한 접속 제어를 악용하는 것이며, 그 다음으로는 AI 기술과 연결된 API를 노리는 공격이 많습니다.
공격자는 조작된 프롬프트를 이용해 AI 쇼핑 도우미를 속여 보안이 취약한 기본 API에 요청을 보내도록 할 수 있습니다. 이로 인해 민감한 고객 정보나 결제 세부 사항이 아무런 검증 절차 없이 노출될 수 있습니다.
가시성이 매우 낮은 상황입니다. 커머스 기업의 단 22%만이 자사가 보유한 API 중 실제로 민감한 고객 또는 결제 데이터를 반환하는 API를 추적할 수 있습니다.
이 연구 결과에 따르면 경영진은 자사의 준비 상태를 과대평가하는 경우가 많으며, API를 매일 다루는 DevSecOps 및 애플리케이션 보안 전문가들보다 성숙도와 통합 수준을 2~12% 더 높게 평가합니다.
92%의 기업은 API를 컴플라이언스에 포함시킨다고 말하지만, 실제로 이를 공식적인 컴플라이언스 보고서에 포함시키는 기업은 36%에 불과해 고위급의 의도와 실제 규제 조치 간에 괴리가 존재합니다.
팀은 모든 API에 대한 지속적인 자동 검색 기능을 구축하는 데 집중해야 하며, 개발 라이프사이클에서 기능 테스트를 엄격한 보안 테스트로 전환하고, 전용 동작 기반 런타임 보호 기능을 추가해야 합니다.