디지털세계의 '엔진', API가 위험하다

[애플경제 이윤순 기자] 애플리케이션 프로그래밍 인터페이스(API)는 현대 디지털 생태계에서 필수적이다. 적어도 컴퓨터를 작동해 앱이나 각종 솔루션을 활용하려면 API가 엔진 역할을 한다. 현대 디지털 생태계의 기반이며, 다양한 애플리케이션, 서비스, 플랫폼 간의 원활한 통신과 상호 운용성을 가능하게 한다. 금융, 의료, 전자 상거래, 클라우드 컴퓨팅에 이르기까지 산업 전반에 걸쳐 데이터 교환을 용이하게 하고 첨단 기술의 배포를 가속화한다.

그럴수록 API에 대한 해커들의 위협도 증가하고 있다. 기업의 경우는 더욱 필수적이 되면서 사이버 위협의 주요 대상이 되고 있다. 이에 API 공격에 의한 데이터 침해와 운영 중단을 방지하기 위해 늘 각별한 보안 노력이 중요할 수 밖에 없다. API가 뚫릴 경우 정상적인 컴퓨팅 자체가 불가능해진다.

이에 전문가들은 “확장 가능한 인프라, AI/ML 기반 방어, 실시간 위협 탐지를 통합한 다중 방어 전략”을 일단 그 대안으로 제시하고 있다.

디지털 생태계의 중요 자산 ‘API’에 대한 위협

기업의 경우 API가 단 한 번 침해를 받아도, 민감한 고객이나 기업 정보가 노출되어 재정적 손실, 규제 처벌 및 법적 책임이 발생할 수 있다. 손상된 API로 인해 기업 운영 전반에 걸쳐 불안정성과 고객 불신, 평판 손상을 일으킨다.

전문가들은 “이에 대응하기 위해 우선 API 보안에 대한 사전적이고 다층적인 접근 방식을 채택해야 한다”고 권한다.

불행히도 공격자들은 API 취약성을 악용하는데 더욱 능숙해졌고, 다양한 환경에서 API를 모니터링하면 강력한 보안을 유지하기가 더 어려워진다. 글로벌 보안업체 ‘트레이서블’은 최근 펴낸 분석 보고서에서 “기업들이 각종 웹 애플리케이션 방화벽이나, 콘텐츠 전송 네트워크와 같은 보호 기능을 만들면 만들수록, 공격자들도 더욱 진화를 거듭하며 새로운 API 악용 방법을 만들어내고 있다”고 우려했다.

실제로 API가 그토록 중요함에도 불구하고, 그 취약성은 더욱 빈번하게 노출되고 있다. 대표적으로 SQL 주입이나 XSS와 같은 주입 공격이 있다. 이는 API 요청의 악성 코드로 인해 무단 액세스, 데이터 도난 또는 시스템 손상을 가능하게 한다. ‘손상된 객체 수준 권한 부여’(BOLA, Broken Object Level Authorization) 공격은 사용자, 즉 엔드 포인트의 제한된 개체에 액세스할 수 있도록 하는 결과를 빚는다.

이같은 BOLA는 보호 기능의 적절한 세분화 없이 실제로 공격자가 얻으려고 의도한 것보다 더 많은 권한이나 정보를 해당 API에서 얻을 수 있도록 하는 것이다. 그 때문에 ‘글로벌 웹 애플리케이션 보안 프록젝트’(OWASP)가 수년 동안 BOLA를 일관되게 “최고의 API 취약성”으로 지목하고 있다.

또 다른 주요 위험인 ‘손상된 인증’은 결함으로 인해 공격자가 보안을 우회하고, 사용자를 사칭할 수 있을 때 발생한다. 특히 문서화되지 않고 관리되지 않는 ‘섀도우 API’는 보안 감독 없이 운영되어, 적절한 모니터링이 부족하고 데이터 침해나 규정 위반의 위험이 커진다.

API보안 강화될수록 공격 벡터도 발달

API가 날로 보편화될수록 사이버 범죄자들도 더욱 기승을 떨며, 새로운 공격 벡터를 만들고 있다. 특히 사용자가 API를 남용할수록 속도가 느려지고, 액세스 제어가 잦은 점을 악용하곤 한다. 데이터를 스크래핑하거나 시스템 리소스를 고갈시킨다. 비즈니스 로직 공격으로 API 설계 결함을 조작하거나, 사기를 저지르기도 한다.

사이버 범죄자는 또한 봇과 AI를 사용, 대규모 API 공격을 시작함으로써 대규모로 취약점을 악용한다. 이에 비해 API 보안과 방어기술은 여전히 이를 못따라 가는 현실이다.

API 보안은 API가 여러 플랫폼에 걸쳐 있는 멀티 클라우드 및 하이브리드 환경에서 특히 어렵다. 흔히 API는 그 속성상 중앙 집중식 모니터링 없이 빠르게 배포되고, 관리되지 않는다. 중앙 집중형 모니터링이 없기 때문에 기업의 보안팀은 실시간으로 위협을 감지할 수가 없고, 확장 중인 API 생태계는 날로 불안하고 취약해질 수 밖에 없다. 보안 사각지대도 날로 늘어날 수 밖에 없다. 더욱이 전문가들은 “클라우드 공급자 간에 보안 프로토콜이 다르면 균일한 보호가 더욱 어려워진다”고 우려했다.

API보안에 특히 ‘다층 보안 전략’이 중요

이를 방지하기 위한 효과적인 API 보안을 위해선 또한 다층 접근 방식, 즉 다층 보안 전략이 필요하다는게 전문가들의 조언이다. 다층 보안 전략은 여러 지점에서 위협을 차단, 노출을 줄이고 단일 취약점이 전체 시스템을 손상시키는 것을 방지한다. AWS와 ‘트레이서블’은 “이를 통해 잠재적인 공격을 억제하고 제한하여 생태계 전체의 손상을 방지한다”면서 “한 계층이 손상되어도 보호를 유지하는 또 다른 보안 조치를 통해 신속하게 복구할 수 있다”고 했다. 이는 또 하이브리드 및 클라우드 네이티브 환경에서 배포를 간소화한다. 그로 인해 복잡성을 최소화해 일관된 보호가 가능하게 한다.

또 사전 배포 테스트를 통해 취약성을 조기에 감지할 필요가 있다. 실시간 모니터링을 통해 데이터 스크래핑이나, 자격 증명 스터핑과 같은 위협을 차단해야 한다. 특히 ‘섀도우 API’를 포함한 모든 API에 대한 완벽한 가시성을 확보, 보안 사각 지대를 방지할 필요가 있다. 이때 AI 기반의 위협 탐지는 새로운 위험을 식별하고 대응을 가속화한다. 또한 배포를 간소화함으로써 멀티 클라우드나 하이브리드 환경에서 원활한 배포가 이뤄지게 하는 것이 바람직하다.