지속적인 API 보안을 위한 방법 (1)

API 보안 문제

기업은 수천 개의 API를 관리하지만 그중 대부분은 API 게이트웨이 또는 WAF와 같은 프록시를 통해 라우팅되지 않습니다. 즉, 검색할 수 없는 API는 모니터링 또는 감사되지 않으며 실수나 사고에 취약하다는 것을 의미합니다. 이로 인해 기업의 보안팀은 API 보안을 위해 힘써야 합니다. 실제로 Gartner는 '2025년까지 API는 API 관리 도구의 기능을 능가하는 폭발적인 성장세를 보이면서 엔터프라이즈 API의 50% 미만만이 관리될 것'이라고 예측했습니다. 즉 나머지 API는 보호되지 않은 상태로 남아 있는다는 것입니다. API 보안 위협은 실재합니다. API의 잘못된 구성 또는 알려진 취약점으로 인해 조직이 알아채지 못하는 사이에 손상될 수 있습니다.

 

 

API의 확산에 따라 다수의 API가 안전하지 않은 이유는 다음과 같습니다.

 

 

 

 

1. 디지털 전환

디지털 전환은 모두에게 엄청난 기회를 선사했고, 그만큼 새로운 기능에 대한 수요도 더 증가했습니다. 이는 기존의 IT 정책이 아닌 긴급성과 상업적 목표를 기반으로 하는 LOB(Line-of-Business) 이니셔티브에 의해 주도되었습니다. 신속하게 행동하고 시장 기회를 포착해야 한다는 절박함은 보안의 영향력을 충분히 고려하지 못하게 했습니다. 중앙 집중식 IT 조직에 속하지 않는 개발자는 내부 통제를 우회하여 새로운 웹사이트와 애플리케이션을 신속하게 구축할 수 있습니다. 또한 대부분의 경우 보안팀은 해당 개발 프로젝트에 대한 가시성을 확보하기 어렵기 때문에 위험을 철저하게 평가할 수 없습니다.

 

2. 재무 모델

이와 함께 중앙 집중식 IT 예산 집행에서 LOB 운영 비용으로 전환하면서 예산의 분배도 변화했습니다. 조직은 빠르게 움직여야 한다는 대가로 증가하는 보안 위험을 반영하는 예산 프로세스를 발전시키지 못했습니다. 사업부는 보안에 예산을 얼마큼 할당해야 하는지 완전히 이해하지 못하는 경우도 발생할 수 있으며, 결과적으로 데이터 보호를 위해 아예 할당되지 않는 경우도 종종 나타났습니다.

 

3. 클라우드 마이그레이션

애플리케이션이 퍼블릭 및 프라이빗 클라우드 환경으로 이동하고 있습니다. 데이터와 워크로드를 이동하면 복잡성이 증가하고 제어력이 감소하며 제 3자가 환경에 추가될 수밖에 없습니다. 조직은 이러한 위험 요소를 완화하기 위해 추가적인 보안 관행이 필요하지만, 이를 효과적으로 구현할 기술, 경험 또는 자원이 부족할 수 있습니다.

 

4. 컨테이너화

마이크로 서비스로 이동하면서 공격 경로가 기하급수적으로 증가했습니다. 이러한 인스턴스는 빠르게 인스턴스화된 후 축소될 수 있습니다. 매우 동적인 특성이 있지만 그보다 정적인 환경을 위해 설계된 레거시 솔루션으로는 제대로 된 API 보안을 구성할 수 없습니다. 단일 애플리케이션을 보호하는 것 보다 훨씬 더 어려운 환경이라고 할 수 있습니다.

 

5. 애자일 개발(신속한 변화를 위한 개발)

사용자와 고객이 새로운 기능을 빠르게 요구하면서 개발의 타임라인이 크게 단축되었습니다. 그 결과 소프트웨어 리더는 CI/CD 방법론을 전략적 가속기로 채택하고 있습니다. 새로운 기능을 반복적으로 추가하며 개발, 통합 및 테스트 작업을 자동화함으로써 소프트웨어는 사용자의 손에 더 신속하게 들어갈 수 있게 되었습니다. 그러나 누가 위험을 관리하고 있을까요? DevOps로의 전환은 보안팀의 통제를 벗어나는 것을 의미합니다. 다행인 점은 몇몇 조직이 개발 프로세스 초기 단계에서 API 보안 테스트를 포함시키는 모델로 전환하고 있습니다. 그러나 이러한 관행이 완전히 채택되기 위해서는 시간이 걸릴 수 있습니다.

 

 

이러한 모든 요인의 결과로 보안팀은 아직 준비를 완벽하게 하지 못했습니다. 아직까지 가시성을 확보할 수 있는 도구가 없었을지도 모릅니다. 이에 대한 해결책은 지속적으로 보안 환경을 구축하는 것입니다. API가 개발되고 프로덕션으로 전환될 때 모범 사례를 API에 구축해야 합니다. 이를 위해서는 첫째, 앱 보안 전문가를 엔지니어링팀에 포함시키는 새로운 문화가 필요합니다. 둘째, API 보안 위험 프로파일을 처리하기 위해 API의 전체 인벤토리를 생성해야 합니다. 셋째, 문제 해결의 우선순위를 정하고 가능한 경우 교정을 자동화하며 API 보안을 현재 애플리케이션 보안 시스템에 원활하게 통합해야 합니다. 마지막으로, 새로운 취약점을 신속하게 식별하고 완화하기 위해 지속적인 감시와 테스트가 필요합니다.

 

 

다음번에는 빠른 속도로 혁신하는 기업의 API를 지속적으로 보호하기 위한 5단계에 대해 자세히 알아보도록 하겠습니다 :D

 

 

 

 

 

출처: Noname Security, continuous-security-apis-whitepaper