API 보안 솔루션

API는 차별화되는 수많은 고유한 특성이 있습니다. 예를 들어, API는 여러 시스템 간에 데이터를 교환합니다. 반면에 웹 앱에는 최종 사용자가 웹 브라우저를 사용하여 액세스합니다. 또한, API는 다양한 형식을 사용하여 데이터를 전송하고 백엔드 시스템에 직접 액세스합니다. 보통 최신 웹 앱과 이러한 웹 앱의 백엔드 데이터베이스 및 서버 사이의 중개자 역할을 합니다. 이를 비롯한 기타 차이점으로 인해 API 보안 감지 방법론은 웹 앱 보안과 다릅니다. 삽입 공격 및 액세스 위험과 같이 중복되는 취약점 범주가 존재함에도 불구하고 마찬가지입니다.

조직에는 API 성장을 관리하는 다양한 접근 방식이 있습니다. 여기에는 전체 수명 주기 API 관리, API 관찰 가능성, 보다 포괄적인 접근 방식인 웹 앱 및 API 보호(WAAP) 등이 존재합니다. API 관찰 가능성 도구는 보안에 초점을 맞추기보다는 API 성능에 대한 관찰과 인사이트를 제공합니다. 전체 수명 주기 API 관리는 API 관리에 중점을 두는 경우가 많지만 보안의 정교함이 부족합니다. Gartner는 WAAP(웹 앱 및 보호)를 호스팅되는 위치와 관계없이 웹 앱을 보호하기 위해 설계한 보안 솔루션 카테고리로 정의합니다. WAAP는 프로덕션, 실시간 모니터링, 남용, zero-day 위협 및 공격자로부터 보호하기 위한 측면에서 API에 가장 적합합니다.

REST API를 사용하면 클라이언트는 서버에서 리소스를 요청할 수 있습니다. 서버는 현재 상태의 정보를 클라이언트에 반환합니다. 공격자는 REST API의 ‘호출 및 응답’ 프로세스 과정에서 언제든지 API를 공격 대상으로 삼을 수 있습니다. 따라서 REST API 남용을 방지하려면 인증된 ‘정상’ API 트래픽만 인증하여 불법 클라이언트의 요청을 차단해야 합니다. API 인증 및 권한 부여 방법에는 mTLS 인증서, JSON 웹 토큰, 유효한 API 키, OAuth 2.0 토큰 등이 있습니다.

사용자 자격 증명을 별도로 인증하는 대신 API 요청과 함께 비밀 텍스트 문자열을 전송하는 API 액세스 키를 통해 API에 더 안전하게 액세스할 수 있습니다. 하지만 API 키는 여전히 메시지 가로채기 공격, 개발자의 부적절한 사용, 소스 코드의 문제가 있는 비밀 저장과 같은 위험을 마주할 수 있습니다. JSON 웹 토큰(JWT)은 정적 API 키에 대한 보다 안전하고 유연한 대안을 제공합니다. 단, 중요한 데이터가 페이로드에 포함되는 것을 방지하고 토큰 만료를 시행하려면 안전한 암호화 알고리즘을 사용하여 JWT에 서명해야 합니다.

IT, 보안 및 앱 개발 이해관계자는 다양한 메트릭을 통해 자체 API 보안 수준을 평가할 수 있습니다. 예를 들어, 강력한 API 보안 모델을 갖춘 조직은 모든 API가 데이터를 준수하고 강력한 인증 또는 권한 부여 방법을 사용하고 있음을 보여주는 최신 API 자산 인벤토리를 보유해야 합니다. 또한, 감사를 진행하여 API 요청에 사용된 자격 증명이 노출되거나 손상되었는지 확인하고 API 요청/응답에서 개인 식별 정보(PII), 신용카드 데이터 또는 개인 건강 정보를 스캔해야 합니다. 또한 각 엔드포인트에서 관찰 가능한 트래픽 패턴을 기반으로 API에 대해 적응형 및 지능형 속도 제한을 설정할 수 있는 기능은 더욱 향상된 API 보안의 지표가 되기도 합니다.

API 남용은 실제 사용자의 사용자 경험을 방해하거나 악화하는 비즈니스 로직의 결함 및 앱 취약점을 악용하여 API를 악의적으로 악용하는 것을 의미합니다. 오늘날 API에서 가장 흔하게 볼 수 있는 것으로는 데이터 노출, 비인가 작업, 보안 제어 우회, 서비스 중단, 권한 상승이 있으며 이는 취약한 개체 수준 권한 부여(BOLA) 및 취약한 기능 수준 권한 부여(BFLA)로 알려진 인증 및 허가 제어가 부족해서 발생합니다.