½¦µµ¿ì API Æ®·¡ÇÈ °Ë»ö ¹× È®ÀÎÇÏ´Â °¡½Ã¼º Á¦°ø...¿ÀÇ API ¹× ¹é¿£µå API Æ®·¡ÇÈ º¸È£
[º¸¾È´º½º ±Ç ÁØ ±âÀÚ] ±Û·Î¹ú WAAP(À¥¾ÖÇø®ÄÉÀÌ¼Ç & API º¸¾È) ¼±µµ±â¾÷ÀÎ ÀÓÆÛ¹Ù(Imperva)´Â ½¦µµ¿ì API(ÀÀ¿ë ÇÁ·Î±×·¡¹Ö ÀÎÅÍÆäÀ̽º) Æ®·¡ÇÈ¿¡ ´ëÇÑ °Ë»ö ¹× ¹Î°¨ÇÑ µ¥ÀÌÅÍ ºÐ·ù¸¦ ÅëÇÏ¿© API º¸¾ÈÀ» ÇÑÃþ °ÈÇÑ Advanced API º¸¾È ¼Ö·ç¼ÇÀ» Ãâ½ÃÇß´Ù.
¡ãÀÓÆÛ¹Ù Advanced API º¸¾È ¼Ö·ç¼ÇÀÇ Cloud WAF ±¸¼º(¿ÞÂÊ)°ú µ¶¸³ ±¸¼º[ÀÚ·á=ÀÓÆÛ¹Ù]
ÀÓÆÛ¹ÙÀÇ Advanced API º¸¾È ¼Ö·ç¼ÇÀº ¸ðµç ȯ°æ¿¡ ½±°Ô ¹èÆ÷µÇ¸ç ·¹°Å½Ã ¹× Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀÌ¼Ç Àü¹Ý¿¡ °ÉÄ£ µ¥ÀÌÅÍ¿¡ ´ëÇÑ °¡½Ã¼º°ú º¸È£ ±â´ÉÀ» Á¦°øÇÑ´Ù. ¼ºñ½ºÀÇ Á¦°ø ÇüÅ´ ÀÓÆÛ¹Ù Cloud WAF(À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹æȺ®)¿¡ °£·«È÷ Add-onÇÏ¿© ¼ºñ½º¸¦ È°¼ºÈÇϰųª Stand-alone(µ¶¸³ ±¸¼º)À¸·Î ½Å¼ÓÇÏ°Ô ¹èÆ÷ÇØ ¸ðµç API Æ®·¡ÇÈ¿¡ ´ëÇÑ °¡½Ã¼ºÀ» È®º¸ÇÒ ¼ö ÀÖ´Ù.
ÀÓÆÛ¹Ù API Security´Â Á¾Á¾ ÀûÀýÇÑ º¸¾È Á¦¾î°¡ ºÎÁ·ÇÏ°í ¾ÇÀÇÀûÀ̰ųª ÀǵµÇÏÁö ¾ÊÀº ³ëÃâ¿¡ Ãë¾àÇÑ °³¹ßÀÚ È¯°æ¿¡¼ API¸¦ º¸È£ÇÑ´Ù. Gartner¿¡ µû¸£¸é Mark O¡¯Neil°ú Shameen Pillai´Â 2021³â 5¿ù ¹ß°£µÈ º¸°í¼ ¡®¼ÒÇÁÆ®¿þ¾î ¿£Áö´Ï¾î¸µ ¸®´õ°¡ API¿¡ ´ëÇØ ¾Ë¾Æ¾ß ÇÒ 10°¡Áö »çÇס¯¿¡¼ ¡°2024³â±îÁö API ³²¿ë ¹× °ü·Ã µ¥ÀÌÅÍ Ä§ÇØ°¡ °ÅÀÇ µÎ ¹è°¡ µÉ °Í¡±À̶ó°í ¼³¸íÇß´Ù.
¡ãOWASP API Security Top 10[ÀÚ·á=OWASP]
Á¶Á÷ÀÌ µðÁöÅÐ Çõ½ÅÀ» °¡¼ÓÈÇÏ°í Çö´ëÀûÀÎ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß Á¢±Ù ¹æ½ÄÀ» äÅÃÇÔ¿¡ µû¶ó APIÀÇ ¾çÀÌ Áõ°¡ÇÏ°í ÀÖ´Ù. ÀÓÆÛ¹Ù ¸®¼Ä¡·¦(Research Labs)ÀÇ Å¬¶ó¿ìµå WAF Æ®·¡ÇÈ ºÐ¼®¿¡ µû¸£¸é API¿¡¼ À¯ÀԵǴ À¥ Æ®·¡ÇÈÀÇ ºñÀ²Àº 2022³â Àü³â µ¿±â ´ëºñ 30% Áõ°¡Çß´Ù. API Æ®·¡ÇÈÀÇ ¾çÀÌ Áõ°¡ÇÔ¿¡ µû¶ó Á¶Á÷ÀÇ ¹Î°¨ÇÑ µ¥ÀÌÅÍ¿¡ ´ëÇÑ ´õ Å« À§ÇùÀÌ µÇ°í ÀÖ°í, ÀÌ¿¡ °ø°ÝÀÚ´Â API¸¦ ±âº» ÀÎÇÁ¶ó ¹× µ¥ÀÌÅͺ£À̽º¿¡ ´ëÇÑ °ø°Ý °æ·Î·Î Á¡Á¡ »ï°í ÀÖ´Ù. ÀÓÆÛ¹Ù API Security´Â ¸ðµç API¿¡ ´ëÇÑ Áö¼ÓÀûÀÎ °¡½Ã¼º°ú º¸È£¸¦ Á¦°øÇÏ¿© ºü¸£°í ¾ÈÀüÇÑ °³¹ßÀ» °¡´ÉÇÏ°Ô Çϸç, Shadow API¸¦ ¹ß°ßÇØ µ¥ÀÌÅÍ Ä§ÇØ ¹× µ¥ÀÌÅÍ À¯Ãâ À§ÇèÀ» ¿ÏÈÇÏ°í ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÚ ¹× º¸¾È °ü¸®ÀÚ¸¦ À§ÇÑ ¼öÁ¤»çÇ×À» Á¦¾ÈÇÒ ¼ö ÀÖ´Ù.
ÀÓÆÛ¹Ù API º¸¾È°ü·Ã ÁÖ¿ä Â÷º°È Æ÷ÀÎÆ®´Â ¾Æ·¡¿Í °°´Ù.
- ¸ðµç API¸¦ ÅëÇØ È帣´Â µ¥ÀÌÅÍ ½Äº° ¹× ºÐ·ù : API º¸È£´Â ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ º¸È£Çϱâ À§ÇÑ È®ÀåÀ̾î¾ß ÇÑ´Ù. ÀÓÆÛ¹Ù API Security´Â API¸¦ ÅëÇØ È帣´Â µ¥ÀÌÅ͸¦ ½Äº° ¹× ºÐ·ùÇÏ´Â µ¿¾È °¢ APIÀÇ Àüü ½ºÅ°¸¶¸¦ ÀÚµ¿À¸·Î °Ë»öÇÑ´Ù.
- API ¹× ½ºÅ°¸¶ º¯°æ¿¡ ´ëÇÑ Áö¼ÓÀûÀÎ °Ë»ö : REST API¸¦ ºü¸£°Ô °¨ÁöÇÏ¿© Æ÷ÁöƼºê º¸¾È ¸ðµ¨À» »ý¼ºÇÒ ¼ö ÀÖ´Ù. API Àκ¥Å丮´Â ÀÚµ¿À¸·Î ¾÷µ¥ÀÌÆ®µÇ¾î º¸¾È ÆÀÀÌ ÇÁ·Î´ö¼Ç¿¡¼ API¸¦ ÀÚÁÖ ¼öÁ¤ÇÏ´Â °³¹ßÀÚ¿Í º¸Á¶¸¦ ¸ÂÃâ ¼ö ÀÖ´Ù.
- À¯¿¬ÇÑ ¹èÆ÷ ¸ðµ¨ : ÀÓÆÛ¹Ù API Security´Â Kubernetes, ·¹°Å½Ã ¸ð³î¸®½Ä ¾Û, µ¶¸³ ½ÇÇàÇü ¸¶ÀÌÅ©·Î¼ºñ½º, À¥ ÇÁ·Ï½Ã ¶Ç´Â ´Ù¸¥ ±âÁ¸ ÀÎÇÁ¶ó¿Í ÅëÇյǴ API °ÔÀÌÆ®¿þÀ̸¦ Æ÷ÇÔÇÑ ·¹°Å½Ã, ÇÏÀ̺긮µå ¹× Ŭ¶ó¿ìµå ³×ÀÌƼºê ȯ°æ¿¡¼ ÀÛµ¿ÇÑ´Ù. À¯¿¬ÇÑ ¹èÆ÷ ¸ðµ¨Àº °³¹ß ÆÀÀÇ ¼Óµµ¸¦ ´ÊÃßÁö ¾Ê°í ´ÜÀÏ ¼Ö·ç¼Ç¿¡¼ ¿ÀÇ API¿Í ¹é¿£µå API¸¦ ¸ðµÎ º¸È£ÇÑ´Ù.
- API °Å¹ö³Í½º È°¼ºÈ : API ¿£µåÆ÷ÀÎÆ®¸¦ ³Ñ¾î °¢ APIÀÇ ±âº» ÆäÀ̷ε忡 ´ëÇÑ °¡½Ã¼ºÀ» È®º¸ÇÑ´Ù. ÀÌ´Â ±ÔÁ¦°¡ ¾ö°ÝÇÑ »ê¾÷ÀÇ ºñÁî´Ï½º ¸®´õ±â¾÷ÀÇ °Å¹ö³Í½º ¸ðµ¨À» ½ÃÇàÇÏ°í ÀáÀçÀûÀÎ µ¥ÀÌÅÍ Ä§Çظ¦ ¸·´Â µ¥ Å« µµ¿òÀÌ µÉ ¼ö ÀÖ´Ù.
ÀÓÆÛ¹ÙÀÇ Á¦Ç° ´ã´ç ¸Å´ÏÀúÀÎ Ä® Æ®¸®º£½º(Karl Triebes) SVP´Â ¡°°ø°ÝÀÌ Áõ°¡ÇÏ°í Á¤±³ÇØÁü¿¡ µû¶ó Á¶Á÷Àº API¸¦ º¸È£Çϱâ À§ÇÑ »õ·Î¿î Á¢±Ù ¹æ½ÄÀÌ ÇÊ¿äÇÏ´Ù¡±¸ç ¡°±â¾÷ÀÇ È¯°æ¿¡ ¾ó¸¶³ª ¸¹Àº API°¡ ÀÖ´ÂÁö ¾Æ´Â °Í¸¸À¸·Î´Â ÃæºÐÇÏÁö ¾Ê´Ù. ±âº» µ¥ÀÌÅÍ º¸È£¿¡ ÁßÁ¡À» µÐ ÀÓÆÛ¹Ù API Security´Â º¸¾ÈÆÀ°ú °³¹ßÆÀÀÌ Äڵ带 º¯°æÇϰųª °³¹ß ¼ö¸í Áֱ⸦ ´ÊÃßÁö ¾Ê°í Çù·ÂÇÏ¿© ÀÛ¾÷ÇÒ ¼ö ÀÖµµ·Ï ¼³°èµÆ´Ù¡±°í ¾ð±ÞÇß´Ù.
ÀÓÆÛ¹Ù API Security´Â º¸¾ÈÆÀ°ú °³¹ßÆÀ ¸ðµÎ¿¡°Ô ÀÌÀÍÀÌ µÇµµ·Ï °íÀ¯ÇÏ°Ô ¼³°èµÈ Á¦Ç°À¸·Î ½ÃÀåÀ» ¼±µµÇÏ´Â ÀÓÆÛ¹Ù À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹× API º¸È£ Ç÷§ÆûÀÇ ÇÙ½É ±¸¼º ¿ä¼Ò·Î¼ °í°´Àº ¿Â¶óÀÎ »ç±â, DDoS °ø°Ý ¹× API ³²¿ëÀ¸·ÎºÎÅÍ Áß¿äÇÑ ¾ÖÇø®ÄÉÀ̼ǰú ÀÎÇÁ¶ó¸¦ º¸È£ÇÒ ¼ö ÀÖ´Ù.
[±Ç ÁØ ±âÀÚ(editor@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>