Home > Àüü±â»ç

[2022 API º¸¾È¸®Æ÷Æ®] Ä¿Áö´Â API º¸¾ÈÀ§Çù, ´ëÀÀ¹æ¾È ÁýÁߎ±¸

ÀÔ·Â : 2022-07-29 18:38
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
2024³â±îÁö API ³²¿ë ¹× °ü·Ã µ¥ÀÌÅÍ Ä§ÇØ µÎ ¹è·Î Áõ°¡
±â¾÷ÀÇ 81.4%, API º¸¾È ¼Ö·ç¼Ç ¹Ì»ç¿ë...º¸¾È À§Çù ÀÎ½Ä ºÎÁ· 34%, ¿¹»ê ¹ÌÈ®º¸ 31.5% Â÷Áö
API ´ëÇ¥ ¼Ö·ç¼Ç ÁýÁߺм® : ¾ÆÄ«¸¶ÀÌ, ¿¡½ºÄɾî, ¿£½ÃÅ¥¾î, ÆÄÀÌ¿À¸µÅ©, Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ


[º¸¾È´º½º ±âȹÃëÀçÆÀ] API(Application Programming Interface)´Â ÀÀ¿ë ÇÁ·Î±×·¥ ÇÁ·Î±×·¡¹Ö ÀÎÅÍÆäÀ̽ºÀÇ ÁÙÀÓ¸»ÀÌ´Ù. ÇÁ·ÎÅäÄÝ ÁýÇÕÀ» »ç¿ëÇØ µÎ ¼ÒÇÁÆ®¿þ¾î ±¸¼º ¿ä¼Ò°¡ ¼­·Î Åë½ÅÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ¸ÞÄ¿´ÏÁò(Mechanism: »ç¹°ÀÇ ÀÛ¿ë ¿ø¸® ¶Ç´Â ±¸Á¶)ÀÌ´Ù. ¿äûÀ» º¸³»´Â ¾ÖÇø®ÄÉÀ̼ÇÀΠŬ¶óÀ̾ðÆ®¿Í ÀÀ´äÀ» º¸³»´Â ¾ÖÇø®ÄÉÀ̼ÇÀÎ ¼­¹ö°¡ ¼­·Î ¿äû°ú ÀÀ´äÀ» »ç¿ëÇØ Åë½ÅÇÑ´Ù.

[À̹ÌÁö=utoimage]


API´Â ³»¡¤¿ÜºÎ µ¥ÀÌÅ͸¦ ¼Õ½±°Ô Á¦°øÇÏ°í, µðÁöÅÐ Àüȯ ½Ã´ë¿¡ ´Ù¾çÇÏ°Ô È°¿ëµÇ°í ÀÖ´Ù. Àß ¼³°èµÈ API´Â ÇÁ·Î±×·¥ °³¹ßÀ» º¸´Ù ½±°Ô ÇØÁֱ⠶§¹®¿¡ ±â¾÷¿¡¼­ÀÇ API »ç¿ëÀº ºü¸£°Ô Áõ°¡ÇÏ´Â Ãß¼¼´Ù. ¹Ý¸é º¸¾È À§ÇùÀº °¥¼ö·Ï Ä¿Áö°í ÀÖ´Ù. API º¸¾È ÀνÄÀÌ ºÎÁ·ÇÏ°í, º¸¾ÈÀÌ Çã¼úÇϱ⠶§¹®ÀÌ´Ù.

¿ÃÇØ »ó¹Ý±â API °ø°Ý½Ãµµ´Â Áö³­Çغ¸´Ù ¼ö¹é ¹è ±ÞÁõÇß°í, API ³²¿ë°ú µ¥ÀÌÅÍ Ä§ÇØ »ç°í´Â 2024³âµµ±îÁö ¾à 2¹è°¡·® Áõ°¡ÇÒ °ÍÀ¸·Î ¿¹ÃøµÆ´Ù. API´Â ¹Î°¨ÇÑ µ¥ÀÌÅÍ°¡ ÀúÀåµÈ ¹é¿£µå µ¥ÀÌÅͺ£À̽º¿¡ Á÷Á¢ ¿¬°áµÇ±â ¶§¹®¿¡ ÇØÄ¿´Â À̸¦ ³ë¸®°í API ±â¹Ý ÀÎÇÁ¶ó °æ·Î¸¦ Ç¥Àû »ï¾Æ µ¥ÀÌÅ͸¦ ÈÉÃij½´Ù. API º¸¾È»ç°í´Â µ¥ÀÌÅÍ À¯Ãâ, µ¥ÀÌÅÍ ½ºÅ©·¡ÇÎ(Data Scraping), ¾×¼¼½º ³ëÃâ, ÃÖÁ¾ »ç¿ëÀÚ ÃßÀû, °èÁ¤ Å»Ãë µîÀÌ ÀÖÀ¸¸ç, ±â¾÷ÀÇ »ó´ç¼ö´Â API °ü·Ã ¹®Á¦¸¦ °Þ°í ÀÖ´Ù.

API »ç¿ëÀº ±ÞÁõÇÏÁö¸¸ Á¤ÀÛ º¸¾ÈÀº ¡®µÞÀü¡¯
ÇØ¿Ü ½ÃÀåÀº ÀÌ¹Ì API º¸¾È¿¡ ´ëÇØ ÁÖ¸ñÇÏ¸ç °æ°¢½ÉÀ» ºÒ·¯ÀÏÀ¸Å°°í ÀÖ´Ù. °¡Æ®³Ê(Gartner)¿¡ µû¸£¸é ¡°2022³âºÎÅÍ API ³²¿ëÀÌ °¡Àå ºó¹øÇÑ °ø°Ý °æ·Î·Î ´ëµÎµÅ ±â¾÷ÀÇ À¥ ¾ÖÇø®ÄÉÀÌ¼Ç Ä§ÇØ°¡ ¹ß»ýÇÒ °Í¡±À̶ó°í ºÐ¼®Çß´Ù. µ¥ÀÌÅÍ ºÐ¼®°¡ »þ¹Î ÇʶóÀÌ(Shameen Pillai)´Â ¡°2024³â±îÁö API ³²¿ë ¹× °ü·Ã µ¥ÀÌÅÍ Ä§ÇØ°¡ °ÅÀÇ µÎ ¹è·Î Áõ°¡ÇÒ °Í¡±À¸·Î ¿¹ÃøÇß´Ù. ¶ÇÇÑ °¡Æ®³Ê´Â ¡°2025³â±îÁö ±â¾÷ APIÀÇ 50%°¡ ¡®°ü¸®µÇÁö ¾ÊÀº »óÅ¡¯·Î ÀÖÀ» °Í¡±À̶ó°í Áø´ÜÇß´Ù.

Æ÷·¹½ºÅÍ(Forrester)´Â ¡°º¸¾È ÀÇ»ç°áÁ¤±ÇÀÚ(61%), LOB ÀÇ»ç°áÁ¤±ÇÀÚ(59%), ¾Û°³¹ß ÀÇ»ç°áÁ¤±ÇÀÚ(56%) µî ºñÁî´Ï½º Àü¹ÝÀÇ ÀÇ»ç°áÁ¤±ÇÀÚ°¡ ÇâÈÄ 12°³¿ù µ¿¾È °¡Àå Áß¿äÇÑ º¸¾È ¿ì¼±¼øÀ§·Î API¸¦ ²Å¾Ò´Ù¡±¸ç ¡°API µµÀÔ Áõ°¡¿¡ µû¸¥ °ø°ÝÇ¥¸é È®´ë¡¤µ¥ÀÌÅÍ º¸¾È¿¡ ´ëÇÑ µÎ·Á¿ò(55%), ¹Î°¨ÇÑ µ¥ÀÌÅÍ°¡ À߸øµÈ »ç¶÷¿¡°Ô ³ëÃâµÇ´Â °Í¿¡ ´ëÇÑ µÎ·Á¿ò(52%)ÀÌ °¡Àå Å« °ÍÀ¸·Î Á¶»çµÆ´Ù¡±°í ¹ßÇ¥Çß´Ù.

API ºÒ¾ÈÁ¤°ú °ü·ÃµÈ ºñ¿ëµµ Áõ°¡ÇÏ°í ÀÖ´Ù. ¸¶½Ã ¸Æ·¹³Í(Marsh McLennan) »çÀ̹ö ¸®½ºÅ© ºÐ¼® ¼¾ÅÍ(Cyber Risk Analytics Center)ÀÇ ¡®API ºÒ¾ÈÁ¤ ºñ¿ë Á¤·®È­¡¯ ¿¬±¸¿¡ µû¸£¸é API ºÒ¾ÈÁ¤À¸·Î ÀÎÇØ ¿¬°£ 410¾ï~750¾ï´Þ·¯ÀÇ ¼Õ½ÇÀÌ ¹ß»ýÇÏ´Â °ÍÀ¸·Î ºÐ¼®µÆ´Ù.

±¹³»¿¡¼± ¸¶À̵¥ÀÌÅÍ ±â¼ú °¡À̵å¶óÀÎ °³Á¤(°³Á¤ÀÏ 2021³â 11¿ù 10ÀÏ)¿¡ µû¶ó ±ÝÀ¶±ÇÀÇ API º¸¾ÈÀÌ Àǹ«È­µÆ´Ù. ÀÌ·Î ÀÎÇØ º¸¾ÈÀÇ Á߿伺Àº ´õ¿í Ä¿Áö°í ÀÖ´Ù. API º¸¾ÈÀÌ Áß¿äÇÑ ÀÌÀ¯´Â ±â¾÷Àº API¸¦ ÀÌ¿ëÇØ ¼­ºñ½º¸¦ ¿¬°áÇÏ°í, µ¥ÀÌÅ͸¦ Àü¼ÛÇϱ⠶§¹®¿¡ API°¡ ¼Õ»ó, ³ëÃ⠶Ǵ ÇØÅ·µÇ¸é ÁÖ¿ä µ¥ÀÌÅÍ À¯Ãâ »ç°íÀÇ ¿øÀÎÀÌ µÇ±â ¶§¹®ÀÌ´Ù. ´õ±º´Ù³ª ±ÝÀ¶±ÇÀº ÀÌ¿ëÀÚÀÇ ÀÚ»êÀ» º¸È£ÇÏ°í Àֱ⿡ ±ÝÀ¶Á¤º¸¿Í ÀÌ¿ëÀÚÀÇ °³ÀÎÁ¤º¸º¸È£´Â ¸Å¿ì Áß¿äÇÏ´Ù. ÇÏÁö¸¸ ±ÝÀ¶±ÇÀ» ½ÃÀÛÀ¸·Î API º¸¾ÈÀ» Á¡ÁøÀûÀ¸·Î È®´ë Àû¿ëÇØ¾ß ÇÑ´Ù´Â º¸¾ÈÀü¹®°¡µéÀÇ ÀÇ°ß°ú ´Þ¸®, ±â¾÷ÀÇ API º¸¾ÈÀº ¿©ÀüÈ÷ µÞÀüÀÌ´Ù.

ÀÌó·³ API »ç¿ëÀÌ ±ÞÁõÇÏ°í ÀÖ´Â ¹Ý¸é, º¸¾È À§Çùµµ °¥¼ö·Ï Ä¿Áö°í ÀÖ´Ù. ÀÌ¿¡ <º¸¾È´º½º>¿¡¼­´Â 2019³â ¹ßÇ¥µÈ ¡®OWASP API Security Top 10¡¯À» ÅëÇØ API º¸¾È À§Çù¿¡ ´ëÇØ Â¤¾îº¸°í, ¾ÆÄ«¸¶ÀÌ, ¿¡½ºÄɾî(ÀÓÆÛ¹Ù ±â¼úÀü¹® ÆÄÆ®³Ê), ¿£½ÃÅ¥¾î(³ë³×ÀÓ ½ÃÅ¥¸®Æ¼ ÃÑÆÇ»ç), ÆÄÀÌ¿À¸µÅ©, Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ(ÀÌÇÏ Æ柽ÃÅ¥¸®Æ¼) µî 5°³ ±â¾÷(±â¾÷¸í: °¡³ª´Ù¼ø)ÀÇ ÀÎÅͺ並 ÅëÇØ ±â¾÷¿¡¼­ ¹ß»ýÇÏ´Â API ÁÖ¿ä º¸¾ÈÀ̽´ ¹× ±â¾÷¿¡¼­ API º¸¾È¿¡ ´ëÇØ ¾î·Á¿öÇÏ´Â Á¡, ±×¸®°í ´ëÀÀ¹æ¾È¿¡ ´ëÇØ µé¾îºÃ´Ù.

OWASP API Security Top 10 2019
API »ç¿ë·®ÀÌ ´Ã¸é¼­ API º¸¾È À§ÇùÀÌ Ä¿Áü¿¡ µû¶ó OWASP(The Open Web Application Security Project)¿¡¼­´Â API º¸¾È À§ÇùÀÇ ½É°¢¼ºÀ» ÀÎÁöÇØ Áö³­ 2019³â API º¸¾È Ãë¾àÁ¡ TOP 10À» ¹ßÇ¥Çß´Ù. API º¸¾È Ãë¾àÁ¡ TOP 10ÀÇ ÁÖ¿ä ³»¿ëÀ» »ìÆ캸¸é ´ÙÀ½°ú °°´Ù.

¨ç¼Õ»óµÈ °´Ã¼ ¼öÁØ ÀÎÁõ(Broken Object Level Authorization)Àº API°¡ ¼­·Î Åë½ÅÇÒ ¶§, °´Ã¼ ¼öÁØÀÇ ±ÇÇÑ °Ë»ç¸¦ ÇÏÁö ¾ÊÀ¸¸é µ¥ÀÌÅÍ°¡ À¯ÃâµÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.

¨è¼Õ»óµÈ »ç¿ëÀÚ ÀÎÁõ(Broken User Authentication)Àº °ø°ÝÀÚ°¡ ÀÎÁõ ¸ÞÄ¿´ÏÁòÀÌ À߸ø ±¸ÇöµÈ °ÍÀ» ³ë¸®°í, ÀÎÁõ ÅäÅ«À» ¼Õ»ó ½ÃÅ°°Å³ª ±¸Çö °áÇÔÀ» ¾Ç¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ ID¸¦ ÃßÁ¤ÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù.

¨é°úµµÇÑ µ¥ÀÌÅÍ ³ëÃâ(Excessive Data Exposure)Àº API°¡ È£ÃâµÉ ¶§ ¹Î°¨ÇÑ µ¥ÀÌÅ͸¦ ã¾Æ Ãß°¡ÀûÀÎ °ø°ÝÀ» ½ÃÇàÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù. °³¹ßÀÚ°¡ µ¥ÀÌÅÍ ÇÊÅ͸µÀ» »ç¿ëÀÚ¿¡°Ô Ç¥½ÃÇϱâ Àü¿¡ Ŭ¶óÀ̾ðÆ®¿¡ ÀÇÁ¸ÇØ °¢°¢ÀÇ ¹Î°¨µµ¸¦ °í·ÁÇÏÁö ¾ÊÀ» °æ¿ì ¸ðµç °´Ã¼ ¼Ó¼ºÀ» ³ëÃâ½Ãų ¼ö ÀÖ´Ù.

¨ê¸®¼Ò½º ºÎÁ· ¹× ¼Óµµ Á¦ÇÑ(Lack of Resources & Rate Limiting)Àº API°¡ ³×Æ®¿öÅ©, CPU, ¸Þ¸ð¸® ¹× ½ºÅ丮Áö¿Í °°Àº ½Ã½ºÅÛ ¸®¼Ò½º¸¦ »ç¿ëÇÑ´Ù. ±×·¯³ª Ŭ¶óÀ̾ðÆ®/»ç¿ëÀÚ°¡ ¿äûÇÒ ¼ö ÀÖ´Â ¸®¼Ò½º Å©±â³ª ¼ö¿¡ Á¦ÇÑÀ» µÎÁö ¾Ê¾Æ API ¼­¹ö ¼º´É¿¡ ¿µÇâÀ» ¹ÌÃÄ DDoS³ª Credential Stuffing °ø°Ý µîÀ¸·Î ÀÎÁõ ¹× °¡¿ë¼º¿¡ Ãë¾àÇÒ ¼ö ÀÖ´Ù.

¨ë¼Õ»óµÈ ±â´É ¼öÁØ ÀÎÁõ(Broken Function Level Authorization)Àº ±â¾÷ÀÇ º¹ÀâÇÑ Á¢¼Ó °ü¸® Á¤Ã¥À¸·Î ÀÎÇØ °ü¸® ±â´É°ú ÀÏ¹Ý ±â´ÉÀÌ ºÒºÐ¸íÇÏ°Ô ºÐ¸®µÅ ±ÇÇÑ ºÎ¿© °áÇÔÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. °ø°ÝÀÚ´Â À̸¦ ³ë¸®°í, ´Ù¸¥ »ç¿ëÀÚÀÇ ¸®¼Ò½º ¹× °ü¸® ±â´É¿¡ ¾×¼¼½ºÇÒ ¼ö ÀÖ´Ù.

¨ì´ë·® ÇÒ´ç(Mass Assignment)Àº Çã¿ë ¸ñ·Ï¿¡ ±â¹ÝÇØ ¼Ó¼º ÇÊÅ͸µ ¾øÀÌ Å¬¶óÀ̾ðÆ®°¡ Á¦°øÇÑ µ¥ÀÌÅ͸¦ µ¥ÀÌÅÍ ¸ðµ¨¿¡ ¹ÙÀεùÇϸé ÀϹÝÀûÀ¸·Î ´ë·® ÇÒ´çÀÌ ¹ß»ýÇÑ´Ù. API ¿£µåÆ÷ÀÎÆ®´Â µ¥ÀÌÅÍ ³ëÃâ ¼öÁØ°ú ¹Î°¨µµ¸¦ °í·ÁÇÏÁö ¾Ê°í ÀÚµ¿À¸·Î Ŭ¶óÀ̾ðÆ®ÀÇ º¯¼ö¸¦ ³»ºÎ ¼Ó¼ºÀ¸·Î ÀÚµ¿ º¯È¯ÇÏ°Ô µÈ´Ù. °ø°ÝÀÚ´Â ÀÌ·¯ÇÑ Ãë¾àÁ¡À» ³ë¸®°í ½Ã½ºÅÛÀÇ ÁÖ¿ä Á¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖ´Ù.

¨íº¸¾È ¼³Á¤ ¿À·ù(Security Misconfiguration)´Â º¸¾È °­È­ ´©¶ô, Cross-Origin ÀÚ¿ø °øÀ¯(CORS), µ¥ÀÌÅÍ ¹× ¹Î°¨ µ¥ÀÌÅÍ Ã³¸® ¿À·ù ¸Þ½ÃÁö¸¦ º¸¾È ±¸¼ºÀ¸·Î Àû¿ëÇÏ´Â µî Ãë¾àÇÏ°í ½Å·ÚÇÒ ¼ö ¾ø´Â ±¸¼º ¿ä¼Ò·Î ¼³Á¤ÇØ ¹ß»ýÇÏ´Â Ãë¾àÁ¡ÀÌ´Ù.

¨îÁÖÀÔ(Injection)Àº SQL µî°ú °°Àº ÁÖÀÔ °áÇÔÀ¸·Î ÀǵµÇÏÁö ¾ÊÀº ¸í·ÉÀ» ½ÇÇàÇϰųª °ø°ÝÀÚ°¡ ±ÇÇÑ ¾øÀÌ µ¥ÀÌÅÍ¿¡ ¾×¼¼½ºÇÒ ¼ö ÀÖ´Ù.

¨ïºÎÀûÀýÇÑ ÀÚ»ê °ü¸®(Improper Assets Management)´Â API°¡ ±âÁ¸ À¥ ¾ÖÇø®ÄÉÀ̼Ǻ¸´Ù ¿£µåÆ÷ÀÎÆ®¸¦ ´õ ¸¹ÀÌ ¿ÜºÎ·Î ³ëÃâÇÏ´Â °æ¿ì¸¦ ³ë¸®°í °ø°ÝÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ´Ù. µû¶ó¼­ API ÇöȲ¿¡ ´ëÇØ ¼ö½Ã·Î ¾÷µ¥ÀÌÆ® ¹× ¹®¼­È­ ÇÏ´Â °Ô Áß¿äÇÏ´Ù.

¨ðºÒÃæºÐÇÑ ·Î±ë ¹× ¸ð´ÏÅ͸µ(Insufficient Logging & Monitoring)Àº ±â¾÷¿¡ °¡½Ã¼ºÀ» È®º¸ÇÏÁö ¸øÇÏ°Ô ÇØ »çÀ̹ö°ø°ÝÀ» ´çÇ߾ ¸ð¸¦ ¼ö ÀÖÀ¸¸ç, ¹ß ºü¸¥ ´ëÀÀÀÌ ¾î·Æ´Ù. ºñÈ¿À²ÀûÀÎ »ç°í ´ëÀÀÀ¸·Î °ø°ÝÀÚ´Â µ¥ÀÌÅ͸¦ º¯Á¶, ÃßÃ⠶Ǵ Æı«ÇÒ ¼ö ÀÖÀ¸¸ç, ½Ã½ºÅÛÀ» Ãß°¡·Î °ø°ÝÇϰųª Áö¼ÓÀûÀ¸·Î °ø°ÝÇÒ ¼ö ÀÖ´Ù. ±â¾÷ ´ëºÎºÐÀÇ Ä§ÇØ Å½Áö ¼Ò¿ä±â°£Àº 200ÀÏ ÀÌ»óÀ̸ç, ³»ºÎ ÇÁ·Î¼¼½º³ª ¸ð´ÏÅ͸µÀÌ ¾Æ´Ñ ¿ÜºÎ¿¡ ÀÇÇØ Å½ÁöµÈ´Ù.

±â¾÷ÀÇ API ÁÖ¿ä º¸¾ÈÀ̽´ ¹× ¹®Á¦Á¡
ÀÌó·³ OWASP API Security Top 10 º¸¾È À§Çù ¹ßÇ¥¿¡µµ ºÒ±¸ÇÏ°í, ¿©ÀüÈ÷ API º¸¾È¿¡ ´ëÇÑ ÀνÄÀº ºÎÁ·ÇÑ ½ÇÁ¤ÀÌ´Ù. ¶ÇÇÑ, API »ç¿ë·®ÀÌ ´Ã¸é¼­ ±â¾÷Àº ¾î¶»°Ô º¸È£ ¹× °ü¸®ÇÒÁö ¾î·Á¿òÀÌ ÀûÁö ¾Ê´Ù. ±â¾÷ÀÇ API º¸¾È ¹®Á¦¿¡ ´ëÇØ ¾ÆÄ«¸¶ÀÌ´Â ¡°API¿¡ ´ëÇÑ º¸¾ÈÀÎ½Ä ºÎÁ·¡±À» ²ÅÀ¸¸ç, ¡°±â¾÷¿¡¼­ ±¤¹üÀ§ÇÏ°Ô ÆÛÁ® ÀÖ´Â API »ç¿ë ¹üÀ§¸¦ ÆľÇÇÏÁö ¸øÇϸé ÀáÀçÀû À§Ç輺ÀÌ Ä¿Áú ¼ö¹Û¿¡ ¾ø´Ù¡±°í ÁöÀûÇß´Ù.

±×·¯¸é¼­ ¡°°¡Àå ¸ÕÀú °¡½Ã¼º È®º¸¿Í Ãë¾àÁ¡À» È®ÀÎÇÏ°í, °³¹ß ¹× Ãâ½ÃÇÒ ¶§ ±âÁ¸ÀÇ À¥¹æÈ­º®, ID °ü¸®³ª µ¥ÀÌÅͺ¸È£, ±×¸®°í API º¸¾È¿¡ ÀûÇÕÇÑ ÅøÀ» È°¿ëÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. APIº° °íÀ¯ Á¤Ã¥À» Àû¿ëÇϱ⠽ÃÀÛÇÑ´Ù¸é ÇâÈÄ º¹À⼺À¸·Î ÀÎÇØ È¿°úÀûÀÎ º¸¾È Àû¿ëÀÌ Èûµé°Ô µÉ °ÍÀÌ´Ù. µû¶ó¼­ Æ÷°ýÀû Á¤Ã¥¼ö¸³ÀÌ ÇÊ¿äÇÏ´Ù¡±°í Á¦½ÃÇß´Ù.

¶ÇÇÑ, API °³¹ßÆÀ¿¡¸¸ ÀÇÁ¸ÇÏÁö ¸»°í, ³×Æ®¿öÅ© ¹× º¸¾È ¿î¿µÆÀ, IDÆÀ, ¸®½ºÅ© °ü¸®ÀÚ, º¸¾È ¼³°èÀÚ ¹× ¹ý¹« ÁؼöÆÀ µî ¿©·¯ ÆÀ°ú Çù¾÷ÇØ ¹ý·üÁؼö µî°ú °°ÀÌ ±ÔÁ¤ÀÇ ºÎÇÕ¼ºÀ» °í·ÁÇØ¾ß ÇÑ´Ù°í ´çºÎÇß´Ù.

±â¾÷¿¡¼­ API º¸¾È°ú °ü·ÃÇØ ¾î·Á¿öÇÏ°í ÀÖ´Â Á¡¿¡ ´ëÇØ ¾ÆÄ«¸¶ÀÌ ÃøÀº ¡°±â¾÷ÀÌ Å©¸é Ŭ¼ö·Ï API º¸¾ÈÀ» ÁÖµµÇÏ´Â »ç¶÷ÀÌ ¿©·¯ ÆÀ °£ÀÇ ÀÌÇØ°ü°è³ª Çù¾÷À» À̲ø¾î ³»Áö ¸øÇÏ¸é °ð¹Ù·Î ¾î·Á¿ò¿¡ Á÷¸éÇÒ °Í¡±À̶ó¸ç Çù¾÷À» °­Á¶Çϸ鼭 ¡°API´Â À¥°ø°Ý, ÀÎÁõÁ¤º¸ µµ¿ë, DDoS °ø°Ý±îÁö ±¤¹üÀ§ÇÏ°Ô ¾ÇÀÇÀûÀ¸·Î È°¿ëµÉ ¼ö ÀÖÀ¸¸ç, °¢°¢ÀÇ °ø°Ý¹æ½Ä ¹× ¿©·¯ °¢µµÀÇ °ø°Ý ¸éÀ» º¸È£ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù¡±°í °­Á¶Çß´Ù.

¿¡½ºÄɾî´Â API º¸¾È ¹®Á¦·Î 5°¡Áö¸¦ Áö¸ñÇß´Ù. ¨çµ¥ÀÌÅÍ º¸¾È ¸®½ºÅ©(Data Security Risk)´Ù. Á¶Á÷¿¡´Â ³»ºÎ µ¥ÀÌÅÍ ÀúÀå¼Ò¿Í ¾ÖÇø®ÄÉÀ̼ÇÀ» ¿ÜºÎ ¼¼°èÀÇ ¼­ºñ½º¿¡ ¿¬°áÇÏ´Â ¼ö¸¹Àº API°¡ ÀÖ´Ù. ÀÌ Á¢±Ù ¹æ½ÄÀº ¿ÜºÎ »ç¿ëÀÚ°¡ ³»ºÎ ½Ã½ºÅÛ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°í ÀÌÀü¿¡´Â Á¢±ÙÇÒ ¼ö ¾ø¾ú´ø µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µÇ¸é¼­ Å« ¹®Á¦°¡ µÉ ¼ö ÀÖ´Ù. ¶ÇÇÑ, API°¡ ¸Å³â Áõ°¡ÇÔ¿¡ µû¶ó ¾ÇÀÇÀûÀ¸·Î ¹Î°¨ÇÑ µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Â °ÔÀÌÆ®¿þÀÌ´Â ´õ ¸¹¾ÆÁø´Ù.

¨è¼­µå ÆÄƼ ¸®½ºÅ©(Third Party Risk)´Ù. API´Â Á¦3ÀÚ°¡ Á¢±ÙÇÒ ¼ö ÀÖ´Â ³»ºÎ ¾ÖÇø®ÄÉÀÌ¼Ç ¹× µ¥ÀÌÅÍ¿¡ Á¢±ÙÀ» °³¹æÇÒ ¼ö ÀÖ´Ù. ÀÌ´Â µ¥ÀÌÅÍ ¼ÒÀ¯±Ç°ú Ã¥ÀÓÀÇ °æ°è¸¦ ¸ðÈ£ÇÏ°Ô ¸¸µç´Ù.

¨é¾ÈÀüÇÏÁö ¾ÊÀº °³¹ß °üÇà(Unsafe Development Practices)À¸·Î °³¹ßÆÀÀÌ ¾Û°ú API¸¦ ½Å¼ÓÈ÷ ±¸ÃàÇØ¾ß ÇÏ°Ô µÇ¸é¼­ º¸¾ÈÆÀÀÌ °ËÅäÇÏ°í ºÐ·ùÇÏ´Â °Íº¸´Ù ´õ »¡¸® ÁøÇàµÇ´Â °æ¿ì°¡ ¸¹´Ù. Áï, º¸¾ÈÀº µÞÀüÀ¸·Î ¹Ð·Á³­ ¼ÀÀÌ´Ù.

¨êAPI Gateways & Other Protocols´Â ¸ðµç API È£ÃâÀ» ¼ö¶ôÇÏ°í, À̸¦ ¼öÇàÇϴµ¥ ÇÊ¿äÇÑ ´Ù¾çÇÑ ¼­ºñ½º¸¦ Áý°èÇÑ´Ù. ¶ÇÇÑ ÀûÀýÇÑ °á°ú¸¦ ¹ÝȯÇÏ´Â ¿ª¹æÇâ ÇÁ·Ï½Ã ¿ªÇÒÀ» ÇÑ´Ù. ÇØÄ¿´Â µ¥ÀÌÅÍ ¾×¼¼½º¸¦ ¸é¹ÐÈ÷ ¸ð´ÏÅ͸µÇÏ°í ÇÊÅ͸µÇϵµ·Ï ±¸¼ºµÇÁö ¾ÊÀº °ÔÀÌÆ®¿þÀ̸¦ ã´Â´Ù. °ÔÀÌÆ®¿þÀÌ(Gateway)°¡ ÇÁ·ÐÆ®¿£µå(Front-end)¿¡¼­ ¹é¿£µå Cyber Security AUGUST 2022 95(Back-end)·Î ÇÊÅ͸µ µÇÁö ¾Ê´Â API È£ÃâÀ» Àü´ÞÇÏ¸é ¹é¿£µå¸¦ ¾Ç¿ëÇØ µ¥ÀÌÅ͸¦ À¯ÃâÇÒ ¼ö ÀÖ´Ù. ±âÁ¸ÀÇ API °ü¸® °ÔÀÌÆ®¿þÀÌ´Â AI µ¥ÀÌÅÍ À¯È¿¼º °Ë»ç¸¦ ¼öÇàÇϱâ À§ÇØ ¼öµ¿ ±¸¼º¿¡ Å©°Ô ÀÇÁ¸ÇØ »ç¶÷ÀÌ ½Ç¼öÇÒ ¿©Áö°¡ ÀÖ´Ù.

¨ëÃë¾à¼º(Vulnerabilities)Àº Ãë¾àÇÑ ÀÎÁõ, ¾Ïȣȭ ºÎÁ·, ºñÁî´Ï½º ·ÎÁ÷ °áÇÔ ¹× ¾ÈÀüÇÏÁö ¾ÊÀº ¿£µåÆ÷ÀÎÆ® µîÀÇ Ãë¾àÁ¡À¸·Î Main in the Middle(MITM), API Injections(XSS and SQLi), Distributed denial of service(DDos) µî °ø°ÝÀ» ÀÏÀ¸Å³ ¼ö ÀÖ´Ù.

¿£½ÃÅ¥¾î´Â ±â¾÷ÀÇ API º¸¾È ¹®Á¦¿¡ ´ëÇØ ´ëºÎºÐÀÇ ±â¾÷µéÀÌ API º¸¾ÈÀ» À§ÇØ ±¸Ãà ÁßÀÎ API °ÔÀÌÆ®¿þÀÌ¿Í WAF·Î´Â °¨Áö ¹× ÇØ°áÇÒ ¼ö ¾ø´Ù°í Áö¸ñÇÏ¸ç ¡°ÃÖ±Ù ¸¹Àº ±â¾÷µéÀÌ Å¬¶ó¿ìµå·Î ÀüȯÇÏ°í ÀÖÀ¸¸ç, ÀÌ·Î ÀÎÇØ ¸¹Àº ½Ã½ºÅÛÀÌ ¸¶ÀÌÅ©·Î ¼­ºñ½ºÈ­µÇ°í API¸¦ ÅëÇØ Á¤º¸¸¦ ó¸®ÇÏ°í ÀÖ´Ù. ±ÞÁõÇÏ´Â API¿¡ ´ëÇÑ °¡½Ã¼ºÀÌ ¹ÌÈíÇÏ°í, ¼ö½Ã·Î º¯È­ÇÏ´Â API¸¦ °ü¸®Çϴµ¥ ¾î·Á¿òÀÌ ÀÖ´Ù¡±°í Áø´ÜÇß´Ù.

ƯÈ÷, API À§ÇùÀ» °¡½ÃÈ­Çϴµ¥ ±âÁ¸¿¡ µµÀÔÇÑ ¼Ö·ç¼Ç(WAF, API °ÔÀÌÆ®¿þÀÌ µî)Àº ÇÑ°è°¡ ÀÖ¾î ½ÇÁúÀûÀÎ API À§Çù¿¡ ´ëÇÑ °ü¸®¿¡ ¸¹Àº Á¦¾àÀÌ ÀÖ´Ù´Â °Í. API º¸¾È ȯ°æÀ» ±¸¼ºÇϱâ À§ÇØ ±â¾÷Àº ¼ö¸¹Àº ÀÚ¿ø°ú ¿¹»êÀ» µé¿©¾ß ÇÑ´Ù´Â °Ô ¿£½ÃÅ¥¾îÀÇ ¼³¸íÀÌ´Ù.

±âÁ¸ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Á¦¾î´Â API¿¡ ´ëÇÑ ºÎºÐÀûÀÎ º¸È£¸¸ Á¦°øÇÑ´Ù. API °ÔÀÌÆ®¿þÀÌ¿Í WAF´Â ¸ðµÎ API º¸¾ÈÀ» À§ÇØ Áß¿äÇÑ ±¸¼º ¿ä¼ÒÁö¸¸ API¸¦ ÀûÀýÇÏ°Ô º¸È£Çϴµ¥ ÇÊ¿äÇÑ º¸¾È Á¦¾î ¹× ŽÁö ±â´ÉÀ» Á¦°øÇÏÁö ¾Ê´Â´Ù. Áï, ¸¹Àº Á¶Á÷ÀÌ API °ÔÀÌÆ®¿þÀÌ¿Í WAF¸¸À¸·Îµµ º¸È£µÉ °ÍÀ̶ó´Â À߸øµÈ º¸¾È ÀνÄÀÌ ¹®Á¦¶ó´Â ¾ê±â´Ù.

API °ÔÀÌÆ®¿þÀÌ¿Í WAF ¸ðµÎ ¶ó¿ìÆõǴ API Æ®·¡Çȸ¸ °üÂûÇÒ ¼ö ÀÖ´Ù. ÀÌ ¶§¹®¿¡ ÀϺΠ°ü¸®µÇÁö ¾ÊÀº ¼¨µµ ¶Ç´Â Á»ºñ API¸¦ ÅëÇØ ±â¾÷ÀÌ À§Çè¿¡ ºüÁú ¼ö ÀÖ´Ù. API °ÔÀÌÆ®¿þÀÌ¿Í WAF·Î Ä¿¹öµÇÁö ¾Ê´Â ºÎºÐÀÌ ÀÖ´Ù´Â °ÍÀ» ¹Ýµå½Ã ÀÎÁöÇØ¾ß ÇÑ´Ù.

ÆÄÀÌ¿À¸µÅ© ÃøÀº ¡°API º¸¾ÈÀ» »õ·Î¿î º¸¾È °³³äÀ¸·Î »ý°¢ÇÑ´Ù¸é °¡Àå À§ÇèÇÑ ¹®Á¦¡±¶ó°í ÁöÀûÇÏ¸ç ¡°API´Â Web Ä«Å×°í¸® ¾È¿¡ Á¸ÀçÇÏ´Â ±â´ÉÀ̱⿡ ±âÁ¸ÀÇ Web º¸¾ÈÀÇ È®Àå°³³äÀÌ´Ù. ƯÈ÷ API Áß °¡Àå È°¹ßÈ÷ »ç¿ëµÇ°í ÀÖ´Â REST API´Â HTTP ÇÁ·ÎÅäÄÝÀ» ±â¹ÝÀ¸·Î µ¿ÀÛÇϸç, µ¥ÀÌÅÍ Àü¼Û Çüŵµ ÈçÈ÷ À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ »ç¿ëÇÏ°í ÀÖ´Â JSONÀ̳ª XMLÀ» »ç¿ëÇÑ´Ù. Áï, Web º¸¾ÈÀ» ÀßÇÏ°í ÀÖ´Ù¸é, API º¸¾È¿¡ °¡Àå ±âº»ÀÌ µÇ´Â OWASP¿¡¼­ Á¤ÀÇÇÑ API Security Top10 Ãë¾àÁ¡¿¡ ´ëÇØ º¸¾ÈÀ» °­È­ÇØ¾ß ÇÑ´Ù¡±°í ÁÖ¹®Çß´Ù.

±âÁ¸ÀÇ À¥¹æÈ­º®ÀÌ Áö¿øÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οì, ÀÎÁ§¼Ç, XSS µî À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °ø°Ý ´ëÀÀ°ú ¹Î°¨Á¤º¸¿¡ ´ëÇÑ À¯Ãâ ¹æÁö, Çã¿ë ¸®½ºÆ®, Â÷´Ü ¸®½ºÆ®, Á¢±Ù ·Î±×°ü¸®, Å©¸®µ§¼È ½ºÅÍÇÎ(Credential Stuffing) Â÷´Ü µîÀÇ º¸¾È ±â´Éµé°ú ´õºÒ¾î ½Äº°Á¤º¸ Ŭ·Î±ë ±â´É, API ÅäÅ« ÀÎÁõ ¹× ¹«°á¼º °Ë»ç ±â´É, APIº° Çã¿ë ÀÓ°èÄ¡ ¹× ¸Þ¼Òµå ¼³Á¤ ±â´É, JSON ÀÀ´ä Ŭ·ÎÅ·(Cloaking) ±â´É, JSON ¿äû ÇÊµå °Ë»ç ±â´É°ú mTLS(mutual TLS) ±â´ÉÀÌ Á¦°øµÅ¾ß ÇÑ´Ù.

ƯÈ÷, ¸¶À̵¥ÀÌÅÍ »ç¾÷ ±â¾÷Àº mTLS ±â´ÉÀÌ Áß¿äÇÏ´Ù. ¸¶À̵¥ÀÌÅÍ´Â API¸¦ ÅëÇØ °³ÀÎÁ¤º¸ µî ¹Î°¨Á¤º¸¸¦ ÁÖ°í¹Þ´Â ¼­ºñ½ºÀ̱⠶§¹®¿¡ Á¤º¸¸¦ Á¦°øÇÏ´Â ±â¾÷ ¿ª½Ã Ŭ¶óÀ̾ðÆ®¿¡ ´ëÇÑ ÀÎÁõÀÌ Çʼö´Ù. ÀÌ·± mTLS ±â¼ú »ç¿ëÀº ±ÝÀ¶ ¸¶À̵¥ÀÌÅÍ ±â¼ú °¡À̵忡µµ ±Ç°í »çÇ×À¸·Î ¸í½ÃµÈ ¸¸Å­ Áß¿äÇÏ´Ù.

Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ ÃøÀº ¡°°³¹ßÀÚ Ä¿¹Â´ÏƼ ±êÇãºê(Github)¿¡¼­ Á¦°øÇÏ´Â ¿ÀǼҽº CI(Continuous Integration, Áö¼ÓÀû ÅëÇÕ) ¼­ºñ½ºÀÎ ¡®Æ®·¡ºñ½º(Travis)¡¯ÀÇ ÇÁ¸®Æ¼¾î(Free Tier) »ç¿ëÀÚµéÀÇ GitHub, AWS, Docker ÀÌ¿ë Á¤º¸°¡ ³ëÃâµÈ °Ô ¹ß°ßµÇ°í ÀÖ´Ù¡±¸ç ¡°ÀÌ´Â API ¼³°è À߸øÀ¸·Î ÀÎÇÑ µ¥ÀÌÅÍ À¯Ãâ »ç°ÇÀ̸ç, ÀÌ·¯ÇÑ API ¼³°è À߸øÀ¸·Î ÀÎÇÑ µ¥ÀÌÅÍ À¯Ãâ »ç°í°¡ Áö¼ÓÀûÀ¸·Î ºó¹øÈ÷ ¹ß»ýÇÏ°í ÀÖ´Ù¡±°í ÁöÀûÇß´Ù.

ƯÈ÷, ±â¾÷¿¡¼­´Â ¼Óµµ °æÀï¿¡ Ä¡ÁßÇØ °³¹ß ÆíÀǼº°ú ºñ¿ë Àý°¨À» À§ÇØ ¿ÀǼҽº API¸¦ Àû±Ø È°¿ëÇØ °³¹ßÇÏ°í ÀÖ´Ù. ±×·¯´Ù º¸´Ï º¸¾ÈÀ» ¼ÒȦÈ÷ ´Ù·ê ¼ö¹Û¿¡ ¾ø´Â µ¥´Ù ¾ÖÃÊ¿¡ ¿ÀǼҽº API¸¦ »ç¿ëÇ߱⠶§¹®¿¡ º¸¾È À§ÇèÀº ´õ¿í ³ô¾ÆÁö°í ÀÖ´Â ½ÇÁ¤ÀÌ´Ù. »Ó¸¸ ¾Æ´Ï¶ó API ¼ö·® ÀÚü°¡ Æø¹ßÀûÀ¸·Î Áõ°¡ÇØ º¸È£Á¶Ä¡¸¦ ÃëÇÒ ¾öµÎÁ¶Â÷ ³»Áö ¸øÇÏ°í ÀÖ´Ù´Â °Í.

±×·¯¸é¼­ Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛÀº ¡°API °ü¸® ¾÷¹«°¡ ±â¾÷ÀÇ Áß¿ä ¾÷¹«·Î ºÎ°¢µÈ ¸¸Å­, WAAP ¼ö¿ä ±ÞÁõÀ¸·Î À̾îÁö°í ÀÖ´Ù¡±¸ç ¡°API º¸¾ÈÀº ±â¾÷ÀÇ À¥ º¸¾È Àüü¸¦ ¸»ÇÏ´Â ¼öÁØÀ¸·Î Áß¿äÇØÁ³´Ù. À¥ ȯ°æÀ» ±¸ÃàÇÒ ¶§ API º¸¾ÈÀº ¹«Á¶°Ç ÇʼöÀ̸ç, ±â¾÷º° »óȲ¿¡ µû¶ó ÀûÁ¤ÇÑ API º¸¾È ¼Ö·ç¼ÇÀ» ã¾Æ¾ß ÇÑ´Ù. ÇöÀç »óȲÀº ½Ã½ºÅÛ °ü¸® ÆíÀǼº, ±â´É Áßø¿¡ µû¸¥ ½Ã³ÊÁö È¿°ú âÃâ, ´ÜÀÏ ¼Ö·ç¼Ç°ú Á¾ÇÕ ¼Ö·ç¼ÇÀÇ µµÀÔ ºñ¿ë Â÷ÀÌ ¾øÀÌ µ¿ÀÏÇÔ µîÀ» ÀÌÀ¯·Î WAAP ¼±È£°¡ µÎµå·¯Áö°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.

[API º¸¾È ¼Ö·ç¼Ç ÀÎ½Ä Á¶»ç] ±â¾÷ÀÇ 81.4%, API º¸¾È ¼Ö·ç¼Ç ¹Ì»ç¿ë
ÀÌó·³ API º¸¾ÈÀÌ Áß¿äÇØÁö°í ÀÖÁö¸¸ ±â¾÷ÀÇ API º¸¾ÈÀº ¹ÌÈíÇÑ ½ÇÁ¤ÀÌ´Ù. ÀÌ ¶§¹®¿¡ API º¸¾ÈÀ§ÇùÀº ³¯ÀÌ °¥¼ö·Ï ±ÞÁõÇÏ°í ÀÖ´Ù. ÀÌ¿¡ <º¸¾È´º½º>¿¡¼­´Â 2022³â 7¿ù 1ÀÏ~8ÀϱîÁö ¡®API º¸¾È ¼Ö·ç¼Ç ÀÎ½Ä ¹× ¼±ÅñâÁØ¿¡ ´ëÇÑ ¼³¹®Á¶»ç¡¯¸¦ ½Ç½ÃÇß´Ù.

¡ãAPI º¸¾È ¼Ö·ç¼Ç ÀÎ½Ä ¹× ¼±ÅñâÁØ¿¡ ´ëÇÑ ¼³¹®Á¶»ç[¼³¹®Á¶»ç ÀÚ·á=º¸¾È´º½º]


¼³¹® °á°ú API µµÀÔ ±â¾÷Àº 39.8%À̸ç, µµÀÔ °ËÅä ÁßÀÎ ±â¾÷Àº 19.5%·Î Á¶»çµÆ´Ù. ¹Ý¸é, API º¸¾È ¼Ö·ç¼Ç ¹Ì»ç¿ëÀº 81.4%·Î Áý°èµÆ´Ù. API º¸¾È ¼Ö·ç¼ÇÀ» »ç¿ëÇÏÁö ¾Ê°í ÀÖ´Â ÀÌÀ¯¿¡ ´ëÇØ API º¸¾È À§Çù¿¡ ´ëÇÑ ÀÎ½Ä ºÎÁ· 34%, API º¸¾È ¼Ö·ç¼Ç µµÀÔ ¿¹»ê ¹ÌÈ®º¸ ¹× ºÎÁ·ÀÌ 31.5%¸¦ Â÷ÁöÇß´Ù.

API º¸¾È ¼Ö·ç¼Ç µµÀÔÀÌ ÇÊ¿äÇÏ´Ù°í »ý°¢Çϳª¿ä?¶õ ¼³¹®¿¡ ¡®ÇÊ¿äÇÏ´Ù°í »ý°¢ÇÏÁö¸¸ µµÀÔÀ» °í·ÁÇØ º¸Áö´Â ¾Ê¾Ò´Ù¡¯ 61%, ¡®²À ÇÊ¿äÇÏ´Ù¡¯´Â 32.4%·Î ¹«·Á 93.4%ÀÇ ÀÀ´äÀÚ°¡ API º¸¾È ¼Ö·ç¼ÇÀÇ Çʿ伺À» ÀÎÁöÇß´Ù.

API º¸¾È ¼Ö·ç¼Ç ƯÀåÁ¡
¾ÆÄ«¸¶ÀÌÀÇ ¡®App & API Protector(ÀÌÇÏ AAP)¡¯¿Í ¡®Advanced Security Management(ÀÌÇÏ ASM)¡¯´Â Çã¿ë °¡´ÉÇÑ JSON ¹× XML Æ÷ÄÏÀ» »çÀü Á¤ÀÇÇØ ¾ÇÀÇÀûÀÎ Æ÷¸Ë°ú µ¥ÀÌÅ͸¦ ³ëÃâ½Ãų ¼ö ÀÖ´Â Æ÷¸ËÀ» ÇÊÅ͸µÇÑ´Ù. HTTP ÀÀ´äÀ» °Ë»çÇØ SQL ¿À·ùÄڵ峪 ¸Þ½ÃÁö, µð·ºÅ丮, ÆÄÀÏ À̸§°ú °°Àº ¹Î°¨ µ¥ÀÌÅÍ°¡ À¯ÃâµÇ´ÂÁö ŽÁöÇÒ ¼ö ÀÖ´Ù. ÁֹιøÈ£¿Í °°Àº °³ÀÎ ½Äº° Á¤º¸¸¦ ŽÁöÇÏ°í, API¸¦ °¡»ó ÆÐÄ¡ÇÒ ¼ö ÀÖµµ·Ï »ç¿ëÀÚ ÁöÁ¤ Á¤Ã¥À» Á¦°øÇÑ´Ù.

HTML, XML, JSON ±â¹Ý ¶Ç´Â ´Ù¸¥ ÀÀ´äÀ» Á¤ÀÇÇÏ°í ÀÎÅÚ¸®Àü½º Ç÷§Æû¿¡¼­ ¸ÂÃãÇü ÀÀ´äÀ» Çϵµ·Ï ¿É¼ÇÀ» Á¦°øÇØ ¹Î°¨ µ¥ÀÌÅ͸¦ ³ë¸®´Â °ø°ÝÀÚ¿¡°Ô È¥¶õÀ» ÁÙ ¼ö ÀÖ´Ù. ¶ÇÇÑ, HTTP Çì´õ¸¦ Ãß°¡ ¹× Á¦°ÅÇØ ºÒÇÊ¿äÇÑ µ¥ÀÌÅÍÀÇ ³ëÃâÀ» Á¦¾îÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

¿¡½ºÄɾîÀÇ ÀÓÆÛ¹Ù ¡®Imperva API¡¯ º¸¾È ¼Ö·ç¼ÇÀº ÃÖÀûÀÇ »ç¿ëÀÚ °æÇèÀ» Á¦°øÇϸ鼭 À§ÇèÀ» ÁÙÀÌ´Â Imperva Application SecurityÀÇ ÇÙ½É ±¸¼º ¿ä¼ÒÀÌ´Ù. ÀÌ ¼Ö·ç¼ÇÀº ¡âCloud WAF°¡ ¶ó¿ìÆÃÇÒ ¼ö ÀÖ´Â ¸ðµç ¹é¿£µå ¾ÖÇø®ÄÉÀÌ¼Ç º¸È£ ¡â·¹°Å½Ã¿¡¼­ Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀ̼ǿ¡ À̸£±â±îÁö ÀÚµ¿ µ¥ÀÌÅÍ ºÐ·ù¸¦ ÅëÇØ Áö¼ÓÀûÀÎ API °Ë»ö Á¦°ø ¡â°³¹ß ¼ÓµµÀúÇÏ ¾ø´Â À¯¿¬ÇÑ ¹èÆ÷ ¸ðµ¨ ¡âDevOps¿¡ ¿µÇâÀ» ÁÖÁö ¾ÊÀ¸¸é¼­ ±àÁ¤ÀûÀÎ º¸¾È ¸ðµ¨À» ºü¸£°Ô ½Äº°ÇÏ°í ¼³Á¤ ¡â¹Î°¨ÇÑ µ¥ÀÌÅÍ¿¡ ´ëÇÑ API °Å¹ö³Í½º¸¦ ¼Õ½±°Ô º¸ÀåÇϸç, ·¹°Å½Ã ¶Ç´Â Ŭ¶ó¿ìµå ³×ÀÌƼºê¸¦ º¸È£ÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

¿£½ÃÅ¥¾îÀÇ ¡®³ë³×ÀÓ API Ç÷§Æû¡¯Àº APIÀÇ º¸¾È Ãë¾àÁ¡, À߸øµÈ ±¸¼º, API ·ÎÁ÷ÀÇ ³í¸®¸¦ ÆÄ°íµå´Â °ø°Ý, ¼³°è °áÇÔÀ¸·ÎºÎÅÍ API¸¦ »çÀü¿¡ º¸È£Çϸç, ÀÚµ¿È­µÈ À§ÇùŽÁö¿Í ´ëÀÀÀ» ÅëÇØ ½Ç½Ã°£À¸·Î °ø°Ý¿¡ ´ëÀÀÇÑ´Ù. ƯÈ÷, API °ÔÀÌÆ®¿þÀÌ¿¡¼­ °ü¸®ÇÏÁö ¸øÇÏ´Â ¸ðµç ¼¨µµ ¹× ºÒ·® API¸¦ ŽÁöÇÒ ¼ö ÀÖ´Ù. ¿î¿µ Àü¿¡ ¼ÒÇÁÆ®¿þ¾î °³¹ß ¼ö¸í ÁÖ±âÀÇ ÀϺηΠAPIÀÇ º¸¾È »óŸ¦ Å×½ºÆ®ÇÒ ¼ö ÀÖ´Ù.

¶ÇÇÑ, ¿ÂÇÁ·¹¹Ì½º(On Premise)¿Í Ŭ¶ó¿ìµå, SaaS(Software as a service), ÇÏÀ̺긮µå(Hybrid Cloud) µî ¸ðµç ȯ°æÀ» Áö¿øÇÏ¸ç ´Ù¾çÇÑ CI/CD ÆÄÀÌÇÁ¶óÀΰú ÅëÇÕÇØ ¿î¿µÇÒ ¼ö ÀÖ´Ù. ±â¼úÀû ¼º´ÉÀ¸·Ð ¸ðµç API¸¦ Ž»öÇØ ³»ÀçµÈ Ãë¾àÁ¡À» ½Ç½Ã°£À¸·Î AI/¸Ó½Å·¯´×À» ÅëÇØ ÀÚµ¿À¸·Î ŽÁö ¹× ´ëÀÀÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù. ¶ÇÇÑ, µ¥ºê¿É½º¿Í °áÇÕÇØ ¿î¿µ Àü Áö¼ÓÀûÀ¸·Î APIÀÇ º¸¾È »óŸ¦ Å×½ºÆ®ÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

ÆÄÀÌ¿À¸µÅ©ÀÇ WAAP(Web Application and API Protection; ÀÌÇÏ WAAP) ¼Ö·ç¼Ç ¡®WEBFRONT-K¡¯´Â API º¸¾ÈÀÇ °¡Àå ±âº»ÀÌ µÇ´Â OWASP¿¡¼­ Á¤ÀÇÇÑ API Security TOP10 Ãë¾àÁ¡À» Â÷´ÜÇØÁÖ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù. ±âÁ¸ÀÇ À¥¹æÈ­º®ÀÌ Áö¿øÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οì, ÀÎÁ§¼Ç, XSS µî À¥ ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °ø°Ý ´ëÀÀ°ú ¹Î°¨Á¤º¸¿¡ ´ëÇÑ À¯Ãâ ¹æÁö, Çã¿ë ¸®½ºÆ®, Â÷´Ü ¸®½ºÆ®, Á¢±Ù ·Î±× °ü¸®, Å©¸®µ§¼È ½ºÅÍÇÎ Â÷´Ü µîÀÇ º¸¾È ±â´ÉÀ» Á¦°øÇÑ´Ù. ¶ÇÇÑ ½Äº°Á¤º¸ Ŭ·ÎÅ· ±â´É, API ÅäÅ« ÀÎÁõ ¹× ¹«°á¼º °Ë»ç ±â´É, APIº° Çã¿ë ÀÓ°èÄ¡ ¹× ¸Þ¼Òµå ¼³Á¤ ±â´É, JSON ÀÀ´ä Ŭ·ÎÅ· ±â´É, JSON ¿äû ÇÊµå °Ë»ç ±â´É, mTLS(mutual TLS) ±â´ÉÀÌ Á¦°øµÈ´Ù.

ƯÈ÷, ±¹³»¿¡¼­ ¸¶À̵¥ÀÌÅÍ »ç¾÷À» ÇÏ´Â ±â¾÷¿¡¼­´Â mTLS ±â´ÉÀÌ Áß¿äÇÏ´Ù. ¸¶À̵¥ÀÌÅÍ´Â API¸¦ ÅëÇØ °³ÀÎÁ¤º¸ µî ¹Î°¨Á¤º¸¸¦ ÁÖ°í¹Þ´Â ¼­ºñ½ºÀ̱⠶§¹®¿¡ Á¤º¸¸¦ Á¦°øÇÏ´Â ±â¾÷ ¿ª½Ã Ŭ¶óÀ̾ðÆ®¿¡ ´ëÇÑ ÀÎÁõÀÌ Çʼö´Ù. ÀÌ·± mTLS ±â¼ú »ç¿ëÀº ±ÝÀ¶ ¸¶À̵¥ÀÌÅÍ ±â¼ú °¡À̵忡µµ ±Ç°í »çÇ×À¸·Î ¸í½ÃµÅ ÀÖ´Ù.

Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛÀÇ À¥º¸¾È ¼Ö·ç¼ÇÀÎ ¡®¿ÍÇÃ(WAPPLES)¡¯Àº À¥ °ø°Ý ´ëÀÀ ¹× Á¤º¸À¯Ã⡤ºÎÁ¤Á¢±Ù¡¤À§º¯Á¶¹æÁö µî ±âÁ¸ À¥¹æÈ­º® ±â´É¿¡ Ãæ½ÇÇÏ°í, ´Ù¾çÇÑ API Çü½Ä¿¡ ´ëÇÑ ±¸¹®°ú À¯È¿¼º °Ë»ç¸¦ ÅëÇØ Å½Áö ¹× Â÷´Ü ±â´ÉÀ» Á¦°øÇÑ´Ù. À¥API¿Í ¾ÖÇø®ÄÉÀÌ¼Ç È¯°æ Àü¹ÝÀ» º¸È£ÇÑ´Ù. ÇöÀç È°µ¿ÇÏ´Â À¥º¿ÀÇ 40% ÀÌ»óÀÌ ¾Ç¼º º¿ÀÎ ¸¸Å­ º¿ °ø°ÝÀÇ ´ëÀÀ·ÂÀ» ³ôÀ̱â À§ÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý ¹æÁö, ÇΰÅÇÁ¸°Æà µî º¿À» ¾Ç¿ëÇÑ °ø°ÝÀ» Â÷´ÜÇÑ´Ù.

WAAP(Web Application and API Protection)ÀÇ ±â¹ÝÀÌ µÇ´Â À¥¹æÈ­º®Àº ÀÚü ¼º´ÉÀÌ ¿ì¼öÇØ ¸¹Àº ŽÁö·Â°ú ÀûÀº ¿ÀŽ·üÀ» ÀÚ¶ûÇÑ´Ù. À¥¹æÈ­º® ¼º´ÉÀº ÃÊ´ç 65¸¸ TPS(Transaction Per Second:ÃÊ´ç ó¸® °Ç¼ö) ±Þ¿¡ ÇØ´çÇÏ´Â ÃÊ°í¼º´É ¸ðµ¨ Á¦Ç°À» º¸À¯ÇÏ°í ÀÖ´Ù. »Ó¸¸ ¾Æ´Ï¶ó ¸Ó½Å·¯´× ±â¹Ý ÀÚ°¡Á¡°Ë, Á¤±âÁ¡°Ë µî »ç¿ë¼º ¹× ÆíÀǼº °­È­ ±â´ÉÀ» žÀçÇØ ÀÚµ¿À¸·Î Àå¾Ö ¹ß»ýÀ» ¹Ì¿¬¿¡ ¹æÁöÇØ ¿À·ù ¾ø´Â ¿î¿µ ¹× À¯Áö º¸¼öÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

[API ´ëÇ¥ ¼Ö·ç¼Ç ÁýÁߺм®-1]
API¿Í º¸¾È »ýÅ°èÀÇ ÀÌÇØ
20³â ÀÌ»ó Ŭ¶ó¿ìµå º¸¾È ³ëÇÏ¿ì·Î ¾ÈÀüÇÑ ¿Â¶óÀÎ °æÇè Á¦°øÇÏ´Â ¾ÆÄ«¸¶ÀÌ


¡ãLIFE CYCLE OF A RANSOMWARE INCIDENT[À̹ÌÁö=¾ÆÄ«¸¶ÀÌ]


API´Â ¿ì¸® »îÀ» Æí¸®ÇÏ°Ô ÇÔ°ú µ¿½Ã¿¡ °ø°ÝÀÌ °¡´ÉÇÑ ¿©·¯ Ãë¾àÇÑ ¸éµéÀ» ³ëÃâÇß´Ù. ´ºÁú·£µå Á¤ºÎ°¡ ¹ßÇ¥ÇÑ À§ÀÇ »ýÅ°è´Â Å©°Ô ¼¼ ´Ü°è·Î °ø°Ý Ãʱ⿡´Â ¿ø°Ý Á¢±Ù(Remote Access)À» À§ÇØ VPN(Virtual Private Network)À̳ª RDP(Remote Desktop Protocol)¸¦ ³ë¸± °¡´É¼ºÀÌ Å©¸ç, ¿ÜºÎ·Î ¿­·Á ÀÖ´Â ½Ã½ºÅÛÀÇ Ãë¾àÁ¡, ¹«ÀÛÀ§ ´ëÀÔ°ø°Ý(Credential Stuffing)µîÀÌ È°¿ëµÉ ¼ö ÀÖ´Ù.

´ÙÀ½Àº ÃëÇÕ ¹× Áغñ ´Ü°è·Î C2(Command and Control) È®º¸À̸ç, ¸¶Áö¸· ´Ü°è´Â ¸ñÇ¥¹°À» ÇâÇÑ ÃÖ´ë ÇÇÇØ·Î µ¥ÀÌÅ͸¦ Å»Ã롤À¯Ãâ ¹× Àá±×°í ¸ö°ª(Ramsom)À» ¿äûÇÑ´Ù. ÀÌ¿¡ ¾ÆÄ«¸¶ÀÌ´Â ¸ðµç º¸¾È Æ÷Æ®Æú¸®¿À¸¦ °¡Áö°í ÀÖÀ¸¸ç, Àü¹ÝÀû º¸¾È¿¡ µµ¿òÀ» ÁÙ ¼ö ÀÖ´Ù.

¾ÆÄ«¸¶ÀÌ¿Í OWASP API Top10 Ãë¾àÁ¡ ¹æ¾îÇϱâ
°¡Àå ¸ÕÀú APIº¸¾ÈÀ» À§ÇØ È®ÀÎÇØ¾ß ÇÒ °ÍÀº Cyber Security °³¼±À» À§ÇÑ ºñ¿µ¸® ´ÜüÀÎ OWASP¿¡¼­ 2019³âµµ¿¡ ¹ßÇ¥ÇÑ OWASP API Top10Ãë¾àÁ¡¿¡ ¾ÆÄ«¸¶ÀÌ°¡ µµ¿òÀ» ÁÙ ¼ö ÀÖ´Â ºÎºÐµéÀ» °¢ Ç׸ñº°·Î Àû¾îºÃ´Ù.

API1: 2019 Broken Object Level Authorization ÀÌ Ãë¾àÁ¡Àº Object ID¿¡ Á¢¼ÓÇϴ Ŭ¶óÀ̾ðÆ®¿¡ ´ëÇÑ ±ÇÇÑÈ®ÀÎÀÌ ÀûÀýÇÏÁö ¾ÊÀ» ¶§ ¹ß»ýÇÑ´Ù. ¾ÆÄ«¸¶ÀÌ(Akamai)ÀÇ App & API Protector(AAP)´Â Referer headerÀÇ À¯È¿¼º °Ë»ç¸¦ ÅëÇØ ÀÌ·± ºÎºÐÀ» ÆľÇÇÒ ¼ö ÀÖ´Ù.

API2: 2019 Broken User Authentication ÀÎÁõ ¸ÞÄ¿´ÏÁòÀÌ Á¾Á¾ À߸ø ±¸ÇöµÅ °ø°ÝÀÚ·Î ÇÏ¿©±Ý ÀÎÁõ ÅäÅ«ÀÌ ¼Õ»óµÇ°Å³ª Ãë¾àÁ¡À» ¾Ç¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ ID¸¦ À¯Ãß/»ç¿ë °¡´ÉÇÏ°Ô µÈ´Ù. ¾ÆÄ«¸¶ÀÌ´Â ÀÌ·¯ÇÑ ½ÃµµÀÇ °ø°Ý ±â¹ý ŽÁö ¹× ¹æ¾î¸¦ Áö¿øÇÑ´Ù.

API3: 2019 Excessive Data Exposure °³¹ßÀÚ´Â °³º° ¹Î°¨µµ³ª À§Ç輺À» °í·ÁÇÏÁö ¾Ê°í Object Property¸¦ ³ëÃâ ½ÃÅ°´Â °æÇâÀÌ ÀÖ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(AAP)¿Í Advanced Security Management(ASM)´Â Çã¿ë °¡´ÉÇÑ JSON ¹× XML Æ÷¸ËÀ» Á¤ÀÇÇÏ´Â API º¸¾ÈÀ» Æ÷ÇÔÇØ ½Ç¼ö·Î °úµµÇÑ µ¥ÀÌÅ͸¦ ³ëÃâ½Ãų ¼ö ÀÖ´Â Æ÷¸ËÀ» ÇÊÅ͸µÇÑ´Ù.

API4: 2019 Lack of Resources & Rate Limiting API´Â »ç¿ëÀÚ°¡ ¿äûÇÒ ¼ö ÀÖ´Â ¸®¼Ò½ºÀÇ Å©±â³ª ¼ö¿¡ Á¦ÇÑÀ» µÎÁö ¾Ê¾Æ ¼­¹ö ¼º´É¿¡ ¿µÇâÀ» ¹ÌÃÄ DoS³ª Credential Stuffing °ø°Ý µîÀ¸·Î ÀÎÁõ ¹× °¡¿ë¼º¿¡ Ãë¾àÇÒ ¼ö ÀÖ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(AAP)¿Í Advanced Security Management(ASM)´Â APIº° ¿äû¿¡ ´ëÇÑ ÀÓ°è°ªÀ» Á¤ÀÇÇØ Àü¼Û·ü Á¦¾î±â´ÉÀ» Á¦°øÇÑ´Ù.

API5: 2019 Broken Function Level Authorization ±â¾÷ÀÇ Á¢¼Ó °ü¸® Á¤Ã¥Àº º¹ÀâÇØ ±ÇÇÑ ¹®Á¦¸¦ ÃÊ·¡Çϱ⵵ Çϸç, °ø°ÝÀÚ´Â À̸¦ ¾Ç¿ëÇØ ´Ù¸¥ »ç¿ëÀÚÀÇ ¸®¼Ò½º³ª °ü¸®±â´É¿¡ Á¢¼ÓÇÑ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ Enterprise Application Access(EAA)´Â ±â¾÷ »ç¿ëÀÚ¿¡°Ô ÃÖ¼Ò±ÇÇÑ Á¢¼Ó ¸ðµ¨À» Áö¿øÇØ ÀÎÁõµÈ »ç¿ëÀÚ¿¡°Ô ±ÇÇÑÀ» °¡Áø ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °¡½Ã¼º ¹× Á¢¼Ó¸¸ Çã¿ëÇÑ´Ù.

API6: 2019 Mass Assignment API Endpoint´Â µ¥ÀÌÅÍ ³ëÃâ ¼öÁØ°ú ¹Î°¨µµ¸¦ °í·ÁÇÏÁö ¾Ê°í ÀÚµ¿À¸·Î Input µ¥ÀÌÅÍ·Î ³»ºÎ ¿ÀºêÁ§Æ®¸¦ º¯È¯ÇÏ°Ô ÇÏ´Â °æ¿ì, Ãë¾àÇÏ´Ù°í °£ÁÖÇÑ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(APP)¿Í Advanced Security Management(ASM)´Â Çã¿ë °¡´ÉÇÑ JSON¹× XML Æ÷ÄÏÀ» »çÀü Á¤ÀÇÇØ ¾ÇÀÇÀûÀÎ Æ÷¸ËÀ» ÇÊÅ͸µÇÑ´Ù.

API7: 2019 Security Misconfiguration À߸øµÈ º¸¾È ¼³Á¤À¸·Î ÀÎÇØ ¹Î°¨ Á¤º¸ µî ºÒÇÊ¿äÇÑ ¿À·ù ¸Þ½ÃÁö¸¦ ³ëÃâÇÒ ¼ö ÀÖ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(APP)¿Í Advanced Security Management(ASM)´Â HTTP ÀÀ´äÀ» °Ë»çÇØ SQL ¿À·ùÄڵ峪 ¸Þ½ÃÁö, µð·ºÅ丮, ÆÄÀÏ À̸§°ú °°Àº ¹Î°¨ µ¥ÀÌÅÍ°¡ À¯ÃâµÇ´ÂÁö ŽÁöÇÒ ¼ö ÀÖ´Ù.

API8: 2019 Injection SQL, NoSQL, Command Injection µî°ú °°Àº Injection °áÇÔµéÀº Command³ª Query·Î ÀÎÅÍÇÁ¸®ÅÍ¿¡ Àü¼ÛµÉ ¶§ ¹ß»ýÇÑ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(AAP)´Â ÀÎÁ§¼Ç °ø°Ý(SQLi, XSS, CMDi, RFI, LFI µî)¿¡ ´ëºñÇØ JSON°ú XML ¿äûÀ» ÀÚµ¿À¸·Î °Ë»çÇÑ´Ù.

API9: 2019 Improper Assests Management API´Â ±âÁ¸ÀÇ Web Applicationº¸´Ù Endpoint¸¦ ÈξÀ ´õ ¸¹ÀÌ ¿ÜºÎ·Î ³ëÃâÇØ °ø°ÝÀÚ·Î ÇÏ¿©±Ý °ø°ÝÇÒ ¼ö ÀÖ´Â ¸éÀ» ³Ð°Ô ÇÑ´Ù. ¾ÆÄ«¸¶ÀÌÀÇ App & API Protector(APP)´Â Á¢¼Ó °¡´ÉÇÑ APIµéÀÇ Endpoint, ¸®¼Ò½º, ƯÁ¤ ¹× Á¤ÀǸ¦ ÀÚµ¿À¸·Î °Ë»öÇØ º¸¾ÈÆÀÀÌ ¿À·¡µÈ API¸¦ °ü¸®ÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù.

API10: 2019 Insufficient Logging & Monitoring ºÒÃæºÐÇÑ ·Î±ëÀ̳ª ¹ÌÈíÇÑ ¸ð´ÏÅ͸µÀº ±â¾÷À¸·Î ÇÏ¿©±Ý °¡½Ã¼ºÀ» È®º¸ÇÏÁö ¸øÇÏ°Ô ÇÑ´Ù. ¾ÆÄ«¸¶ÀÌ´Â À¥º¸¾È ºÐ¼® ´ë½Ãº¸µå¿Í ¸®Æ÷Æà ±â´ÉÀ» ÅëÇØ APIÀÇ º¸¾È°üÁ¡ À̺¥Æ®¸¦ ¸ð´ÏÅ͸µÇÏ°í Æò°¡ÇÒ ¼ö ÀÖµµ·Ï ¼¼ºÎ °ø°Ý ÅÚ·¹¸ÞÆ®¸® ¹× ºÐ¼®À» Á¦°øÇÑ´Ù.

[API ´ëÇ¥ ¼Ö·ç¼Ç ÁýÁߺм®-2]
³ë³×ÀÓ ½ÃÅ¥¸®Æ¼, ¿£½ÃÅ¥¾î¿Í ÃÑÆÇ °è¾àÀ¸·Î ±¹³» ù API ½ÃÀå ÁøÃâ
¿Ïº®ÇÑ »çÀü ¿¹¹æÀûÀÎ API º¸¾È °ü¸® ¼Ö·ç¼Ç, ¡®³ë³×ÀÓ API º¸¾È Ç÷§Æû¡¯


API º¸¾È ºÐ¾ß¿¡¼­ ±Û·Î¹ú ¸®´õ ¿ªÇÒÀ» ´ã´çÇÏ°í ÀÖ´Â ¡®³ë³×ÀÓ ½ÃÅ¥¸®Æ¼¡¯ÀÇ ¡®³ë³×ÀÓ API º¸¾È Ç÷§Æû(Noname API Security Platform)¡¯Àº ÃÖ±Ù ¿£½ÃÅ¥¾î¿Í ÃÑÆÇ °è¾àÀ» ÅëÇØ ±¹³» API º¸¾È ½ÃÀå¿¡ ù¹ßÀ» µðµ±´Ù.

µ¶º¸ÀûÀÎ ÅëÇÕ API º¸¾È Ç÷§ÆûÀ» ÅëÇØ API SDLC¸¦ Àü¹æÀ§ º¸È£
¡®³ë³×ÀÓ ½ÃÅ¥¸®Æ¼¡¯ÀÇ ¡®³ë³×ÀÓ API º¸¾È Ç÷§Æû¡¯Àº Ŭ¶óÀ̾ðÆ® ¶Ç´Â ¼­¹ö Áß½ÉÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç ¾ÆÅ°ÅØó°¡ API Áß½ÉÀÇ µ¥ºê¿É½º ¹× Ŭ¶ó¿ìµå ȯ°æÀ¸·Î º¯È­Çϸ鼭 ¹ß»ýÇÒ ¼ö ÀÖ´Â API º¸¾ÈÀÇ ¸ÍÁ¡À» º¸¿ÏÇÏ°í ÇØ°áÇϱâ À§ÇÑ µ¶º¸ÀûÀÎ ¼Ö·ç¼ÇÀÌ´Ù. º¸¾È Ãë¾àÁ¡, À߸øµÈ ±¸¼º ¹× ¼³°è °áÇÔÀ¸·ÎºÎÅÍ API ȯ°æÀ» »çÀü¿¡ º¸È£Çϸç ÀÚµ¿È­µÈ À§Çè ŽÁö ¹× ´ëÀÀÀ» ÅëÇØ ½Ç½Ã°£À¸·Î °ø°Ý¿¡ ´ëÀÀÇÑ´Ù.

API °ÔÀÌÆ®¿þÀÌ ¹× À¥ ¹æÈ­º®À¸·Î´Â ¹æ¾îÇÒ ¼ö ¾ø´Â Ç¥Àû °ø°Ý°ú OWASP API º¸¾È Ãë¾àÁ¡ Top 10 ÀÌ¿Ü¿¡µµ ¼ö¹é °¡ÁöÀÇ À§ÇèÀ» ŽÁöÇÏ°í µ¥ÀÌÅÍ À¯Ãâ, ±ÇÇÑ ºÎ¿© ¹®Á¦, µ¥ÀÌÅÍ ¿À³²¿ë ¹× ¼Õ»óÀ¸·ÎºÎÅÍ API¸¦ ÀÚµ¿À¸·Î º¸È£ÇÑ´Ù.

¡®³ë³×ÀÓ API º¸¾È Ç÷§Æû¡¯Àº º¸¾È ż¼ °ü¸®, ·±Å¸ÀÓ º¸¾È ¹× µ¿Àû Å×½ºÆ®¸¦ Á¦°øÇÏ´Â ÅëÇÕ API º¸¾È ¼Ö·ç¼ÇÀ¸·Î½á ¹ß°ß, ºÐ¼®, ±³Á¤, Å×½ºÆ® ÃÑ ³× ´Ü°è¸¦ ÅëÇØ API º¸¾È ¹®Á¦¿¡ Á¢±ÙÇÑ´Ù.

µ¥ÀÌÅÍ ºÐ·ù¸¦ ÅëÇØ ·¹°Å½Ã ¹× ¼¨µµ API¸¦ Æ÷ÇÔÇÑ ¸ðµç APIÀÇ Àκ¥Å丮¸¦ ÀÛ¼ºÇØ À߸øµÈ ±¸¼ºÀ» ½Äº°ÇÏ°í ¼Ò½º Äڵ峪 ³×Æ®¿öÅ© ±¸¼º ¹× Á¤Ã¥»óÀÇ Ãë¾àÁ¡À» ¹ß°ßÇÑ´Ù. ÀÌÈÄ ÀÚµ¿È­µÈ AI ¾Ë°í¸®ÁòÀ» ÅëÇØ º¯Ä¢ÀûÀÎ µ¿ÀÛ°ú Ãë¾àÁ¡, µ¥ÀÌÅÍ À¯Ãâ ¹× º¯Á¶, À߸øµÈ ±¸¼º, Á¤Ã¥ À§¹Ý µîÀ» ŽÁö ¹× ºÐ¼®ÇØ ÀÚµ¿À¸·Î À§ÇèÀ» Â÷´ÜÇÏ°í Àǽɽº·¯¿î TCP ¼¼¼ÇÀ» Áß´ÜÇϰųª ¹æÈ­º® ±ÔÄ¢À» ÀÚµ¿À¸·Î ¾÷µ¥ÀÌÆ®ÇÏ´Â µî ½º½º·Î ±³Á¤ È°µ¿À» ¼öÇàÇÑ´Ù. ´õºÒ¾î ¿î¿µ Àü APIÀÇ º¸¾ÈÀ» °ËÁõÇÏ´Â Å×½ºÆ®¸¦ ÅëÇØ API À§ÇùÀÌ ¹ß°ßµÇ±â Àü¿¡ ¹Ì¸® ½Äº°ÇÑ´Ù.

¶ÇÇÑ, °í°´ÀÇ ¿ä±¸¿¡ ºÎÀÀÇϱâ À§ÇØ ¿ÂÇÁ·¹¹Ì½º¿Í Ŭ¶ó¿ìµå, SaaS, ÇÏÀ̺긮µå µî ¸ðµç ȯ°æÀ» Áö¿øÇϸç API °ÔÀÌÆ®¿þÀÌ, ·Îµå ¹ë·±¼­, À¥ ¹æÈ­º®, CI/CD µî°ú ÅëÇÕÇØ º¸´Ù ½ÉÃþÀûÀÎ °¡½Ã¼º°ú Æ÷°ýÀûÀÎ API º¸¾È ±â´ÉÀ» Á¦°øÇÑ´Ù.

³ë³×ÀÓ API º¸¾È Ç÷§Æû
API º¸¾È ż¼ °ü¸®

Á¶Á÷ÀÇ API º¸¾È ż¼¸¦ Æò°¡Çϱâ À§ÇØ Æ®·¡ÇÈ, ¼Ò½º ÄÚµå ¹× ±¸¼º¿¡ ´ëÇÑ Æ÷°ýÀûÀÎ °¡½Ã¼ºÀ» Á¦°øÇÑ´Ù. ³ë³×ÀÓ ¿£ÁøÀ» ÅëÇØ ½Ç½Ã°£À¸·Î API Æ®·¡ÇÈÀ» ºÐ¼®ÇØ ±âÁ¸ÀÇ API¿Í »õ·Î¿î APIÀÇ º¯°æ »çÇ×À» ½Äº°ÇÏ°í ¸ðµç API¸¦ °Ë»ö ¹× ¸ÅÇÎÇϸç HTTP, RESTful, GraphQL, SOAP, XML‑RPC ¹× gRPC¸¦ ºñ·ÔÇÑ ¸ðµç Á¾·ùÀÇ API¸¦ ã¾Æ Àκ¥Å丮¸¦ ÀÛ¼ºÇÑ´Ù.

¡ã³ë³×ÀÓ API º¸¾È Ç÷§Æû »ç¿ëÀÚ ÀÎÅÍÆäÀ̽º[À̹ÌÁö=¿£½ÃÅ¥¾î]


¶ÇÇÑ, API °ÔÀÌÆ®¿þÀÌ¿¡¼­ °ü¸®ÇÏÁö ¸øÇÏ´Â Á»ºñ ¹× ºÒ·® API¸¦ ¹ß°ßÇÏ°í API ¼Ó¼º°ú ¸ÞŸµ¥ÀÌÅ͸¦ ºÐ·ùÇÑ´Ù. À¥ ¹æÈ­º®, API °ÔÀÌÆ®¿þÀÌ, SIEM, ITSM, ¿öÅ©Ç÷Πµµ±¸ ¶Ç´Â ±âŸ Ŭ¶ó¿ìµå Ç÷§Æû°úÀÇ ÅëÇÕÀ» ÅëÇØ ÀÚµ¿À¸·Î ÀáÀçÀûÀÎ Ãë¾àÁ¡À» ½Äº°ÇÏ°í ¿ì¼±¼øÀ§¸¦ ÁöÁ¤ÇØ ¹Î°¨ÇÑ µ¥ÀÌÅÍÀÇ À¯Çü, µ¥ÀÌÅÍ À¯Ãâ ¿©ºÎ, API ÀÎÁõ È°¼ºÈ­ ¿©ºÎ ¹× ÀÎÁõ À¯Çü µîÀÇ Ãë¾à¼ºÀ» °¨ÁöÇÑ´Ù.

API ·±Å¸ÀÓ º¸È£
ÀÚµ¿È­µÈ AI ¹× ¸Ó½Å·¯´× ±â¹Ý ŽÁö ¸ðµ¨À» »ç¿ëÇØ ³ôÀº Á¤È®µµ·Î µ¥ÀÌÅÍ À¯Ãâ ¹× À§Á¶, À߸øµÈ ±¸¼º, Á¤Ã¥ À§¹Ý, Àǽɽº·¯¿î µ¿ÀÛ ¹× °ø°ÝÀ» ºñ·ÔÇØ ±¤¹üÀ§ÇÑ API Ãë¾àÁ¡À» °¨ÁöÇÒ ¼ö ÀÖ´Ù. Ãë¾àÁ¡À» ŽÁöÇϱâ À§ÇØ ·Î±×, Æ®·¡ÇÈ, ±¸¼º ÆÄÀÏ µîÀ» Æ÷ÇÔÇÑ ´Ù¾çÇÑ ¼Ò½º¸¦ ¼öÁýÇØ ½Ç½Ã°£À¸·Î °ø°ÝÀ» ¹æÁöÇÏ°í À߸øµÈ ±¸¼ºÀ» ¼öÁ¤Çϸç À¥ ¹æÈ­º®¿¡ À¥ÈÄÅ©(Web Hook: ¿ª¹æÇâ API·Î½á ¼­¹ö¿¡¼­ ƯÁ¤ÇÑ À̺¥Æ®°¡ ¹ß»ýÇßÀ» ¶§ Ŭ¶óÀ̾ðÆ®¸¦ È£ÃâÇÏ´Â ¹æ½Ä)ÇØ Àǽɽº·¯¿î µ¿ÀÛ¿¡ ´ëÇÑ »õ·Î¿î Á¤Ã¥À» »ý¼ºÇÑ´Ù.

¡ã¸ðµç API Ž»ö ¹× Àκ¥Å丮 ±¸Ãà[À̹ÌÁö=¿£½ÃÅ¥¾î]


API µ¿Àû Å×½ºÆ®
´ëºÎºÐÀÇ ¾ÖÇø®ÄÉÀ̼ÇÀº ¿î¿µµÇ±â Àü¿¡ ÇʼöÀûÀ¸·Î º¸¾È Å×½ºÆ®¸¦ ÁøÇàÇÏÁö¸¸, API´Â °£°úÇÏ´Â °æ¿ì°¡ ´ëºÎºÐÀÌ´Ù. ¼ÒÇÁÆ®¿þ¾î °³¹ß ¼ö¸í ÁÖ±âÀÇ ÀϺηνá APIÀÇ º¸¾ÈÀ» Å×½ºÆ®ÇØ ¿î¿µ Àü¿¡ Ãë¾àÁ¡À» ½Äº°ÇÑ´Ù. ƯÈ÷ ±âÁ¸ÀÇ CI/CD ÆÄÀÌÇÁ¶óÀΰú ¿øÈ°ÇÏ°Ô ÅëÇÕÇØ JWT Ãë¾àÁ¡, ÀÎÁõ, ±ÇÇÑ ºÎ¿©, ±ÝÁöµÈ Çì´õ µîÀ» ŽÁöÇÒ ¼ö ÀÖ´Ù.

¡ã½Ç½Ã°£ API °ø°Ý ŽÁö ¹× Â÷´Ü[À̹ÌÁö=¿£½ÃÅ¥¾î]


[API ´ëÇ¥ ¼Ö·ç¼Ç ÁýÁߺм®-3]
ÆÄÀÌ¿À¸µÅ©, API º¸È£ ½ÃÀå È®´ë¸¦ À§ÇØ ±â¼ú¹é¼­ ¹ß°£ µî ¾ÕÀå¼­
À¥°ú API º¸È£¸¦ À§ÇÑ °í¼º´É WAAP, ÆÄÀÌ¿À¸µÅ© À¥ÇÁ·ÐÆ®-K


ÃÖ±Ù À¥ ȯ°æÀº ±â¾÷ÀÇ µðÁöÅÐ ÀüȯÀÌ °¡¼ÓÈ­µÇ¸é¼­ ºü¸£°í °£ÆíÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß, ±×¸®°í ¸¶À̵¥ÀÌÅÍ »ç¾÷ µîÀ¸·Î API È°¿ëÀÌ ³ô´Ù.

¡ãÆÄÀÌ¿À¸µÅ© À¥ÇÁ·ÐÆ®-K[À̹ÌÁö=ÆÄÀÌ¿À¸µÅ©]


À¥¹æÈ­º®¿¡¼­ WAAP·Î ¹ßÀü
API »ç¿ëÀÌ ´Ã¾î³­ ¸¸Å­ ÇØ´ç Ãë¾àÁ¡À» ³ë¸° °ø°Ý ¿ª½Ã Áõ°¡ÇÏ°í ÀÖ°í, ƯÈ÷ À¥ ¾ÖÇø®ÄÉÀ̼ǰú API´Â °³ÀÎÁ¤º¸¿Í °°Àº ¹Î°¨ÇÑ µ¥ÀÌÅÍ°¡ ¿À°¡±â ¶§¹®¿¡ º¸¾ÈÀÌ ¸Å¿ì Áß¿äÇÏ´Ù. ±×·¯³ª ±âÁ¸ À¥ º¸¾È¿¡ ´ëÀÀÇÏ´Â À¥¹æÈ­º®À¸·Î´Â È¿°úÀûÀ¸·Î API¸¦ º¸È£ÇÒ ¼ö ¾ø±â ¶§¹®¿¡ À¥¹æÈ­º®¿¡¼­ ÇÑ ´Ü°è ÁøÈ­µÈ ¡®À¥ ¾ÖÇø®ÄÉÀÌ¼Ç ¹× API º¸È£(Web Application and API Protection, ÀÌÇÏ WAAP)¡¯ ¼Ö·ç¼ÇÀÌ ºÎ»óÇÏ°í ÀÖ´Ù.

À¥ÇÁ·ÐÆ®-KÀÇ ÁÖ¿ä ¿ªÇÒÀº ¡â±âÁ¸ À¥¹æÈ­º® º»¿¬ÀÇ ±â´É¿¡ ¡âAPI º¸È£ ¡â¾Ç¼º º¿ Â÷´Ü ¡âDDoS ¹æ¾î°¡ ÀÖ´Ù. ÀÌ´Â OWASP API Top 10 Ãë¾àÁ¡¿¡ ¿Ïº® ´ëÀÀÇÏ°í, ½ÃÀåÁ¶»ç±â°ü °¡Æ®³Ê°¡ Á¤ÀÇÇÏ´Â WAAP Á¶°Çµµ ÃæÁ·ÇÑ´Ù.

±¹³» ÃÖ°í ¼º´É À¥¹æÈ­º® ¹× API º¸È£
ÆÄÀÌ¿À¸µÅ©´Â ¸®´ª½º Ä¿³ÎÀÇ ³×Æ®¿öÅ© ½ºÅÃÀ» ´Ù·ç´Â ±â¼ú·Î´Â ±¹³» ÃÖ°í¶ó°í ÀÚºÎÇÏ°í ÀÖ´Ù. ÇÁ·ÐÆ®-K´Â Çϵå¿þ¾î¿Í ÃÖÀûÈ­µÈ Ä¿³Î ±â¼úºÎÅÍ ³×Æ®¿öÅ© ó¸® ¼º´ÉÀ» ±Ø´ëÈ­ÇÏ´Â ´Ù¾çÇÑ ±â¼ú°ú º¸¾È µîÀÌ Ãß°¡µÅ Àüü ¿î¿µÃ¼Á¦(OS)¸¦ ±¸¼ºÇϱ⠶§¹®¿¡ Ãâ½ÃºÎÅÍ Áö±Ý±îÁö °í¼º´É À¥¹æÈ­º®À̶õ ŸÀÌƲÀ» ³õÄ¡Áö ¾Ê°í ÀÖ´Ù. À¥ ȯ°æ º¯È­¿¡ ¸ÂÃç ¼ö³â ÀüºÎÅÍ ÀÚ»ç À¥¹æÈ­º®¿¡ API º¸È£ ±â¼úÀ» Ãß°¡ÇØ °í¼º´É WAAP·Î¼­µµ ¸í¼ºÀ» À̾°í ÀÖ´Ù.

API¸¦ À§ÇÑ ´ëÇ¥ÀûÀÎ ±â¼ú·Î ¾ç¹æÇâ TLS(mTLS)°¡ ÀÖ´Ù. ´Ü¹æÇâ ÀÎÁõ°ú ´Þ¸® Åë½ÅÇÏ´Â µÎ ÁÖü°¡ ¼­·ÎÀÇ ÀÎÁõ¼­¸¦ °ËÁõÇØ ½Å·ÚÇÒ ¼ö ÀÖ´Â »çÀÌÆ®ÀÎÁö È®ÀÎÇϴµ¥, ÀÌ´Â ¹Î°¨ÇÑ °³ÀÎÁ¤º¸¸¦ ÁÖ°í¹Þ´Â ¸¶À̵¥ÀÌÅÍ ¼­ºñ½ºÀÇ ÇʼöÀÌÀÚ ¸Å¿ì Áß¿äÇÑ ±â¼úÀÌ´Ù. ±×¹Û¿¡ ½Äº°Á¤º¸ Ŭ·ÎÅ·, API ÅäÅ« ÀÎÁõ ¹× ¹«°á¼º °Ë»ç, APIº° Çã¿ë ÀÓ°èÄ¡ ¹× Á¦ÇÑ, JSON ÀÀ´ä Ŭ·ÎÅ·, JSON ¿äû ÇÊµå °Ë»ç µîÀÌ Àû¿ëµÅ ÀÖ´Ù.

ÆÄÀÌ¿À¸µÅ©´Â API º¸È£ÀÇ Á߿伺°ú ½ÃÀå È®´ë¸¦ À§ÇØ ÀÚüÀûÀ¸·Î API º¸¾È ±â¼ú¹é¼­¸¦ ¹ß°£ÇØ API °³³ä°ú º¸¾È¿¡ ÇÊ¿äÇÑ ±â¼ú, ±×¸®°í ·¹°Å½Ã À¥¹æÈ­º®°ú WAAPÀÇ Â÷ÀÌ¿¡ ´ëÇØ ¾Ë¸®´Â µî ±¹³» ±â¾÷ Áß °¡Àå ¸ÕÀú API º¸È£¿¡ ¾ÕÀå¼­ ¿Ô´Ù. ¶ÇÇÑ, ¸¶À̵¥ÀÌÅÍ¿¡ Âü¿©ÇÏ´Â ±ÝÀ¶¡¤°ø°ø±â°ü µîÀ» ´ë»óÀ¸·Î ¿µ¾÷À» °­È­ÇÏ°í ÀÖÀ¸¸ç, ƯÈ÷ Çѱ¹ÀüÀÚÅë½Å¿¬±¸¿ø(ETRI) ICT½ÃÇ迬±¸¼¾ÅÍ¿¡¼­ ¼öÇàÇÏ°í ÀÖ´Â ¡®ICT Çõ½Å¼±µµ ¿¬±¸ÀÎÇÁ¶ó ±¸Ã࡯ »ç¾÷ÀÇ ÀÏȯÀ¸·Î À¥ÇÁ·ÐÆ®-K°¡ ¼º´É°ú ±â´É ¹× »óÈ£¿î¿ë¼º ½ÃÇèÀ» Åë°úÇØ °ü·Ã »ç¾÷ÀÌ ¼Óµµ¸¦ ³»°í ÀÖ´Ù.

»ç¿ëÀÚ ÇàÀ§ ±â¹Ý ŽÁö ±â¼ú·Î º¿ °ü¸® ¹× DDoS ¹æ¾î
WAAP´Â ¾ÇÀÇÀûÀÎ º¿À» Â÷´ÜÇØ À¥»çÀÌÆ®ÀÇ ¾Ç¿ë¡¤¿À¿ë ¹× DDoS¸¦ ¹æ¾îÇÑ´Ù. º¿Àº °Ë»ö¿£Áø, ÆÐÄ¡¿Í °°Àº ÁÁÀº º¿µµ ÀÖÁö¸¸, ÀÚµ¿È­, ½ºÅ©·¡ÆÛ¿Í °°Àº ¾Ç¼º º¿µµ ÀÖ´Ù. ƯÈ÷, ÃֽŠº¿Àº Àΰ£°ú À¯»çÇÑ ÇൿÀ» Çϸ鼭 Ãë¾àÁ¡ °ø°Ý, µ¥ÀÌÅÍ À¯Ãâ, DDoS °ø°Ý µî¿¡ »ç¿ëµÇ¸é¼­ »çȸÀûÀ¸·Î Å« ¹®Á¦¸¦ ¾ß±âÇÏ°í ÀÖ´Ù.

À¥ÇÁ·ÐÆ®-K´Â ´Ù¾çÇÑ Áö´ÉÇü ŽÁö ±â¼úÀÌ Àû¿ëµÅ ÀÖ¾î API °ø°ÝÀ» Æ÷ÇÔÇÑ ½ÅÁ¾ À¥ °ø°Ý°ú ÁÖ¿ä Ãë¾àÁ¡¿¡ ½Å¼ÓÇÏ°Ô ´ëÀÀÇÑ´Ù. ´ëÇ¥ÀûÀ¸·Î ¡®»ç¿ëÀÚ ÇàÀ§ ±â¹Ý ŽÁö ±â¼ú¡¯ÀÌ Àִµ¥, ÀÌ´Â ÁøÈ­ÇÑ º¿ÀÇ ÇàÀ§¸¦ ºÐ¼®ÇØ ¾Ç¼º º¿À» Â÷´ÜÇÏ´Â °ÍÀÌ´Ù.

À̸¦ À§ÇØ Ä¸Ã­(CAPTCHA), ÀÚ¹Ù½ºÅ©¸³Æ® ¾×¼Ç ±â¹Ý ÀÎÁõ, Å©¸®µ§¼È ½ºÅÍÇÎ ±â¼ú µîÀÌ Àû¿ëµÆÀ¸¸ç, ÀÚüÀûÀ¸·Î ÇàÀ§ºÐ¼® ±â¼úÀ» ´õ¿í °íµµÈ­ÇØ ¿ÀŽ, ¹ÌŽÀ²À» ³·Ãç ¾Ç¼º »ç¿ëÀÚ¿Í ÀÚµ¿È­µÈ À§Çù¿¡ ´ëÀÀÇÏ°í ÀÖ´Ù.

ÃÖ±Ù º¿Àº ¸¶Ä¡ »ç¶÷°ú °°Àº ¼Óµµ·Î ¸¶¿ì½º¸¦ ¿òÁ÷ÀÌ°í ÀϺη¯ ¿ÀŸ³ª ½Ç¼ö¸¦ Çϸ鼭 ŽÁö¸¦ ¿ìȸÇϴµ¥, À¥ÇÁ·ÐÆ®-K´Â º¿ÀÌ ÃµÃµÈ÷ ¸¶¿ì½º¸¦ ¿òÁ÷ÀÌ´õ¶óµµ Ŭ¸¯ À§Ä¡³ª ¿òÁ÷ÀÓ ÆÐÅÏ, ±×¸®°í Å° ÀÔ·Â ¼Óµµ¿Í ¾Ð·Âµµ µîÀ» ºÐ¼®ÇØ º¿ ¿©ºÎ¸¦ ÆÇ´ÜÇÏ°í ÀÖÀ¸¸ç, º¿ ÇàÀ§ ÇнÀ°ú ŽÁö ±â¼ú ¾÷±×·¹À̵å·Î º¸¾È¼ºÀ» Áö¼ÓÀûÀ¸·Î ³ôÀÌ°í ÀÖ´Ù.

¡ãÆÄÀÌ¿À¸µÅ©ÀÇ ¡®WEBFRONT-K¡¯[À̹ÌÁö=ÆÄÀÌ¿À¸µÅ©]


[API ´ëÇ¥ ¼Ö·ç¼Ç ÁýÁߺм®-4]
Áö´ÉÇü À¥¹æÈ­º® ¼Ö·ç¼Ç, WAPPLES
Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ, WAAP À¥¹æÈ­º® ¡®¿ÍÇᯠ14³â ¿¬¼Ó ±¹³» ½ÃÀå 1À§
WIC(WAPPLES Intelligence Center) ¿¬µ¿À¸·Î Ãë¾àÁ¡ ÀÚµ¿ ŽÁö


Äڷγª19 È®»êÀ¸·Î Àü±¹ÀûÀ¸·Î »çȸÀû °Å¸®µÎ±â°¡ °­È­µÇ¸é¼­ Á¡Â÷ ºñ´ë¸é ¾÷¹«È¯°æÀÌ ´Ã¾î³ª°í ÀÖ´Ù. ÇÏÁö¸¸ ³×Æ®¿öÅ© Àåºñ ȤÀº º¸¾È Àåºñ¿¡ ¹®Á¦°¡ »ý±â´Â °æ¿ì ´ë¸é ±â¼úÁö¿øÀÌ ÇÊ¿äÇØ ±â´É ÀÚµ¿È­ ¹× ºñ´ë¸é ±â¼úÁö¿ø ¼ö¿ä°¡ Áõ°¡ÇÏ°í ÀÖ´Ù.

¡ã¡®¿ÍÇà WAPPLES¡¯ ¼Ö·ç¼Ç Á¦Ç° ±â´É[ÀÚ·á=Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ]


Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛÀÇ À¥¹æÈ­º® ¡®WAPPLES¡¯Àº WIC(WAPPLES Intelligence Center)¿Í ¿¬µ¿ÇÔÀ¸·Î½á ÃֽŠÃë¾àÁ¡µé¿¡ ´ëÇÑ Å½Áö ·êÀ» ÀÚµ¿À¸·Î À¥¹æÈ­º®¿¡ Ãß°¡ ¹Ý¿µÇÑ´Ù. ÀÌ·Î½á º¸¾È¼º°ú À¯Áöº¸¼ö ÆíÀǼºÀ» ´ëÆø Çâ»óÇß´Ù.

±âÁ¸¿¡´Â ·ê ¾÷µ¥ÀÌÆ® µîÀ» À§ÇØ ¿£Áö´Ï¾î°¡ Á÷Á¢ ¹æ¹®ÇØ¾ß ÇßÁö¸¸, ¡®WAPPLES¡¯¿¡ ÀÌÀº ÀÚü °³¹ßÇÑ Áö´ÉÇü ³í¸® ºÐ¼® ¿£Áø°ú ¸Ó½Å ·¯´× ±â¹Ý Á¡°Ë±â´ÉÀ» ÅëÇØ ¾ðÅÃÆ® ȯ°æ¿¡¼­µµ ³ôÀº ¼öÁØÀÇ º¸¾È¼ºÀ» À¯ÁöÇÒ ¼ö ÀÖµµ·Ï ¼³°èµÆ´Ù. ¶ÇÇÑ, ÀÚ°¡Á¡°Ë ±â´É, Á¤±â Á¡°Ë µµ±¸, Tech 365 µî ºñ´ë¸é ±â¼úÁö¿ø ±â´É ¹× ¼­ºñ½º¸¦ Á¦°øÇÑ´Ù.

ºñ´ë¸é ±â¼úÁö¿ø ±â´ÉÀº ¿î¿µ Áß ¹ß»ý °¡´ÉÇÑ ÀáÀçÀû ¹®Á¦µéÀ» ÀÚµ¿À¸·Î ÀνÄÇØ °ü¸®ÀÚ¿¡°Ô ½Ç½Ã°£ Àü¼ÛÇÏ´Â µ¿½Ã¿¡ ½º½º·Î ¹®Á¦¸¦ ÇØ°áÇÔÀ¸·Î½á ¿£Áö´Ï¾îÀÇ Á÷Á¢ÀûÀÎ ´ë¸é Á¶Ä¡¸¦ ÃÖ¼ÒÈ­ÇÑ´Ù. ¶ÇÇÑ 365ÀÏ 24½Ã°£ °¡µ¿µÇ´Â ¡®Tech 365¡¯ ¼­ºñ½º¸¦ ÅëÇØ ´ë¸é ±â¼úÁö¿øÀÌ ¾î·Á¿î »óȲ ¼Ó¿¡¼­µµ ¾ÈÁ¤ÀûÀÎ ¼­ºñ½º À¯Áö°¡ °¡´ÉÇÏ´Ù.

2022³â »ó¹Ý±â Á¶´Þû ÆÇ¸Å¾× ±âÁØ Á¡À¯À² 52%, 14³â ¿¬¼Ó ±¹³» À¥¹æÈ­º® ½ÃÀå 1À§
¿À·£ ÆÒµ¥¹Í »óȲÀ» Åë°úÇÏ¸ç »ç¿ë·®ÀÌ ±ÞÁõÇÑ À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» ³ë¸®´Â ÇØÅ· °ø°Ý°ú ±×¿¡ µû¸¥ ±â¾÷ ¹× ±â°üÀÇ ÇÇÇØ°¡ ¼ÓÃâÇÏ´Â À¥º¸¾È Ãʺñ»ó »óȲ¿¡¼­, ¿ÃÇØ »ó¹Ý±â À¥¹æÈ­º®(WAF) ½ÃÀåÀÌ Àü³â ´ëºñ 65% ¼ºÀåÇÏ´Â µî Àü ¼¼°èÀûÀ¸·Î À¥º¸¾È »ç¾÷ÀÌ È°È²¼¼¸¦ ¶ç°í ÀÖ´Ù. ÀÌ¿¡ Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ ¡®¿ÍÇá¯Àº 2022³â »ó¹Ý±â Á¶´Þû ÆÇ¸Å¾× ±âÁØ Á¡À¯À² 52%¸¦ ±â·ÏÇÔÀ¸·Î½á, 14³â ¿¬¼ÓÀ¸·Î ±¹³» À¥¹æÈ­º® ½ÃÀå 1À§ ÀÚ¸®¸¦ ÁöÄѳ»¸ç ¼øÇ×ÇÏ°í ÀÖ´Ù.

¡ãÆ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ WAPPLES[À̹ÌÁö=Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ]


Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛÀÇ ¡®¿ÍÇá¯Àº Á¤º¸À¯Ã⡤ºÎÁ¤Á¢±Ù¡¤À§º¯Á¶ ¹æÁö µî À¥¹æÈ­º® º»¿¬ÀÇ ±â´É¿¡ Ãß°¡·Î, À¥ API º¸¾È ±âÁØ ¡®OWASP TOP 10 API Security¡¯¸¦ ¸ðµÎ ÃæÁ·ÇÏ´Â API º¸¾È°ú º¿ °ø°Ý ¹æ¾î µî ¿À´Ã³¯ À¥¿¡¼­ ¹ß»ý °¡´ÉÇÑ ¸ðµç °ø°Ý¿¡ ´ëÇÑ ¹æ¾îÃ¥À» Á¾ÇÕ Àû¿ëÇÑ ¡®WAAP(Web Application and API Protection)¡¯·Î ÁøÈ­ÇÑ »óÅ´Ù. ¡®¿ÍÇà ÄÁÆ®·Ñ ¼¾ÅÍ¡¯¸¦ ÅëÇØ º¹¼ö ÀåºñÀÇ ÀÏ°ý °ü¸® µî ÆíÀǼºÀ» °­È­Çß°í, Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÆÅ°ÅØó·Î ¼³°èµÅ ¿ÀÅä ½ºÄÉÀϸµ µîÀÇ ±â´ÉÀ» ÅëÇØ ¾î¶² ȯ°æ¿¡¼­µµ Áß´Ü ¾ø´Â ¿î¿µÀÌ °¡´ÉÇÏ´Ù.

±èÅÂ±Õ Æ柽ÃÅ¥¸®Æ¼½Ã½ºÅÛ COO/ºÎ»çÀåÀº ¡°¾ÆÀüÀμö½Ä È«º¸°¡ ȥŹÇÑ ¹Î¼ö½ÃÀå°ú ´Þ¸® Á¤È®ÇÑ Åë°è°¡ Á¸ÀçÇÏ´Â °ø°ø½ÃÀåÀº ½ÃÀå Àüü¸¦ Æò°¡ÇÒ ¼ö ÀÖ´Â À¯ÀÏÇÑ Ã´µµ¡±¶ó¸é¼­, ¡°¡®Æ柽ÃÅ¥¸®Æ¼ ¿ÍÇá¯Àº ¹Ì±¹ ½ÃÀåÁ¶»ç¾÷ü ¡®Æ÷·¹½ºÅÍ¡¯°¡ ¹ßÇàÇÏ´Â ¡®Now Tech 2022¡¯ º¸°í¼­¿¡ ±¹³» À¯ÀÏÇÑ À¥¹æÈ­º® Àü¹®±â¾÷À¸·Î µîÀçµÇ´Â µî, 14³â ¿¬¼Ó 1À§ ºê·£µåÀÇ ÀںνÉÀ» °É°í ³¯·Î Ä¡¿­ÇØÁö´Â À¥º¸¾È Àü¼±À» ±»°ÇÈ÷ »ç¼öÇÏ°Ú´Ù¡±°í ¸»Çß´Ù.
[±âȹÃëÀçÆÀ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)