Home > 전체기사
보안 업계의 새로운 미션, “API 보안”
  |  입력 : 2018-08-08 18:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
API를 통한 각종 사고 이어져...세일즈포스, 티모바일, 벤모 등
디지털 시대의 빠질 수 없는 요소 API...보안 개념 심어줘야


[보안뉴스 문가용 기자] 작년에 발표된 OWASP Top 10 취약점 목록에서 특이한 점은 덜 보호된 API라는 항목이 최초로 순위권에 진입했다는 것이다. 그로부터 정말로 API 침해 공격이 심각한 수준으로 올라오기 시작했다. 2018년만 하더라도 API 보안을 제대로 하지 못해 발생한 대규모 데이터 유출 사고가 최소 6건이다. 작년의 티모바일, 인스타그램, 맥도널드에서 발생한 사건은 셈에 포함시키지 않고서도 말이다.

[이미지 = iclickart]


이 6건 중 하나는 이번 주 세일즈포스(Salesforce)에서 발생했다. 마케팅 클라우드(Marketing Cloud) 서비스 내 API에서 버그가 발견됐는데, 이 때문에 고객 정보가 다수 유출됐을 가능성이 발견됐다. 세일즈포스는 이 같은 사실을 고객들에게 급히 전파했다. 한 고객의 계정에서 다른 고객의 계정으로 데이터를 옮기거나, 다른 고객의 계정에 데이터를 쓸 수 있게 해주는 버그였다.

API 보안 문제는 계속해서 심각한 수준으로 대두되고 있다. 지난 달만 하더라도 모바일 결제 앱인 벤모(Venmo)에서 수천만 건의 거래 정보를 노출시키고 있었다는 보도가 나왔다. API의 보안을 제대로 하지 못해서였다. 그보다 좀 전인 올 봄, 파네라 브레드(Panera Bread)라는 제과 브랜드의 API도 역시 튼튼치 못한 보안 때문에 모바일 사용 고객 3천 7백만 명의 이름, 이메일 주소, 거주지 주소, 생년월일, 신용카드 마지막 네 자리 수를 평문으로 유출시켜버렸다.

API 보안 문제는 딱히 조직의 종류나 산업을 가리지 않고 발생한다. 지난 달 미국 보건의료정보관리시스템협회(HIMSS)는 API 익스플로잇이 의료 산업 내 조직들 사이에서 커다란 문제로 부각되고 있다는 내용의 보고서를 발표했다.

올해 초에는 보안 업체 임퍼바(Imperva)가 산업 불문 조직들의 2/3가 API를 대중에게 공개하고 있다는 내용의 발표를 하기도 했다. 그렇게 했을 때 외부의 파트너사나 고객들이 쉽게 조직의 소프트웨어 플랫폼과 앱 생태계에 접속할 수 있게 된다. 그러나 이런 조직들 중 3/4 이상이 웹 애플리케이션만큼 철저하게 API를 보호하지 않는 것으로 나타났다. API 보안은 웹 앱 보안보다 인식에서부터 훨씬 뒤떨어져 있다.

이 임퍼바의 보고서에 의하면 현재 조직들은 평균 363개의 API를 관리하고 있다고 한다. API를 통한 유기적인 상호작용은 현재 개발자들 사이에서 커다란 유행처럼 번지고 있다. 데브옵스가 활성화되기 시작하면서 마이크로서비스 등과 같은 개념이 등장하고 또 발전하고 있기 때문이다. API가 있어 보다 많은 기능을 편리하게 삽입하는 게 가능해진다.

현재 애플리케이션 개발 세계는 ‘오픈 커넥티비티’에 대한 의존도를 높이고 있는 추세다. 이를 통해 데이터를 공유하고, 그럼으로써 앱과 데이터 등의 상호작용성을 높여 사용자가 편리해지게 만드는 것이다. 이럴 때 API는 앱과 앱, 서비스와 서비스 사이를 이어붙이는 역할을 해준다. 그래서 기업들의 61%가 API 관리가 사업 전략에서 대단히 중요한 위치를 차지하고 있다고 말하는 것이다.

클라우드 엘레멘츠(Cloud Elements)의 API 담당자인 킨 레인(Kin Lane)은 “2018년에는 각 사업체들의 API 사용이 더 빈번해질 것”이라고 예상하며 “디지털 시대에 API의 중요성을 간파하고 투자를 시작한 조직들은 API의 효율성을 맛본 상태에서 그 전의 개발 및 데이터 공유 체계로 되돌아갈 수 없다”고 말한다. “API의 장점은 정말 무수하게 많고, 지금도 더 발굴되고 있습니다. API는 앞으로도 더 많이 사용될 예정입니다.”

그렇다는 건 API로 인한 보안 사고들이 더 발생할 거라는 뜻이 되기도 한다. 가트너(Gartner)의 조사에 의하면 2022년 즈음에는 API 침해와 남용이 데이터 유출의 가장 큰 원인이 될 것이라고 한다. “API 보안이라는 개념을 빨리 심어줘야 할 때입니다. 마치 정보보안, 웹 보안, 시스템 보안 등이 얼마나 중요한지 계속해서 알려왔던 것처럼요.”

3줄 요약
1. API, 디지털화 되어가는 시대에 앱과 앱, 데이터와 데이터 연결해주는 다리.
2. API의 효율성 맛보면 그전 시스템으로 되돌아가기 어려울 정도.
3. 하지만 API를 ‘보호해야 한다’는 개념 없어 각종 사건사고 터지는 중.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향