블로그

Shift Left Security Strategies를 통한 고급 API 보호

데이비드 레밍턴 썸네일
데이비드 레밍턴
2024년 7월 1일 게시

오늘날의 클라우드 중심 생태계에서 소프트웨어 개발자는 엄청난 양의 API를 배포하고 있습니다. F5 2024 애플리케이션 전략 상태(SOAS) 보고서에 따르면, 현재 조직의 3분의 1 이상이 애플리케이션만큼 API를 관리하고 있으며, 일부 대규모 기업은 최대 10,000개의 API를 감독합니다.1 기업들이 앱 포트폴리오를 지속적으로 현대화함에 따라 2031년까지 사용 중인 API 수가 10억 개를 넘어설 것으로 예상됩니다.2

API가 왜 그렇게 빨리 확산되고 있나요?

API는 효율성과 상호 운용성을 향상시키므로 현대 애플리케이션에 없어서는 안 될 요소가 되었습니다. API는 또한 다양한 소프트웨어 시스템이 원활하게 통신할 수 있도록 하여 팀이 다양한 서비스를 통합하고 프로세스를 간소화할 수 있도록 지원합니다.

AI의 등장은 데이터 처리, 머신 러닝, 자동화 등의 기능을 위해 API에 크게 의존하기 때문에 API 성장을 증폭시킵니다. AI 도입이 계속 증가함에 따라 API에 대한 필요성도 커질 것입니다.

그러나 급속한 확장에는 심각한 보안상의 장애물도 따릅니다. F5 SOAS 보고서에 따르면 조직의 95%가 API 게이트웨이를 사용한다고 합니다.1 ; 하지만 이러한 관행만으로는 충분하지 않습니다. 오늘날 API 보안은 두 가지 주요 문제에 직면해 있습니다. 첫째, 발견과 둘째, 개발 프로세스 초기에 보안을 추가하기 위한 좌측 이동입니다.

API 보안의 상태와 부족한 점

API 보안 조치는 현재 급증하는 API 사용에 비해 뒤처져 있습니다. API 게이트웨이는 일정 수준의 제어를 제공하지만 API 검색 및 포괄적인 보안 전략에 대한 기본적인 요구 사항을 충족하지 못합니다. 가트너는 2025년까지 모든 API의 절반이 관리되지 않아 심각한 위험을 초래할 것으로 예측합니다.3 이러한 섀도우 API는 보안 팀의 가시성과 통제 밖에서 작동하기 때문에 조직을 무단 액세스, 데이터 침해 및 기타 위협에 노출시킬 수 있습니다. 공격자는 이러한 취약점을 악용해 민감한 데이터에 무단으로 액세스할 수 있습니다. 이러한 위협에 대처하기 위한 첫 번째 단계는 조직 환경 내의 섀도 API를 발견하는 것입니다.

섀도우 API를 발견하고 관련된 멀티클라우드 복잡성을 관리하기 위해, 팀은 API 검색을 위해 설계된 도구를 사용하여 노출된 도메인 공간을 조사하는 것부터 시작할 수 있습니다. 회사 도메인 내의 모든 엔드포인트를 식별하면 API 환경을 매핑하는 데 도움이 됩니다. 그러나 API가 서로 다른 보안 프로토콜과 거버넌스 요구 사항을 갖춘 여러 플랫폼에 걸쳐 있는 멀티클라우드 환경에서는 이러한 과제가 더욱 심화됩니다. 이러한 복잡성으로 인해 API 관리 및 보안 에 대한 전략적 접근 방식이 필요합니다.

개발자들이 정기적으로 새로운 API를 추가함에 따라 Google Cloud의 Apigee API 관리 및 F5 Distributed Cloud API Security와 같은 솔루션을 구현할 수 있습니다. 이러한 솔루션은 지속적인 검색 및 모니터링을 제공하여 개발 주기 초기에 보안 조치를 통합하고 API 거버넌스를 개선할 수 있습니다.

API 보안에서 왼쪽으로 이동

가트너에 따르면, 2026년까지 40%의 기업이 고급 API 보호 및 웹 애플리케이션 보안 기능을 갖춘 WAAP 공급업체를 선택할 것으로 예상됩니다. 2022년에는 15% 미만이었습니다.4

이는 반가운 소식이지만, 더 많은 조직이 왼쪽으로 이동하여 보안 관행을 CI/CD 파이프라인에 통합하고 API가 처음부터 안전하도록 보장할 수 있습니다. 여기에는 포괄적인 API 문서화, 자동화된 보안 검사, 개발자 및 보안 팀을 위한 지속적인 교육이 포함됩니다.

개발자와 보안 팀 간의 스트레스 완화

역사적으로, 빠른 배포에 집중하는 개발자와 안전을 우선시하는 보안 팀 사이에 갈등이 존재해 왔습니다. 이런 부담을 덜어주려면 보안에 대한 공동 책임 문화를 육성하는 것이 필수적입니다. 협력과 상호 이해를 장려하면 목표를 맞추고 프로세스를 간소화하는 데 도움이 될 수 있습니다.

API 전체 라이프사이클 보안

포괄적인 접근 방식에는 지속적인 모니터링, 정기적인 업데이트, 사전적 위협 탐지, 강력한 인증 및 권한 부여 메커니즘 구현, AI를 활용하여 위협을 탐지하고 완화하는 고급 보안 도구 도입이 포함됩니다.

F5와 Google Cloud가 왼쪽으로 이동하는 데 도움이 됩니다.

API 보안을 개선하기 위한 첫 번째 단계는 모든 API에 대한 철저한 인벤토리를 수행하고, 관리되지 않거나 오래된 엔드포인트를 식별하고, 해당 기능과 보안 조치를 문서화하는 것입니다. 조직에서는 위험 수준과 잠재적 영향을 기준으로 API 보안을 우선시해야 합니다. F5 Distributed Cloud API Security 및 Apigee와 같은 보완 솔루션은 모든 환경에서 API를 보호하는 포괄적인 보안 프레임워크를 구축하는 데 도움이 되므로, 점점 더 상호 연결된 세상에서 개발자는 안심할 수 있습니다.

API의 성장이 조직에 기회를 제공하지만, 팀에서는 보안의 함정을 알고 있어야 합니다. 조직에서는 좌측으로 이동하여 지속적인 탐색을 수용하고 개발 및 보안 팀 간의 협업을 촉진함으로써 API를 보다 효과적으로 관리할 수 있습니다.

F5와 Google Cloud 전문가가 API 보안에 대해 말하는 내용을 자세히 알아보려면 Shift Left를 시청하세요. F5와 Google Cloud를 이용해 API 보안을 혁신하세요 . 주문형 웨비나를 시청하세요. Google Cloud Platform(GCP)을 방문하여 당사의 파트너십에 대해 자세히 알아보실 수도 있습니다.