API 보안에는 봇 관리가 필요합니다. OWASP 상위 10대 API 취약점 해결

기업 사이버보안 팀은 API 보안 에 초점을 맞추었고, 이는 당연한 일입니다. 디지털 경제에서 API는 비즈니스의 정문이자 IoT 기기, 웹 및 모바일 앱의 진입점이며, 점점 더 비즈니스 방식을 혁신하고 있는 AI 기반 애플리케이션의 진입점이기도 합니다. 안타깝게도 API는 범죄자들의 전초기지이기도 하며, 많은 범죄자들이 봇을 이용해 공격을 수행합니다. 따라서 보안팀에서는 API를 보호하고 이를 공격하는 데 사용되는 봇을 완화하는 것이 중요합니다.

OWASP 10대 API 보안 취약점 목록은 API 공격에서 봇이 수행하는 중심적인 역할을 명확히 보여줍니다. 상위 10개 API 취약점 중 3개는 봇과 직접 관련이 있습니다.

• 인증이 손상되었습니다 . 봇은 무차별 대입 공격, 사전 공격, 자격 증명 채우기 공격을 통해 인증을 뚫고, 그 결과 계정 인수, 사기, 재정적 손실, 고객 불만 등이 발생합니다.
• 제한 없는 리소스 소비 : 봇은 제한 없는 리소스 소비를 이용하여 API의 메모리와 처리 용량을 고갈시킵니다. 봇이 대화형 애플리케이션(인간이 사용하는 웹 및 모바일 애플리케이션)에서 사용하도록 설계된 API를 타겟으로 하는 경우 성능과 비용에 미치는 영향이 치명적일 수 있습니다.
• 민감한 비즈니스 흐름에 대한 제한 없는 액세스 : 특정 비즈니스 흐름에 과도하게 접근하면 비즈니스에 해를 끼칠 수 있습니다. 허가받지 않은 재판매업체는 제품 재고를 소진한 후 상당히 높은 가격에 재판매할 수 있습니다. 스팸 발송자는 댓글/게시글 흐름을 악용할 수 있습니다. 공격자는 예약 시스템을 사용하여 사용 가능한 모든 시간 슬롯을 예약할 수 있습니다. 이런 경우, 봇은 이러한 비즈니스 흐름을 악용하기 위해 배치됩니다.

그의 책 Hacking APIs에서: 유명한 사이버 보안 및 API 전문가인 Corey J. Ball이 API 검색(OWASP ZAP, Gobuster, Kiterunner) 및 퍼징(Postman, Wfuzz, Burp Suite)을 위한 자동화 도구를 공격자가 어떻게 사용하여 API에 수천 개의 요청을 보내 취약점을 찾아내는지에 대한 내용을 설명합니다. 감시를 식별하고 그 효과를 줄이기 위해 봇 관리가 필요합니다.

봇은 모든 API에 동일한 방식으로 영향을 미치지 않습니다. API는 일반적으로 상호 TLS 로 보호되므로 인증이 깨질 위험이 낮고 인증된 클라이언트별로 속도 제한을 적용할 수 있습니다. 대화형 웹 및 모바일 앱에서만 트래픽을 기대하는 API는 봇에 가장 취약합니다.

인간이 시작한 트래픽을 예상하는 API의 경우 봇을 방어하는 것이 점점 더 어려워졌습니다. 오픈소스 라이브러리를 사용하면 헤더 지문을 통해 감지를 쉽게 피할 수 있으며, 수천만 개의 주거용 IP 주소가 포함된 네트워크를 통해 CAPTCHA 및 프록시 요청을 무력화하는 서비스는 봇 운영자에게 널리 제공됩니다. 헤더 분석, IP 거부 목록, CAPTCHA와 같은 기존 기술은 더 이상 효과적이지 않습니다 . 즉, 봇을 완화하려는 애플리케이션 보안 팀은 풍부한 클라이언트 측 신호 수집, JavaScript 및 모바일 SDK 활용, 정교한 머신 러닝을 통해 공격 도구와 봇 동작을 구별해야 합니다.

AI 애플리케이션이 더 광범위하게 배포됨에 따라 자동화된 공격으로부터 API와 이러한 엔드포인트를 보호하는 것이 중요해질 것입니다. 이에 대응하여 OWASP는 LLM 및 Gen AI 앱을 위한 2025년 상위 10가지 위험 및 완화책을 발표했습니다. 자세한 내용은 최근 게시물 ' 봇이 대규모 언어 모델을 공격하는 방식'을 참조하세요.

귀하의 조직의 어떤 API가 봇에 취약합니까? 공격의 가능성과 피해 비용은 얼마입니까? 봇에 대한 필요한 보호를 보장하기 위해 보안 제어를 어떻게 설계할 수 있나요? 이러한 질문은 위협 모델링에서 다루기에 좋은 질문입니다. 봇의 비즈니스 영향에 대해 자세히 알아보려면 해당 주제에 대한 F5 백서를 읽거나 무료 상담 에 등록하세요.