블로그 | CTO 사무실

API 보안: 프로그래밍 가능성이 필요합니다

로리 맥비티 썸네일
로리 맥비티
2024년 10월 16일 게시

애플리케이션이나 API, 기존 애플리케이션, 최신 애플리케이션 또는 AI 애플리케이션이든, 프로그래밍 가능성은 보안 문제를 해결하는 데 있어 보안 도구 상자의 핵심 도구입니다.

애플리케이션과 API를 안전하게 보호하는 방법 중 하나는 고객과 파트너에게 제공하기 전에 취약점과 정확성을 테스트하는 것입니다. 애플리케이션과 API를 테스트하는 데 널리 사용되는 기술은 퍼즈 테스트 입니다.

퍼즈 테스트는 예상치 못한 입력(숫자 대신 문자열, 특수 문자, 너무 길거나 너무 짧은 등)을 보내 API 또는 애플리케이션의 응답을 확인하는 것을 포함합니다. 견고한 구현은 이러한 입력을 유효하지 않은 것으로 거부하여 처리합니다. 하지만 입력 처리를 테스트하는 것만큼 중요한 것은 입력 처리를 수행하는 코드를 테스트하는 것입니다.

다시 말해, 애플리케이션이나 API 로직이 잘못된 입력을 거부하는 것만으로는 충분하지 않습니다. 잘못된 입력을 확인하는 로직도 강력해야 합니다.

이제 애플리케이션 보안 분야에서 흔히 그렇듯이 누군가가 예상하지 못했거나 고려하지 않은 입력을 고안할 것입니다. 우리는 많은 수의 입력 살균 구현이 단순히 나쁘다는 사실을 무시하고 그것들이 모두 견고하고 99%의 오류를 포착할 수 있다고 가장합니다.

그런 유토피아적 가정이 있더라도 아무도 고려하지 않은 1%가 항상 존재합니다. 이는 제로데이 취약점이 발생하는 방식 중 하나입니다.

때로는 기술 스택의 결함으로 인해 문제가 발생하기도 합니다. 웹 서버, 앱 서버, GraphQL 서버일 수도 있습니다. 아마도 생성 AI에 대한 점점 더 인기를 얻고 있는 검색 증강 생성(RAG) 사용 사례를 지원하는 데 사용되는 벡터 데이터베이스와 같은 데이터 소스에 대한 커넥터일 수 있습니다. 아니면 Probllama 와 같은 AI 추론 취약성의 등장일 수도 있습니다. 결국 더 광범위한 애플리케이션 아키텍처에 새로운 계층을 추가하면 새로운 취약점이 생기는 셈입니다.

인터넷에 공포를 불러일으키는 취약점은 다음과 같습니다. 그들은 우리에게 Apache Killer (2011), HeartBleed (2014), Spectre 및 Meltdown (2018), 그리고 Log4Shell (2021)을 선보였습니다.

이는 예상치 못한 취약점이었습니다. 개발자, SecOps, DevSecOps 및 QA는 이를 예상할 수 없습니다. 그들은 정말로 할 수 없었습니다.

개발자와 보안 전문가가 선견지명이 없더라도 제로데이 취약점이 나타나면 뭔가 를 해야 합니다. 특히 해당 기술을 사용하는 조직이라면 취약할 가능성이 큽니다. 이것이 위험을 위협 으로 만드는 것이며, 위협은 무력화되어야 합니다.

여기서 애플리케이션 서비스의 프로그래밍 가능성이 등장합니다.

애플리케이션 서비스의 프로그래밍 기능은 새로운 것이 아닙니다. 조직에서는 인터넷 초창기부터 다양한 솔루션을 구현하기 위해 프로그래밍 기능을 사용해 왔습니다.

데이터 경로에서 프로그래밍 기능을 가장 일반적으로 사용하는 예는 다음과 같습니다.

  1. 보안 : 프로그래밍 기능은 제로데이 위협을 완화하고 새로운 보안 위험을 해결하는 데 필수적입니다.
  2. 신청 중재 : 애플리케이션 업그레이드 및 마이그레이션 중에 원활한 사용자 경험을 제공하고, 현대화를 지원하며, 새로운 API를 비용 효율적으로 통합합니다.
  3. 서비스 오케스트레이션 : 사용자의 중단 없이 워크플로우와 타사 서비스를 애플리케이션에 통합하여 출시 시간을 단축합니다.
  4. 이용 가능 여부 : 카나리아 배포, A/B 테스트와 같은 로드 밸런싱 및 최신 제공 관행을 지원합니다.

이런 일이 흔하다는 건 내부 데이터를 통해 알 수 있기 때문입니다. 당사 고객의 70% 이상이 다양한 솔루션에 대해 매일 프로그래밍 기능을 사용합니다. 일부는 보안에 중점을 둡니다.

그래서 우리가 시장 전반을 조사하고 API 보안을 위한 중요한 기술 역량의 최상위에 프로그래밍 가능성이 있다는 것을 발견한 것은 놀라운 일이 아니었습니다.

기능당 할당된 평균 포인트

프로그래밍 기능을 지원하는 API 보안 솔루션의 다양성은 사실상 무한합니다. F5가 이 기능을 개척한 것은 분명하지만, 이는 일반적으로 애플리케이션 서비스 시장의 필수 요소가 되었습니다. 프로그래밍 기능을 핵심 기능의 일부로 제공 하지 않는 애플리케이션 서비스는 거의 없으며, 특히 애플리케이션과 API 보안에 중점을 둔 애플리케이션 서비스는 더욱 그렇습니다.

프로그래밍 가능성은 제로데이 위협을 완화하고 조직이 시스템의 상당 부분에 영향을 미치는 패치 계획을 보다 의도적으로 설계할 수 있도록 하는 기반이기 때문입니다.

프로그래밍은 사실상 모든 것을 가능하게 합니다. 하지만 보안 분야, 특히 API 보안 분야에서는 단순히 '있으면 좋은 것'이 아닙니다. 꼭 가져야 할 물건이에요.

API에 대한 더 많은 통찰력을 얻으려면 애플리케이션 전략 보고서 상태를 확인하세요. API 보안.