숨겨진 API: 사각지대가 공공 부문 기관을 공격에 노출시키고 있는가?
디지털 환경은 끊임없이 변화하고 있으며, 그에 따라 공공 부문과 국가 중요 인프라에 대한 위협도 증가하고 있습니다. 최근에 잘 문서화된 공격은 다음과 같습니다. 우리를. 재무부 침해 작년 말과 T-Mobile 네트워크 운영자 해킹 2023년에 공개된 이 취약점은 전반적인 취약성을 뚜렷하게 경고합니다.
그리고 이러한 취약점은 애플리케이션 프로그래밍 인터페이스(API)에서 발견되는 경우가 점점 늘어나고 있습니다. 실제로 가트너는 최근 API가 웹 애플리케이션에 대한 주요 공격 벡터가 될 것이라고 예측했으며, 제 경험도 이러한 추세를 입증합니다.
이번 주 버지니아주 타이슨스 코너에서 열리는 AppWorld 공공 부문 심포지엄 에서는 API 보호에 대해 논의할 예정이며, 애플리케이션 제공 및 보안의 다른 새로운 트렌드에 대해서도 논의할 예정입니다. 이번 행사는 이런 과제를 살펴보고 효과적인 해결책을 모색할 수 있는 중요한 기회입니다.
그림자 API 위협을 드러내다
제가 계속해서 보는 가장 큰 과제 중 하나는 네트워크 취약성에 대한 가시성이 부족하다는 것입니다. 많은 조직에서는 사용 중인 API의 수를 알지 못합니다. 우리는 약 100개의 API가 있다고 생각했던 고객을 대상으로 API 발견 연습을 수행했는데, 실제로는 30,000개에 가까운 API를 발견했습니다! 이런 일은 흔하지 않으며 심각한 보안 위험을 초래합니다.
API는 아키텍처, 구성 요소, 유형 및 프로토콜의 패치워크 사이에 숨겨진 복잡한 생태계에서 작동합니다. 평균적으로 기업들은 20,000개가 넘는 API를 사용합니다 . 2030년까지 공공 및 민간 부문에서 사용되는 API의 총 수는 20억 개를 초과할 것으로 예상됩니다. 이러한 정보를 관리하고 확보하는 데 있어 가장 흔히 발생하는 어려움은 문서가 부족하거나 정보를 찾는 데 어려움이 있는 경우입니다.
알려지지 않았거나 관리되지 않는 API가 급증하는 이러한 "섀도우 IT" 현상은 취약성의 온상을 조성합니다. 이러한 API는 적절한 보안 제어가 부족해 악의적인 공격자의 표적이 되기 쉽습니다. 집에 문과 창문을 잠그지 않은 것처럼 생각해 보세요. 침입하고 싶어하는 사람에게 허락된 셈이죠.
API 악용 및 공격 벡터 이해
API는 국가 차원의 행위자와 사이버 범죄 조직 모두의 표적이 되는 경우가 점차 늘어나고 있습니다. 정부 및 국방 관련 API도 대중에게 공개되는 API만큼 취약합니다. 논란의 여지가 있지만, 그들은 민감한 데이터를 처리하기 때문에 표적으로 더욱 매력적입니다.
API는 네트워크에 대한 보다 심층적인 공격을 위한 진입점으로 사용될 수 있습니다. 손상된 API는 내부 시스템, 데이터베이스 및 기타 중요한 리소스에 액세스할 수 있도록 해줍니다. 그것은 마치 조직의 중심부로 통하는 비밀 통로를 찾는 것과 같습니다. 미국의 네트워크 운영자인 T-Mobile의 사례에서 보았듯이 위협 행위자들은 API의 취약성을 악용하여 다크 웹에서 가치가 있는 기밀 데이터에 무단으로 접근할 수 있습니다. 이번 사건에서 공격자는 3,700만 개의 현재 고객 계정의 개인 정보를 훔쳤습니다.
상황을 더욱 복잡하게 만드는 것은 조직이 자체 시스템과 접촉하는 모든 API를 완벽하게 제어하지 못할 수 있다는 것입니다.
미국 재무부 공격자는 타사 소프트웨어 구성 요소의 취약성을 통해 액세스 권한을 얻었는데, 아이러니하게도 해당 소프트웨어는 재무부의 사이버 방어 시스템을 구성하는 일부였습니다. 이러한 공급망 공격은 규모와 지위에 상관없이 모든 조직에 영향을 미칠 수 있으며, Solar Winds 공격과 Volt Typhoon 그룹 사건과 같은 수많은 사례가 헤드라인을 장식했습니다.
강력한 API 보안 대책에는 아무것도 소홀히 할 필요가 없습니다. 2024년 애플리케이션 전략 보고서 현황: API 보안은 어떤 API가 가장 큰 위험에 노출되어 있는지, 어떤 API가 보호에서 흔히 간과되는지, 그리고 AI 시대에 API를 안전하게 유지하기 위해 API 보안 모델과 책임을 어떻게 조정해야 하는지에 대해 설명합니다. 스포일러 경고: API를 수용하지 않는 한, 제로 트러스트 보안에도 맹점이 있습니다.
AI가 API 보안 동맹이 될 수 있을까요? AI 기반 방어 활용
AI는 API 보안을 악화시키기도 하고 도와주기도 합니다. 가트너는 대규모 언어 모델이 데이터를 수집하고 교환해야 하는 API의 수로 인해 AI 도입으로 인해 2026년까지 API에 대한 수요가 30% 이상 증가할 것으로 추정합니다. 각 API에는 문서화와 보안이 필요하므로 악의적인 의도가 침투할 가능성이 많습니다.
다행히도 조직이 무방비 상태는 아니며 AI는 강력한 방어 도구로 부상하고 있습니다. AI와 머신러닝은 API 트래픽을 실시간으로 분석하여 사람이 직접 식별하기 어려운 이상 징후와 의심스러운 동작을 감지할 수 있습니다.
AI는 API를 분류하고, 일반적인 동작 패턴을 이해하며, 잠재적인 오용이나 보안 취약점을 표시할 수 있습니다. 또한 이를 통해 보안 정책을 동적으로 생성하고 진화하는 위협에 적응하며 API가 항상 보호되도록 할 수 있습니다. 이는 API 트래픽을 끊임없이 모니터링하는 지칠 줄 모르는 지능형 보안 경비원이 있는 것과 같습니다.
환경 전반에 걸쳐 일관된 보호 달성
오늘날의 공공 부문 조직은 AWS, Azure, Google Cloud 등의 하이브리드 및 멀티클라우드 환경을 활용하여 확장성과 복원력을 확보하지만, 이로 인해 API 보안 문제가 더 심각해집니다. 클라우드 제공업체 간의 본질적인 차이와 자체 보안 도구 및 구성으로 인해 보안 태세가 단편화됩니다. 네이티브 클라우드 보안에만 의존하면 공격자가 적극적으로 악용할 수 있는 취약점이 발생합니다. 이는 서로 협조하지 않는 여러 군대로 성을 방어하려는 것과 같습니다.
여러 클라우드에서 API를 관리하는 것은 복잡하기 때문에 보안 팀은 모든 API와 보안 상태를 종합적으로 파악할 수 없습니다. 이러한 과제를 해결하려면 모든 클라우드에서 단일하고 일관된 보안 정책 세트를 시작으로 인증, 권한 부여 등을 포괄하는 통합된 접근 방식이 필요합니다. 표준화된 보안 제어도 중요하며, 이를 통해 모든 곳에서 기본 수준의 보호를 보장합니다.
API 개발 라이프사이클에 통합된 자동화된 보안 테스트도 취약점을 조기에 식별합니다. 실시간 모니터링과 위협 탐지 기능을 통해 가시성을 확보하고 사고에 신속하게 대응할 수 있으며, 강력한 ID 및 액세스 관리(IAM) 시스템을 통해 API 액세스를 제어하고 명확한 API 거버넌스 정책을 통해 일관된 보안 관행을 보장합니다.
멀티클라우드 환경에서 API를 보호하려면 사전적이고 중앙 집중적이며 표준화된 접근 방식이 필요합니다. 이러한 원칙을 구현함으로써 현대 공공 부문과 중요 인프라 조직은 위험을 완화하고 API의 지속적인 보안을 보장할 수 있습니다. 궁극적으로는 변화하는 위협에 대항해 강력하고 적응력 있는 방어수단을 구축하는 것이 중요합니다.
더 자세히 알고 싶으신가요? 존 길로이와의 대화를 담은 최근의 Federal Tech Podcast 를 들어보세요. 또한 F5 공공부문 솔루션 웹페이지를 방문하세요.