블로그

개선된 API 보호가 금융 서비스에서 보안을 확대하는 5가지 영역

조슈아 골드파브 썸네일
조슈아 골드파브
2023년 9월 20일 게시

API 보안은 오늘날 뜨거운 주제이며, 그럴 만한 이유가 있습니다. 생각해보면, 대부분의 금융 서비스 기관은 기술 회사와 점점 더 비슷해지고 있습니다. 그들은 끊임없이 혁신하고 디지털 고객 수요를 충족하기 위해 기준을 높이고 있는 FinTech 기업과 보조를 맞추거나 심지어는 협력 관계를 맺어야 한다는 압박을 받습니다. API를 통해 FinTech를 통합한 진화된 금융 서비스 생태계 덕분에 오픈 금융 운동이 크게 성장했습니다. 이로 인해 금융 서비스 기관은 사업을 운영하기 위해 그 어느 때보다 API에 더 의존하게 되었습니다.

놀랍지 않게도 은행들이 API의 중요성을 깨닫는 것처럼 공격자들 역시 API의 중요성을 깨닫기 시작했습니다. 비즈니스에 중요한 API는 공격자의 끊임없는 표적이 됩니다. 공격자는 API를 악용, 남용 및/또는 손상시키면 이익을 얻거나 다른 방법으로 이득을 볼 수 있다는 것을 알고 있습니다. 동시에 최근 몇 년 동안 공격 범위가 상당히 확대되었습니다. 이는 주로 업계에서 하이브리드 및 멀티 클라우드 환경을 관리하는 데 있어 복잡성과 어려움이 증가했기 때문입니다. 이 모든 것이 대규모 데이터 침해, 규정 준수 문제, 규제 위반에 따른 벌금 등의 형태로 비즈니스에 상당한 영향을 미칩니다.

물론, 소식이 모두 나쁜 것은 아닙니다. 금융 서비스 기관이 신뢰할 수 있는 파트너와 협력하는 경우 API에 대한 위협으로부터 더 잘 보호할 수 있습니다. 올바른 신뢰할 수 있는 파트너가 API 보안을 개선하는 데 도움을 줄 수 있는 5가지 영역을 살펴보겠습니다.

  1. 개발: 개발팀은 어려운 과제에 직면합니다. 한편, 그들은 필요한 기능을 개발하고 작동시키기 위한 엄격한 마감일을 직면하고 있습니다. 반면, 그들은 보안팀이 정의한 요구 사항에 맞춰 API를 개발합니다. 하지만 이러한 요구 사항을 강제로 시행하거나 확인할 수 있는 실질적인 방법은 없습니다. 물론, 코드를 감사하고 검토할 수는 있지만 이는 지루하고 시간이 많이 걸리는 과정으로, 인간의 실수와 간과가 발생하기 쉽습니다. 또한 이 과정은 다른 중요한 우선순위에 비해 종종 뒷전으로 밀려나는 과정이기도 합니다. 대부분의 기업에서는 개발자의 수가 보안 전문가의 수보다 훨씬 많아서 규모 문제가 발생합니다. 결과적으로 버그, 실수, 취약점 등이 개발 프로세스를 거쳐 프로덕션 API에 반영됩니다. 자동화만이 보안 통제를 확장하고, 보안팀의 방해를 받지 않고 비즈니스에 필요한 속도를 늦추는 것을 방지하는 데 도움이 됩니다. 신뢰할 수 있는 파트너와 협력하여 스키마, 표준 및 정책을 자동으로 시행하는 것이 더 나은 방법입니다.
  2. 접근 제어: 믿기 어려울지 모르지만, API에 대한 누가 어떤 접근 권한을 갖는지 통제하는 것은 여전히 어려운 일입니다. 현대 기업의 복잡성을 생각해 보면 이는 믿기 어려운 일이 아닐 수도 있습니다. 대부분의 기업은 두 개 이상의 클라우드 공급업체와 온프레미스 및/또는 데이터 센터 환경을 보유하고 있습니다. 일반적으로 이러한 각 분산된 위치에서 네트워킹, 기술, 개발 및 보안 스택을 관리하려면 여러 팀이 필요합니다. 따라서 API에 대한 액세스를 제어(및 모니터링)하는 것이 심각한 과제가 된 것은 놀라운 일이 아닙니다. 실제로 2023년 OWASP API 보안 상위 10개 중 4개가 인증/권한 부여와 관련이 있습니다. 신뢰할 수 있는 올바른 공급업체는 복잡성에 단순성을 가져다주고 압도당한 사람들에게 평온함을 가져다주는 데 도움이 될 수 있습니다. 이를 통해 기업은 적절한 액세스 제어를 포함하여 운영, 유지 관리, 환경 보안에 전념할 수 있습니다.
  3. 불량 API: 때로는 공식적인 프로세스가 제대로 진행되지 않고, 개발자들은 개발 마감일을 맞추기 위해 새로운 인프라와 엔드포인트를 구축하기도 합니다. 아니면 인프라와 엔드포인트가 간과되어 적절한 목록 작성, 관리, 모니터링 및 보안이 이루어지지 않았을 수도 있습니다. 그 이유가 무엇이든, 악성 API가 존재하기 마련입니다. API가 알려지지 않으면 인벤토리를 작성, 관리, 모니터링 및 보안할 수 없습니다. 훌륭하고 신뢰할 수 있는 파트너는 기업이 알려지지 않은 API를 감지하는 데 도움을 줄 뿐만 아니라 이를 보호하는 데도 도움이 됩니다.
  4. WAF가 충분하지 않습니다: 웹 애플리케이션 방화벽(WAF)이 보안 스택의 필수 요소라는 점에는 의심의 여지가 없습니다. WAF는 다양한 위협으로부터 중요한 보호 기능을 제공합니다. 하지만 이러한 솔루션은 매일 API에 가해지는 모든 종류의 공격을 차단하기 위한 것이 아니었습니다. 또한 API는 빠르게 진화하고 있기 때문에 보안 제어가 알아차리지 못하는 완전히 새로운 종류의 취약점이 나타날 수 있습니다. 신뢰할 수 있는 파트너의 제안은 WAF와 통합되어 API 취약점을 식별하고 완화하는 정교한 기능을 제공하지 않는 한 완전하지 않습니다.
  5. 정교한 공격: 애플리케이션이 알려지고 흔한 공격의 표적이 되던 시대는 사라졌습니다. 정교한 공격자는 정교한 공격을 감행합니다. 즉, 레이더에 잡히지 않고 민감한 비즈니스 흐름을 노출시키고, 데이터를 추출하고, 사기를 일으키고, 애플리케이션을 다운시키고, 평판을 망치는 공격입니다. 여기에는 수동 공격과 자동(봇) 공격이 모두 포함됩니다. 이러한 정교한 유형의 공격을 식별하고 탐지하고 완화하려면 전문적인 노하우가 필요합니다. 가장 정교한 공격으로부터 방어하는 기능은 신뢰할 수 있는 파트너가 제공하는 API 보안 서비스의 일부여야 합니다.

물론, 이는 완전한 목록은 아닙니다. 각 금융 서비스 기관은 위험 등록부를 검토하여 사업에 가장 큰 영향을 미칠 수 있는 위험과 위협이 무엇인지 파악해야 합니다. 더 심각한 영향을 미칠 가능성이 있는 항목에는 더 높은 우선순위를 부여할 수 있습니다. 그러나 많은 리더들이 API 보안 위험의 실제 범위를 가장 효과적으로 평가하는 방법을 모를 수 있다는 점에 유의하는 것이 중요합니다. 따라서 올바른 파트너와 협력하는 것이 더욱 중요해집니다. API 보안과 관련된 위험은 이상적으로 목록의 상위에 있어야 하며, 이는 투자할 만한 우선 주제가 됩니다. 여기에는 API 보안의 중요성을 이해하고 올바른 솔루션을 제공하는 올바른 파트너와 협력하는 것이 포함됩니다.

자세한 내용은 은행 및 금융 서비스를 위한 사이버 보안을 방문하세요.