T-Mobile 침해 사건에서 얻은 교훈(지금까지)

T-Mobile에서 최근 공개한 데이터 침해 사건은 애플리케이션 보안의 급성장하는 "무법지대"인 API의 과제를 잘 보여줍니다. 개인(또는 그룹)이 API를 사용(또는 남용)하여 3,000만 명이 넘는 고객의 개인 데이터를 수집하여 한 달 이상 매일 정보를 빼돌린 후에야 감지되었습니다.

이 글을 쓰는 시점에서는 이 사건에서 API가 어떻게 또는 왜 남용되었는지(예: 함수 남용, 손상된 개체 수준 권한 부여, 과도한 데이터 노출)에 대한 구체적인 정보가 많지 않고, 침해가 최종적으로 어떻게 실현되었는지도 알 수 없습니다. 숫자만 살펴보면, 평균적으로 이 API를 통해 하루에 902,000명의 고객의 데이터가 제거되었으며, 속도 제한 임계값이나 시계열 동작 이상 현상 등이 발생하지 않았습니다. 아니면 그럴 수도 있지만, 운영팀에서 신속히 식별하여 완화 조치를 취할 만큼 적절한 위협 수준이 아닐 수도 있습니다. 이는 규모가 작고 느린 공격의 특징이 있습니다.

이와 같은 침해 사고는 API가 얼마나 널리 퍼져 있는지, 오늘날 조직에 얼마나 중요한지, 그리고 모든 애플리케이션과 전체 조직의 보안(또는 보안 불안정)에 API가 얼마나 고유한 역할을 할 수 있는지에 대해 생각해볼 기회를 제공합니다. F5 랩은 최근 몇 년 동안 의 침해 사례를 분석한 결과, 대부분의 사고가 API와 관련된 경우 침해 방법이 기술적으로 매우 간단하며, 대중에 공개되고 보안이 취약한 API 엔드포인트에 영향을 미친다는 사실을 발견했습니다.

API와 관련된 보안은 말하기는 쉽지만 실제로 실행하기는 어렵습니다(적어도 잘 실행하기는 어렵습니다). 요즘은 대부분의 기업이 모니터링하는 애플리케이션과 엔드포인트의 수가 증가함에 따라 애플리케이션 보안 이벤트 데이터가 급증하고 있어서 모든 것을 최신 상태로 유지하는 것이 불가능한 일처럼 느껴집니다.

그러나 이 공격은 API 보안을 중심으로 특히 조직이 제공하는 기술과 서비스의 우선 순위를 정하는 데 있어 배울 수 있는 세 가지 핵심 요소를 강조합니다.

API 가시성 및 검색. 이 경우, 이 특정 API가 알려졌는지 또는 적극적으로 모니터링되고 있는지는 명확하지 않습니다. 스키마 적용 기능을 갖춘 안전하게 개발되고 잘 문서화된 API를 활용하는 긍정적 보안이 중요하지만 이는 방정식의 절반일 뿐입니다. 대부분의 조직에서는 환경에서 실행되는 모든 API를 제대로 다룰 수 없으므로 애플리케이션의 모든 통신 경로에서 이미 문서화되지 않은 API를 지속적으로 학습하고 매핑할 수 있는 능력이 무엇보다 중요합니다. Discovery 기술을 통해 조직은 전체 API 환경을 매핑하여 알려지지 않은/그림자 API, 차단/제거할 버려진 또는 좀비 API, 거버넌스를 고려해야 하는 알려지지 않은 "좋은" API를 노출하여 보다 포괄적인 감독을 제공할 수 있습니다.

API가 존재한다는 것을 아는 것과 액세스 제어 기능을 갖는 것은 API 보안 퍼즐의 두 가지 중요한 부분입니다. 2022년 애플리케이션 전략 보고서 에서 응답자의 68%가 인증 및 권한 부여를 API 보안의 가장 중요한 구성 요소로 평가했으며, 그 다음으로는 API를 모니터링하고 비정상적인 동작과 잠재적인 남용을 식별하고 경고하는 동작 분석 및 이상 감지가 뒤따랐습니다. 나쁜 행위자가 인증 및 권한 부여를 쉽게 우회할 수 있는 방법이 많기 때문입니다. 이 시나리오에서는 API와 클라이언트 사이에서 전달되는 데이터에 뭔가 이상한 점이 있었을 것입니다. 프로덕션에 적용된 이후 시간 경과에 따른 API 동작을 추적할 수 있으려면 일반적으로 API 요청 분석과 시계열 이상 감지가 포함되어 요청 속도, 오류, 지연, 처리량 등의 이상 징후를 식별하는 데 사용되는 기준 동작 속성을 구축합니다. 이 기능을 사용하면 예상치 못한 급증이나 감소가 발생하거나, 고유한 트래픽 패턴이 존재하거나, 비정상적인 API 요청이 감지될 때 문제를 제기하는 알림 요소가 중요합니다.

최신 API 보안 스택을 완성하려면 인라인 애플리케이션과 API 보안 시행 엔진이 필요하며, 여기에는 속도 제한, IP 평판, 허용/거부 목록 기능, 악의적인 엔드포인트, 사용자 및 기타 활동을 추가로 조사하고 조치를 취할 수 있는 기능이 있는 L7 DoS 등 다중 계층의 애플리케이션 보안 기능이 있는 WAF가 포함될 가능성이 높습니다. 이를 통해 운영팀은 이상 징후가 감지되면 의심되는 API 남용을 빠르고 쉽게 식별하고, 이러한 남용을 중단하기 위한 정책을 수립할 수 있으며, 시간이 지남에 따라 진화하고 동작이 변화하는 API와 앱 엔드포인트를 더욱 효과적으로 보호할 수 있습니다.

시간이 흐르고 이 특정 침해 사고에서 정확히 무슨 일이 일어났는지에 대해 알게 되면 더 많은 정보가 나올 테지만, 조직에서 이 세 가지 요소를 활용하여 앱과 API 엔드포인트를 이와 같은 남용으로부터 보호하기 위한 계획을 평가하고 더 잘 개발하는 것이 중요합니다.