API 공격 방지: 사이버 범죄자들의 새로운 계정 인수 대상에 대비하기
끊임없이 변화하는 위협 환경 속에서 사이버 범죄자들은 계정 인수 (ATO) 사기를 저지르는 데 가장 선호하는 새로운 무기로 API에 관심을 돌리고 있습니다. 그 이유는 API를 통해 귀중한 리소스와 기능에 직접 액세스할 수 있기 때문입니다. API 위협이 큰 문제로 떠올라서 OWASP는 조직이 해결해야 할 분야에 주의를 환기하기 위해 새로운 2023년 상위 10대 API 보안 위험 목록을 발표했습니다.
범죄자들은 악성 봇을 사용하여 API를 표적으로 삼아 ATO 전략을 전환하여 자격 증명 채우기 및 비즈니스 로직 남용에서 DDoS 공격 까지 다양한 공격을 수행하고 있습니다. 이러한 공격은 종종 애플리케이션 다운타임, 신원 도용 및 사기를 초래합니다. 이러한 공격은 손쉽게 구할 수 있는 도구를 이용해 그 어느 때보다 쉽게 조직할 수 있으며, 기존의 봇 방어 기술로는 감지하기 어렵습니다.
F5의 CTO 사무실의 추산에 따르면, 향후 몇 년 동안 프로덕션에서 사용되는 API의 수는 기하급수적으로 증가할 것으로 예상됩니다. 2030년까지 5억 개에서 15억 개가 넘는 API가 생산될 수 있습니다. 안타깝게도 이는 끊임없이 타겟을 확대하려는 사이버 범죄자들에게는 좋은 소식입니다.
API 확산으로 인해 취약성으로 이어질 수 있는 많은 사각지대 발생
- 개방적인 설계와 예측 가능한 구조 덕분에 쉽게 탐색할 수 있는 열린 문이 많이 생깁니다.
개발자들은 논리적 아키텍처(예: REST)를 준수하고 예측 가능한 구조를 갖춘 유연한 API를 구축하는 경향이 있는데, 이를 통해 범죄자들은 노출되었을 수 있는 추가 데이터를 쉽게 찾을 수 있습니다.
- 조직 간 가시성이 감소하면 API 활동을 관찰하기 어렵습니다. 특히 API가 존재하는지조차 모르는 경우 더욱 그렇습니다.
API는 SecOps 팀에서 알아차리기 전에 공개되는 경우가 많아 그림자나 좀비 API 생태계가 형성되고 API 트래픽에 대한 종단 간 가시성이 부족합니다.
- 복잡성이 증가하면 관리되지 않고 보안되지 않은 API가 생성되어 공격 표면이 더 넓어집니다.
분산된 환경과 서비스의 확산으로 인해 모든 API를 일관되게 검색, 관리, 모니터링하는 것이 어려워졌고, 이로 인해 위협이 증가하고 보안 및 개인 정보 보호 사고에 대한 취약성이 커졌습니다.
기존 보안 제어는 API를 ATO 공격으로부터 보호하지 못할 수 있음
최신 악성 봇 공격은 계속해서 진화하고 있으며, 이로 인해 기존의 봇 방지 도구는 효과를 유지하는 데 실패하고 있습니다. 봇 공격은 탐색 스캔 자동화부터 리소스 및 비즈니스 로직 취약성 조작, 자격 증명 채우기 및 주입 공격 수행까지 다양한 새로운 방식으로 API를 표적으로 삼는 데 사용되므로 이 문제는 API와 관련하여 더욱 악화될 가능성이 있습니다.
API 자격 증명 채우기 공격은 기존의 봇 완화 전략을 사용하면 위험에 노출될 수 있다는 것을 보여주는 좋은 예입니다. 일부 API는 사용자 이름과 비밀번호가 제출되면 웹사이트에 로그인하는 것과 유사하게 인증 토큰을 제공합니다. 이 토큰은 일반적으로 API에 대한 다른 모든 요청에 사용됩니다. 이는 API, 특히 오래된 API에서 일반적인 패턴이며 자격 증명 스터핑 및 비밀번호 스프레이 공격에 취약합니다.
공격자와 실제 고객을 구분하는 것은 어렵습니다. 이러한 유형의 표적 공격은 대부분의 기존 통제 수단을 우회하기 때문입니다. 기본 웹 앱 방화벽(WAF) 및 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 기존의 보안 제어 기능은 API에 대한 봇 공격을 식별하고 방지하기에 충분하지 않습니다. 그 이유는 머신 간 또는 API 간 트래픽이 많기 때문입니다. 공격은 표면적으로는 정상적인 앱 동작처럼 보일 수 있지만, 실제로는 API가 악용되고 남용되어 공격자는 너무 늦을 때까지 감지를 피할 수 있습니다.
ATO 공격으로부터 보호하기 위한 성공적인 API 보안 전략에는 여러 전선에 대한 경계가 필요합니다.
API 보안은 조직 전체의 공유 책임이며, 레거시 웹 앱과 최신 API 패브릭 모두의 가동 시간과 안정성에 영향을 미치는 공격뿐만 아니라 손상과 데이터 침해로 이어지는 봇 기반 공격에 대한 우려를 높여줍니다.
API 보안을 강화하고 자격 증명 채우기, 무차별 대입 공격 또는 기타 강제적 로그인 시도 메커니즘을 통한 API를 통한 무단 액세스를 방지하는 데 있어 정교한 AI/ML 엔진은 실패한 로그인 시도 활동이나 API 매개변수를 발견하려는 시도를 식별하고 운영팀에서 검토할 수 있도록 해당 시도에 플래그를 지정하는 데 도움을 줄 수 있습니다.
조직에서 API 보안을 강화할 수 있는 방법에는 여러 가지가 있습니다. 여기에는 연결 및 액세스 검증, 시간 경과에 따른 동작 모니터링 및 알림, 비정상적인 클라이언트 동작을 식별하여 잠재적인 손상 영역을 찾는 것이 포함됩니다.
- 지속적으로 API 엔드포인트를 모니터링하고 보호하여 변화하는 앱 통합을 식별하고, 취약한 구성 요소를 탐지하고, 타사 통합을 통해 공격을 완화합니다.
- CI/CD 파이프라인과 통합되고 OpenAPI 및 Swagger 인터페이스 사양을 지원하는 긍정적인 보안 모델을 구현하여 스키마를 쉽게 검증하고, 프로토콜 준수를 강화하고, 정상적인 트래픽 패턴을 자동으로 기준화하고, 비정상적인 동작을 감지합니다.
- 최소 권한 액세스 원칙을 채택하고, 페이로드를 검사하고, 무단 데이터 노출을 방지하고, 객체 및 기능에 대한 액세스 제어 및 위험 기반 인증을 구현하여 제로 트러스트 와 위험 기반 보안을 도입합니다 . 여기에는 정보를 수집하고 API와 관련한 봇의 일반적인 동작에 대한 기준을 구축하는 것이 포함되어야 합니다. 행동 및 패턴 분석, 워크플로 검증, 지문 분석을 활용하면 인간, 좋은 봇, 나쁜 봇 활동을 구별할 수 있습니다.
- 이기종 환경에서 보안 오류를 방지하고, 손상 및 서비스 거부로 이어질 수 있는 남용을 완화하고, 클라우드 및 아키텍처 전반에서 지속적으로 위협을 해결하여 변화하는 애플리케이션 수명 주기에 대응합니다 . API를 지속적으로 검사, 테스트, 모니터링하여 잘못된 구성, 취약성 및 비즈니스 로직 결함을 확인하세요.
조직 에서 API 보안 상태를 중앙에서 볼 수 있는 환경을 구축하여 신속하게 움직이고, API 환경 내의 잠재적 문제를 파악하고, 세부적으로 조사하고, 연결, 가용성 또는 앱과 API 보안에 영향을 미칠 수 있는 모든 이상이나 위협을 무력화하기 위해 적절하게 조치를 취할 수 있도록 해야 합니다.
이 주문형 웨비나 에서 계정 인수 공격을 방지하는 방법에 대해 자세히 알아보세요.