끊임없이 변화하는 위협 환경 속에서 사이버 범죄자들은 계정 인수 (ATO) 사기를 저지르는 데 가장 선호하는 새로운 무기로 API에 관심을 돌리고 있습니다. 그 이유는 API를 통해 귀중한 리소스와 기능에 직접 액세스할 수 있기 때문입니다. API 위협이 큰 문제로 떠올라서 OWASP는 조직이 해결해야 할 분야에 주의를 환기하기 위해 새로운 2023년 상위 10대 API 보안 위험 목록을 발표했습니다.
범죄자들은 악성 봇을 사용하여 API를 표적으로 삼아 ATO 전략을 전환하여 자격 증명 채우기 및 비즈니스 로직 남용에서 DDoS 공격 까지 다양한 공격을 수행하고 있습니다. 이러한 공격은 종종 애플리케이션 다운타임, 신원 도용 및 사기를 초래합니다. 이러한 공격은 손쉽게 구할 수 있는 도구를 이용해 그 어느 때보다 쉽게 조직할 수 있으며, 기존의 봇 방어 기술로는 감지하기 어렵습니다.
F5의 CTO 사무실의 추산에 따르면, 향후 몇 년 동안 프로덕션에서 사용되는 API의 수는 기하급수적으로 증가할 것으로 예상됩니다. 2030년까지 5억 개에서 15억 개가 넘는 API가 생산될 수 있습니다. 안타깝게도 이는 끊임없이 타겟을 확대하려는 사이버 범죄자들에게는 좋은 소식입니다.
최신 악성 봇 공격은 계속해서 진화하고 있으며, 이로 인해 기존의 봇 방지 도구는 효과를 유지하는 데 실패하고 있습니다. 봇 공격은 탐색 스캔 자동화부터 리소스 및 비즈니스 로직 취약성 조작, 자격 증명 채우기 및 주입 공격 수행까지 다양한 새로운 방식으로 API를 표적으로 삼는 데 사용되므로 이 문제는 API와 관련하여 더욱 악화될 가능성이 있습니다.
API 자격 증명 채우기 공격은 기존의 봇 완화 전략을 사용하면 위험에 노출될 수 있다는 것을 보여주는 좋은 예입니다. 일부 API는 사용자 이름과 비밀번호가 제출되면 웹사이트에 로그인하는 것과 유사하게 인증 토큰을 제공합니다. 이 토큰은 일반적으로 API에 대한 다른 모든 요청에 사용됩니다. 이는 API, 특히 오래된 API에서 일반적인 패턴이며 자격 증명 스터핑 및 비밀번호 스프레이 공격에 취약합니다.
공격자와 실제 고객을 구분하는 것은 어렵습니다. 이러한 유형의 표적 공격은 대부분의 기존 통제 수단을 우회하기 때문입니다. 기본 웹 앱 방화벽(WAF) 및 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 기존의 보안 제어 기능은 API에 대한 봇 공격을 식별하고 방지하기에 충분하지 않습니다. 그 이유는 머신 간 또는 API 간 트래픽이 많기 때문입니다. 공격은 표면적으로는 정상적인 앱 동작처럼 보일 수 있지만, 실제로는 API가 악용되고 남용되어 공격자는 너무 늦을 때까지 감지를 피할 수 있습니다.
API 보안은 조직 전체의 공유 책임이며, 레거시 웹 앱과 최신 API 패브릭 모두의 가동 시간과 안정성에 영향을 미치는 공격뿐만 아니라 손상과 데이터 침해로 이어지는 봇 기반 공격에 대한 우려를 높여줍니다.
API 보안을 강화하고 자격 증명 채우기, 무차별 대입 공격 또는 기타 강제적 로그인 시도 메커니즘을 통한 API를 통한 무단 액세스를 방지하는 데 있어 정교한 AI/ML 엔진은 실패한 로그인 시도 활동이나 API 매개변수를 발견하려는 시도를 식별하고 운영팀에서 검토할 수 있도록 해당 시도에 플래그를 지정하는 데 도움을 줄 수 있습니다.
조직에서 API 보안을 강화할 수 있는 방법에는 여러 가지가 있습니다. 여기에는 연결 및 액세스 검증, 시간 경과에 따른 동작 모니터링 및 알림, 비정상적인 클라이언트 동작을 식별하여 잠재적인 손상 영역을 찾는 것이 포함됩니다.
조직 에서 API 보안 상태를 중앙에서 볼 수 있는 환경을 구축하여 신속하게 움직이고, API 환경 내의 잠재적 문제를 파악하고, 세부적으로 조사하고, 연결, 가용성 또는 앱과 API 보안에 영향을 미칠 수 있는 모든 이상이나 위협을 무력화하기 위해 적절하게 조치를 취할 수 있도록 해야 합니다.
이 주문형 웨비나 에서 계정 인수 공격을 방지하는 방법에 대해 자세히 알아보세요.