API는 현대 앱의 기반이며 AI 앱으로 이어지는 통로입니다. API는 서로 다른 시스템과 생태계가 함께 작동할 수 있도록 함으로써 광범위한 타사 생태계를 활용하여 출시 시간을 단축하고 향상된 사용자 경험을 제공할 수 있습니다. 반면, API 사용이 급증하고 생성적 AI가 등장하면서 아키텍처가 분산되고 복잡성이 증가했으며 상당한 위험이 발생했습니다. 이로 인해 앱과 API의 보안이 더욱 어려워지고, 공격자에게는 매우 매력적인 요소가 됩니다. 기업들이 앱 포트폴리오를 현대화하고 새로운 디지털 경제에서 혁신을 거듭함에 따라 2031년까지 API 수가 10억 개에 달할 것으로 예상됩니다 .
분산 보안
F5는 API가 있는 모든 곳, 즉 데이터 센터, 클라우드, 에지, 모바일 앱 뒤, 타사 통합 내에서 실행됩니다.
일관된 시행
F5 보안은 API 스키마 학습, 자동화된 위험 평가, ML 기반 보호를 기반으로 하는 긍정적 보안 모델을 채택합니다.
지속적인 보호
F5 솔루션은 API 뒤에 있는 중요한 비즈니스 로직을 코드에서 테스트, 프로덕션에 이르기까지 지속적으로 발견하고 자동으로 방어하는 보편적 가시성, 실행 가능한 통찰력, 고도로 훈련된 머신 러닝을 제공합니다.
끊임없이 확장되는 엔드포인트와 통합 구조로 인한 API 확산으로 인해 보안 팀이 수동 방법을 사용하여 중요한 비즈니스 로직을 식별하고 보호하는 것은 비현실적입니다. API는 데이터 센터, 퍼블릭 클라우드, 에지 사이트를 활용하는 하이브리드 및 멀티클라우드 환경을 비롯한 이기종 인프라에 점점 더 분산되고 있으며, 이로 인해 중요한 비즈니스 로직이 중앙 보안 제어 영역 밖으로 노출되는 경우가 늘고 있습니다. 또한, 애플리케이션 개발팀이 혁신을 위해 신속하게 움직이기 때문에 API 호출이 비즈니스 로직 내부 깊숙이 숨겨지고 안전하지 않은 코드를 참조하게 되어 보호하기 어려울 수 있습니다.
혁신의 속도에 너무 중점을 두다 보니 보안이 뒤처지는 경우가 많습니다. 때로는 API 설계 자체에서 보안이 간과되는 경우도 있습니다. 보안이 고려되는 경우가 많지만, 여러 클라우드와 아키텍처에 걸쳐 있는 애플리케이션 배포를 유지 관리하는 데 따른 미묘한 복잡성으로 인해 정책이 잘못 구성되는 경우가 많습니다.
API는 머신 간 데이터 교환을 위해 설계되었으므로 많은 API가 민감한 데이터에 대한 직접적인 경로를 제공하며, 사용자가 사용하는 웹 양식의 입력 검증과 같은 위험 제어가 제공되지 않는 경우가 많습니다. 하지만 이러한 엔드포인트는 웹 앱을 괴롭히는 것과 동일한 공격, 즉 취약점 악용, 비즈니스 로직 남용, 데이터 침해, 다운타임, 계정 인수(ATO)로 이어질 수 있는 액세스 제어 우회 등의 공격을 받을 수 있습니다.
API 엔드포인트는 비즈니스 로직 공격으로 인한 위험을 완화하기 위해 코드 분석, 침투 테스트, 위협 모델링을 포함하여 웹 애플리케이션과 동일한 위험 제어를 통해 평가되어야 할 뿐만 아니라, 보안 팀의 관할 범위를 벗어나는 엔드포인트나 본질적으로 버려진 엔드포인트(섀도우 및 좀비 API의 경우)에서 발생하는 의도치 않은 위험을 완화하기 위한 추가 고려 사항이 필요합니다.
API는 웹 애플리케이션을 표적으로 삼는 것으로 알려진 많은 공격에 취약하기 때문에, API 보안 사고는 가장 심각한 데이터 침해의 원인이 되었습니다. 취약한 인증/권한 부여 제어, 잘못된 구성, 비즈니스 로직 남용, 서버 측 요청 위조(SSRF)와 같은 위험은 웹 앱과 API 모두에 영향을 미칩니다. 봇과 악성 자동화로 인한 취약성 악용 및 남용은 가장 큰 우려 사항입니다.
애플리케이션은 API가 상호 연결 역할을 하면서 점점 더 분산되고, 분산된 모델로 전환되었습니다. 모바일 앱과 타사 통합은 온라인 세계에서 성공적으로 경쟁하기 위한 필수 요소가 되었습니다. F5 Labs의 연구에 따르면 점점 더 많은 산업이 최신 애플리케이션 아키텍처를 도입함에 따라 API가 점점 더 큰 공격 대상이 되고 있습니다. 그 이유 중 하나는 API가 더 구조화되어 있고 공격자가 쉽게 사용할 수 있기 때문입니다.
전체적인 거버넌스 전략 없이 API가 광범위하게 배포되면 위험이 커집니다. 이러한 위험은 복잡한 공급망과의 통합 및 CI/CD 파이프라인을 통한 자동화로 인해 애플리케이션과 API가 시간이 지남에 따라 끊임없이 변경되는 지속적인 애플리케이션 수명 주기 프로세스로 인해 더욱 악화됩니다.
다양한 인터페이스와 잠재적 위험 노출로 인해 보안팀은 현대적이고 AI 앱의 기본이 되는 모든 창문과 정문을 사전, 동적으로, 지속적으로 보호해야 합니다.
머신 러닝의 발전으로 API 엔드포인트를 동적으로 발견하고 테스트와 프로덕션 모두에서 해당 엔드포인트의 상호 종속성을 자동으로 매핑할 수 있게 되었습니다. 이를 통해 시간 경과에 따른 API 통신 패턴을 분석하고 위험을 증가시키는 섀도우 API 또는 문서화되지 않은 API를 식별하는 실용적인 방법을 제공합니다.
또한, 지속적인 엔드포인트 모니터링과 분석을 통해 보안 기준을 자율적으로 구축하여 보안 팀의 업무 부담을 불필요하게 늘리지 않고도 실시간 탐지, 자동화된 위험 평가, 악의적 사용자 완화가 가능합니다.
이러한 지속적이고 자동화된 보호 기능을 통해 소프트웨어 개발 라이프사이클의 모든 단계에서 모든 API에 대해 모든 아키텍처에서 일관되게 적용할 수 있는 고도로 보정된 정책이 생성되어 악용을 완화하고, 비즈니스 로직 공격을 억제하고, 스키마, 프로토콜 준수, 액세스 제어를 시행할 수 있습니다.
기업은 최신 아키텍처와 타사 통합을 활용하여 새로운 사용자 경험을 개발하는 동시에 기존 앱을 현대화해야 합니다. 코어에서 클라우드, 엣지까지 API를 보호하는 종합적인 거버넌스 전략은 알려지거나 알려지지 않은 위험을 줄이는 동시에 디지털 혁신을 지원합니다.
공개 웹 앱과 API에 대한 알려진 위험을 발견하고 AI로 강화된 통찰력을 통해 테스트에서 취약성을 식별하여 해결에 도움을 줍니다.
동적 API 검색
엔터프라이즈 앱 생태계 전반에서 API 엔드포인트를 감지합니다.
이상 감지
자동화된 위험 평가 및 머신 러닝을 활용하여 의심스러운 행동과 악의적인 사용자를 식별합니다.
API 정의 가져오기
OpenAPI 사양을 기반으로 긍정적인 보안 모델을 만들고 적용합니다.
프로토콜 및 인증 준수
REST, GraphQL, gRPC 기반 API, 다양한 인증 유형, JSON 웹 토큰(JWT)을 지원합니다.
정책 자동화
개발 프레임워크 및 보안 생태계에 통합됩니다.
시각화 및 통찰력
API 관계 그래프를 구성하고 엔드포인트 메트릭을 평가합니다.
F5 솔루션은 어떠한 환경에서도 운영할 수 있는 유연성을 제공합니다. 보편적 가시성과 ML 기반 자동화된 보호는 효율성을 극대화하고 보안 팀의 부담을 덜어줍니다. F5는 퓨어 플레이/틈새 시장 솔루션을 통합하고 지속적으로 하이브리드 및 멀티클라우드 환경을 보호하여 회복성과 복구 기능을 개선합니다.
F5 솔루션은 클라우드와 아키텍처 전반에서 중요한 비즈니스 로직과 타사 통합을 지속적으로 발견하고 자동으로 보호함으로써 전체 엔터프라이즈 포트폴리오에서 API를 보호합니다.
포괄적이고 일관된 보안 정책과 탄력적인 ML 기반 방어를 결합하면 조직은 API 보안을 디지털 전략에 맞게 조정할 수 있습니다. 이를 통해 기업은 위험 관리를 개선하고, 자신감을 가지고 혁신하고, 운영을 간소화할 수 있습니다.
F5 분산 클라우드가 실제로 어떻게 활용되는지 살펴보세요.