끊임없이 확장되는 엔드포인트와 통합 구조로 인한 API 확산으로 인해 보안 팀이 수동 방법을 사용하여 중요한 비즈니스 로직을 식별하고 보호하는 것은 비현실적입니다. API는 데이터 센터, 퍼블릭 클라우드, 에지 사이트를 활용하는 하이브리드 및 멀티클라우드 환경을 비롯한 이기종 인프라에 점점 더 분산되고 있으며, 이로 인해 중요한 비즈니스 로직이 중앙 보안 제어 영역 밖으로 노출되는 경우가 늘고 있습니다. 또한, 애플리케이션 개발팀이 혁신을 위해 신속하게 움직이기 때문에 API 호출이 비즈니스 로직 내부 깊숙이 숨겨지고 안전하지 않은 코드를 참조하게 되어 보호하기 어려울 수 있습니다. 

혁신의 속도에 너무 중점을 두다 보니 보안이 뒤처지는 경우가 많습니다. 때로는 API 설계 자체에서 보안이 간과되는 경우도 있습니다. 보안이 고려되는 경우가 많지만, 여러 클라우드와 아키텍처에 걸쳐 있는 애플리케이션 배포를 유지 관리하는 데 따른 미묘한 복잡성으로 인해 정책이 잘못 구성되는 경우가 많습니다. 

API는 머신 간 데이터 교환을 위해 설계되었으므로 많은 API가 민감한 데이터에 대한 직접적인 경로를 제공하며, 사용자가 사용하는 웹 양식의 입력 검증과 같은 위험 제어가 제공되지 않는 경우가 많습니다. 하지만 이러한 엔드포인트는 웹 앱을 괴롭히는 것과 동일한 공격, 즉 취약점 악용, 비즈니스 로직 남용, 데이터 침해, 다운타임, 계정 인수(ATO)로 이어질 수 있는 액세스 제어 우회 등의 공격을 받을 수 있습니다.

API 엔드포인트는 비즈니스 로직 공격으로 인한 위험을 완화하기 위해 코드 분석, 침투 테스트, 위협 모델링을 포함하여 웹 애플리케이션과 동일한 위험 제어를 통해 평가되어야 할 뿐만 아니라, 보안 팀의 관할 범위를 벗어나는 엔드포인트나 본질적으로 버려진 엔드포인트(섀도우 및 좀비 API의 경우)에서 발생하는 의도치 않은 위험을 완화하기 위한 추가 고려 사항이 필요합니다.

API는 웹 애플리케이션을 표적으로 삼는 것으로 알려진 많은 공격에 취약하기 때문에, API 보안 사고는 가장 심각한 데이터 침해의 원인이 되었습니다. 취약한 인증/권한 부여 제어, 잘못된 구성, 비즈니스 로직 남용, 서버 측 요청 위조(SSRF)와 같은 위험은 웹 앱과 API 모두에 영향을 미칩니다. 봇과 악성 자동화로 인한 취약성 악용 및 남용은 가장 큰 우려 사항입니다.

• 주입 및 교차 사이트 스크립팅(XSS)은 데이터에 대한 무단 액세스로 이어질 수 있습니다.
• 분산 서비스 거부(DDoS) 공격으로 인해 수익 창출에 중요한 서비스가 중단될 수 있습니다.
• 자격 증명 채우기 및 기타 자동화된 공격은 손상, 데이터 침해 및 사기로 이어질 수 있습니다.

애플리케이션은 API가 상호 연결 역할을 하면서 점점 더 분산되고, 분산된 모델로 전환되었습니다. 모바일 앱과 타사 통합은 온라인 세계에서 성공적으로 경쟁하기 위한 필수 요소가 되었습니다. F5 Labs의 연구에 따르면 점점 더 많은 산업이 최신 애플리케이션 아키텍처를 도입함에 따라 API가 점점 더 큰 공격 대상이 되고 있습니다. 그 이유 중 하나는 API가 더 구조화되어 있고 공격자가 쉽게 사용할 수 있기 때문입니다.

전체적인 거버넌스 전략 없이 API가 광범위하게 배포되면 위험이 커집니다. 이러한 위험은 복잡한 공급망과의 통합 및 CI/CD 파이프라인을 통한 자동화로 인해 애플리케이션과 API가 시간이 지남에 따라 끊임없이 변경되는 지속적인 애플리케이션 수명 주기 프로세스로 인해 더욱 악화됩니다.

다양한 인터페이스와 잠재적 위험 노출로 인해 보안팀은 현대적이고 AI 앱의 기본이 되는 모든 창문과 정문을 사전, 동적으로, 지속적으로 보호해야 합니다.

머신 러닝의 발전으로 API 엔드포인트를 동적으로 발견하고 테스트와 프로덕션 모두에서 해당 엔드포인트의 상호 종속성을 자동으로 매핑할 수 있게 되었습니다. 이를 통해 시간 경과에 따른 API 통신 패턴을 분석하고 위험을 증가시키는 섀도우 API 또는 문서화되지 않은 API를 식별하는 실용적인 방법을 제공합니다. 

또한, 지속적인 엔드포인트 모니터링과 분석을 통해 보안 기준을 자율적으로 구축하여 보안 팀의 업무 부담을 불필요하게 늘리지 않고도 실시간 탐지, 자동화된 위험 평가, 악의적 사용자 완화가 가능합니다.

이러한 지속적이고 자동화된 보호 기능을 통해 소프트웨어 개발 라이프사이클의 모든 단계에서 모든 API에 대해 모든 아키텍처에서 일관되게 적용할 수 있는 고도로 보정된 정책이 생성되어 악용을 완화하고, 비즈니스 로직 공격을 억제하고, 스키마, 프로토콜 준수, 액세스 제어를 시행할 수 있습니다.

기업은 최신 아키텍처와 타사 통합을 활용하여 새로운 사용자 경험을 개발하는 동시에 기존 앱을 현대화해야 합니다. 코어에서 클라우드, 엣지까지 API를 보호하는 종합적인 거버넌스 전략은 알려지거나 알려지지 않은 위험을 줄이는 동시에 디지털 혁신을 지원합니다.

F5 솔루션은 어떠한 환경에서도 운영할 수 있는 유연성을 제공합니다. 보편적 가시성과 ML 기반 자동화된 보호는 효율성을 극대화하고 보안 팀의 부담을 덜어줍니다. F5는 퓨어 플레이/틈새 시장 솔루션을 통합하고 지속적으로 하이브리드 및 멀티클라우드 환경을 보호하여 회복성과 복구 기능을 개선합니다.

API 보안을 구축하는 데 있어 주요 고려 사항은 다음과 같습니다.

1. 하이브리드 및 멀티클라우드 지원
   보편적인 가시성과 일관된 정책 시행을 통해 복잡성, 도구 확산, 구성 오류의 위험이 줄어들고 수정 속도가 빨라집니다.
   
   
2. 기존 개발 프로세스와의 통합
   보안팀은 테스트 중에 위험을 사전에 발견하고, 네이티브 Terraform 레지스트리를 통해 CI/CD 파이프라인에 보안 정책을 통합함으로써 애플리케이션 수명 주기에 맞춰 나갈 수 있습니다.
   
   
3. 긍정적 보안 모델
   F5 솔루션은 OpenAPI 정의, Swagger 파일, 제로 트러스트 원칙을 사용하여 스키마를 적용하는 긍정적인 보안 모델로 정책을 간소화합니다.
   
   
4. 자동화된 방어
   ML 기반 이상 탐지 기능은 보안 팀에 환경 간 정책 조정이나 과도한 오탐지 없이 취약성 악용, 비즈니스 로직 남용, 서비스 거부 공격을 해결합니다.
   
   
5. 풍부한 시각화
   API 사용 기준에 대한 드릴다운 지원 기능이 포함된 보안 대시보드는 운영자가 통찰력을 상호 연관시키고 사고 대응을 간소화하는 데 도움이 됩니다.


6. 보안 회복력
   내구성 있는 원격 측정과 고도로 훈련된 머신 러닝을 통해 디지털 비즈니스의 속도에 맞춰 보다 효율적이고 효과적인 보안을 구현하고 새로운 적대적 AI 공격을 완화합니다.

F5 솔루션은 클라우드와 아키텍처 전반에서 중요한 비즈니스 로직과 타사 통합을 지속적으로 발견하고 자동으로 보호함으로써 전체 엔터프라이즈 포트폴리오에서 API를 보호합니다. 

포괄적이고 일관된 보안 정책과 탄력적인 ML 기반 방어를 결합하면 조직은 API 보안을 디지털 전략에 맞게 조정할 수 있습니다. 이를 통해 기업은 위험 관리를 개선하고, 자신감을 가지고 혁신하고, 운영을 간소화할 수 있습니다.

F5 분산 클라우드가 실제로 어떻게 활용되는지 살펴보세요.