아시아 태평양(APAC) 지역의 조직들이 API 관련 다양한 보안 문제를 해결하기 위해 점점 더 인공지능 및 머신러닝(AI/ML) 지원 솔루션에 주목하고 있다고 F5가 25일 밝혔다. F5의 첫 번째 2024 전략 인사이트 보고서인 '2024 Strategic Insights: API Security in APAC'에 담긴 내용이다.
보고서에 따르면 API가 사이버 공격의 주요 핵심 타겟으로 자리잡으면서, 아태 지역의 기업들은 SSRF(Server-Side Request Forgery)와 같이 전통적인 보안방어기술로는 탐지할 수 없는 정교한 사이버 공격들을 탐지하고 완화하기 위해 AI/ML 기술을 채택하고 있다. 또, 약 20% 정도의 기업들이 API 게이트웨이를 도입함으로써 강력한 엑세스 제어는 물론 민감한 비즈니스 플로우에 대한 무제한 액세스 등 광범위한 취약점을 완화하고 있는 것으로 나타났다. 한국 기업의 경우 AI/ML 솔루션 도입율이 28.5%에 달했다.
모한 벨루 F5 APCJ CTO는 “애플리케이션은 사이버 범죄의 출입문이 되었고 사이버 범죄자들은 API를 출입문 열쇠로 사용하는 경향이 늘어나고 있다. 사이버 범죄자들이 AI 기반 툴을 활용하면서 속도, 규모, 정교함을 갖춘 공격이 증가하고 있다”라고 말했다.
그는 이어 “따라서 API 연결과 이를 통해 전송되는 데이터를 보호하는 것은 특히 AI를 제공하려는 많은 아태지역 기업들에게 중요한 보안과제가 됐다”라고 덧붙였다.
한편 아태지역 기업들은 런타임 중에 API를 보호하고자 하며, 특히 개발초기단계부터 API를 보호하는 것이 중요하다는 인식도 점점 더 증가하고 있다.
벨루 CTO는 “오늘날 API 보안은 그 어느 때보다 중요하지만 그 어느 때보다 복잡하다. 보고서의 조사 결과는 더 많은 기업들이 API 라이프사이클을 따라 시프트-레프트(shift-left)를 구현하는 동시에 여전히 실드-라이트(shield-right) 또한 시도하고 있음을 분명히 보여줍니다”라고 말했다.
‘2024 전략 인싸이트: 아태지역 API 보안 보고서’에 담긴 주요 내용은 다음과 같다.
• 아태지역은 독특한 API 보안 위협에 직면하고 있는 것으로 분석된다. 아태지역 기업들이 손을 꼽은 보안 위협 순위는 글로벌 OWASP랭킹과 사뭇 다르다. 권한 위반 (Broken Authentication), SSRF, 보안 설정 오류 등이 가장 큰 우려사항으로 나타났다. 이는 아태지역 전반에 걸쳐 널리 활용되는 REST/RPC 기술, 내부 API의 높은 사용률, 다양한 배포환경 등의 이유로 기인한다.
• 보안 테스트 및 접근 제어는 APAC 조직의 API 보안 수명 주기에서 최우선 순위: 무단 액세스와 관련된 위험을 완화하고 배포 전에 강력한 API 보안을 보장하기 위한 예방 조치의 중요성을 강조한다. APAC 기업들은 런타임 보호와 API디스커버리에 대해 균형 잡힌 접근 방식을 취했으며, 상태 관리의 우선순위는 가장 낮았다.
• API 보안테스트에 대해 숙련된 접근방식: 기업들은 정적 애플리케이션 보안 테스트(Static Application Security Testing, SAST) 54%, 동적 애플리케이션 보안 테스트(Dynamic Application Security Testing, DAST) 51% 와 같이 전통적인 방법과 액티브 API 보안 테스트(Active API Security Testing) 51%와 같은 새로운 전략의 균형을 맞추고 있다. 이는 업계 전반적으로 다양한 테스트 전략의 중요성에 대한 인식을 반영한 것으로 보인다.
• 외부 사용자 제어는 API액세스 제어에 있어 가장 큰 관심사였다. 아태지역 기업들은 외부의 잠재적 위험에 대한 우려가 높아졌다(59%)고 답했다. 다른 우선 순위로는 확립된 규정 준수(54%)와 안전한 앱 간 상호 작용(49%)이 꼽혔다. 이는 연결성이 증가하는 추세를 반영하며, 진화하는 API 위험을 효과적으로 해결하기 위한 포괄적인 보안 프레임워크의 중요성을 강조하고 있다.
• 데이터 유출 및 조작으로부터 데이터 보호에 중점을 두는 양상이다. 데이터 유출(53.3%)은 API 런타임 보호에 있어 아태지역 기업들이 가장 우선적으로 고려하는 사항으로, 민감한 정보 보호가 시급하다는 것을 보여준다. 또한 업계 전반적으로 데이터 무결성 유지(27.7%)와 탐지 및 마스킹 기술을 통한 민감한 정보 보호(23.4%)가 강조되고 있다.
• 아태지역 기업들은 고위험 API를 발견하고 API 사용량을 모니터링하는 데 초점을 맞추고 있다. 민감한 데이터나 취약점을 노출할 수 있는 API를 식별하는 것 (63%)과 침해 또는 오용 상태를 확인할 수 있는 비정상적인 패턴을 감지할 수 있는 API 사용에 대한 이해 (56%) 등에 가장 민감한 반응을 나타냈다. 좀비 API (Zombie APIs), 섀도우 API 등은 각각 42%와 39%로 비교적 우선순위가 다소 낮았으나 여전히 중요한 사항으로 인식하고 있다. dl-ciokorea@foundryco.com
