[디지털경제뉴스 박시현 기자] F5가 최근 ‘2024 전략 인사이트: 아태지역 API 보안 보고서’를 발표했다.
이 보고서는 F5가 트윔빗해 의뢰해 2024년 상반기에 한국, 호주, 중국, 인도, 인도네시아, 일본, 말레이지아, 뉴질랜드, 싱가포르, 대만, 태국 등 11개국 297명의 IT 전문가 대상으로 실시한 설문조사 결과로, API 보안에 대한 도전과 기회를 다루고 있다.
보고서에 따르면 아시아태평양 지역의 조직들은 API와 관련된 다양한 보안 문제를 해결하기 위해 점점 더 인공지능 및 머신러닝(AI/ML) 지원 솔루션에 의존하고 있는 것으로 나타났다.
API가 사이버 공격의 주요 핵심 타깃으로 자리잡으면서, 아태지역의 기업들은 SSRF(Server-Side Request Forgery)와 같이 전통적인 보안방어기술로는 탐지할 수 없는 정교한 사이버 공격들을 탐지하고 완화하기 위해 AI/ML 기술을 채택하고 있다. 또한 약 20% 정도의 기업들이 API 게이트웨이를 도입함으로써 강력한 엑세스 제어는 물론 민감한 비즈니스 플로우에 대한 무제한 액세스 등 광범위한 취약점을 완화하고 있는 것으로 나타났다. 한국은 AI/ML 솔루션 도입률이 28.5%로써 이는 포괄적인 위협 감지 및 보호에 있어 고급 기술에 상당히 의존하고 있다는 것을 보여준다.
F5 아시아 지역 CTO인 모한 벨루는 “애플리케이션은 사이버 범죄의 출입문이 되었고 사이버 범죄자들은 API를 출입문 열쇠로 사용하는 경향이 늘어나고 있다. 사이버 범죄자들이 AI 기반 툴을 활용하면서 속도, 규모, 정교함을 갖춘 공격이 증가하고 있다"며, “따라서 API 연결과 이를 통해 전송되는 데이터를 보호하는 것은 특히 AI를 제공하려는 많은 아태지역 기업들에게 중요한 보안과제가 됐다”고 설명했다.
아태지역 기업들은 런타임 중에 API를 보호하고자 하지만, 개발 초기 단계부터 API를 보호하는 것이 중요하다는 인식도 점점 더 많아지고 있다. 강력한 코드 보안 표준 및 실행(17.5%)은 아태지역 기업들이 객체 수준 권한 위반 (BOLA), 보안 설정 오류, SSRF 등에 이르는 광범위하고 복잡한 취약점으로부터 API를 보호하기 위한 핵심적인 전략으로 부상하고 있다.
‘2024 전략 인사이트: 아태지역 API 보안 보고서’의 주요 내용은 다음과 같다.
▪아태지역은 독특한 API 보안 위협에 직면: 아태지역 기업들이 손을 꼽은 보안 위협 순위는 글로벌 OWASP 랭킹과 사뭇 다르다. 권한 위반, SSRF, 보안 설정 오류 등이 가장 큰 우려사항으로 나타났다. 이는 아태지역 전반에 걸쳐 널리 활용되는 REST/RPC 기술, 내부 API의 높은 사용률, 다양한 배포환경 등에 기인한다.
▪보안 테스트 및 접근 제어는 아태지역 조직의 API 보안 수명 주기에서 최우선 순위: 무단 액세스와 관련된 위험을 완화하고 배포 전에 강력한 API 보안을 보장하기 위한 예방 조치의 중요성을 강조한다. 아태지역 기업들은 런타임 보호와 API 디스커버리에 대해 균형 잡힌 접근 방식을 취했으며, 상태 관리의 우선순위는 가장 낮았다.
▪API 보안테스트에 대해 숙련된 접근방식: 기업들은 정적 애플리케이션 보안 테스트(SAST) 54%, 동적 애플리케이션 보안 테스트(DAST) 51%와 같이 전통적인 방법과 액티브 API 보안 테스트 51%와 같은 새로운 전략의 균형을 맞추고 있다. 이는 업계 전반적으로 다양한 테스트 전략의 중요성에 대한 인식을 반영한 것으로 보인다.
▪외부 사용자 제어는 API 액세스 제어에 있어 가장 큰 관심사: 아태지역 기업들은 외부의 잠재적 위험에 대한 우려가 높아졌다(59%)고 답했다. 다른 우선 순위로는 확립된 규정 준수(54%)와 안전한 앱 간 상호 작용(49%)이 꼽혔다. 이는 연결성이 증가하는 추세를 반영하며, 진화하는 API 위험을 효과적으로 해결하기 위한 포괄적인 보안 프레임워크의 중요성을 강조하고 있다.
▪데이터 유출 및 조작으로부터 데이터 보호에 중점: 데이터 유출(53.3%)은 API 런타임 보호에 있어 아태지역 기업들이 가장 우선적으로 고려하는 사항으로, 민감한 정보 보호가 시급하다는 것을 보여준다. 또한 업계 전반적으로 데이터 무결성 유지(27.7%)와 탐지 및 마스킹 기술을 통한 민감한 정보 보호(23.4%)가 강조되고 있다.
▪고위험 API를 발견하고 API 사용량을 모니터링하는 데 중점: 아태지역 기업들은 민감한 데이터나 취약점을 노출할 수 있는 API를 식별하는 것(63%)과 침해 또는 오용 상태를 확인할 수 있는 비정상적인 패턴을 감지할 수 있는 API 사용에 대한 이해(56%) 등에 가장 민감한 반응을 나타냈다. 좀비 API, 섀도우 API 등은 각각 42%와 39%로 비교적 우선순위가 다소 낮았으나 여전히 중요한 사항으로 인식하고 있다.
모한 벨루 CTO는 “API 보안은 그 어느 때보다 중요하지만 그 어느 때보다 복잡하다. 보고서의 결과는 더 많은 기업들이 API 라이프사이클을 따라 시프트-레프트를 구현하는 동시에 여전히 쉴드-라이트 또한 시도하고 있음을 분명히 보여준다. F5는 고급 API 코드 테스트 및 원격 분석 기능을 F5 분산 클라우드 서비스에 도입해 업계에서 가장 포괄적이면서 AI를 지원하는 API 보안 솔루션을 만들고 있다. F5 분산 클라우드 서비스는 API 디스커버리, 테스트, 상태 관리, 런타임 보호를 모두 단일 플랫폼에서 제공할 수 있으므로 기업은 코드에서 클라우드에 이르기까지 진정한 가시성과 보안을 확보할 수 있다" 강조했다.
