API 보안의 중요성에 대해 알고 계신가요?

안녕하세요, BALL입니다!
여러분 혹시 API에 대해 들어보셨나요?
그렇다면 API 보안이 무엇이고,
왜 중요한지 알고 계신가요?
 

한국특허전략개발원에 블로그에 따르면,

"2320 글로벌 기술 전망 발표/질문-향후 12개월간
빅데이터와 분석 분야의
최우선으로 투자할 분야는 무엇입니까?"에 대해
정보 기술 분야 글로벌 리더 1,700명을 대상으로
설문조사를 실시하였을 때 (조사기관: 레드햇)
가장 많은 비율을 차지한 답변은
'데이터 보안'이었습니다.
디지털 보안 강화는 아주 중요한 문제로
지속적으로 논의되고 있습니다.
 
따라서, 이번 글에서는
API와 API보안에 대해 이야기해보고자 합니다!
 

1. API란?

API
: Application Programming Interface
 
API는 바로 응용 프로그래밍 인터페이스를 의미합니다.
한 마디로 두 소프트웨어 구성 요소가
상호작용할 수 있도록 돕는
연결 매개체라고 말할 수 있어요.
 
API의 사전적 정의는 다음과 같습니다.

API는 Application Programming Interface(애플리케이션 프로그램 인터페이스)의 줄임말이다. API의 맥락에서 애플리케이션이라는 단어는 고유한 기능을 가진 모든 소프트웨어를 나타낸다. 인터페이스는 두 애플리케이션 간의 서비스 계약이라고 할 수 있다. 이 계약은 요청과 응답을 사용하여 두 애플리케이션이 서로 통신하는 방법을 정의한다. (출처 : Amazon.com)

사실 API 사전적 정의로는
개념을 이해하기가 쉽지 않습니다.
그럼 비유를 들어볼까요?
 
API에 관하여 종종 찾아볼 수 있는 비유로는
레스토랑의 웨이터가 있습니다.

API는 점원으로서 가게의 메뉴를 손님에게 보여주고,
손님의 주문을 주방에 전달하고,
주방에서 나온 메뉴를 다시 손님에게 제공합니다.
 
추가로 API가 어떻게 활용되는지 살펴보면
그 개념을 더 잘 이해할 수 있습니다.
우리가 여행을 가기 위해 비행기 표를 예매할 때도
맛집을 찾기 위해 지도 애플리케이션을 사용할 때도
이 두 가지 경우 역시 API 활용 사례로 볼 수 있습니다.
 
여러분 앞에 메뉴판을 들고 서 있는
웨이터를 상상해보세요.
API는 요구에 따라 서버와 데이터베이스를 오가며
여러분이 요청한 응답을 가져다줄 겁니다!

 
 

2. API 보안이란?

 

그렇다면 API 보안은 왜 필요하고,
어떤 면에서 중요할까요?
 
가장 큰 이유는
API에 대한 접근이 쉽고 광범위하다는 점입니다.
많은 조직들이 API를 공개하고,
파트너나 외부 개발자들은
이를 소프트웨어 플랫폼과 앱 환경에 활용하게 됩니다.
 
또한, 구조와 정보를 알아보기 쉽고
웹 공격 요소들로 이루어져 있기 때문에 
공격자들의 대상이 되기 쉽습니다.
 
그런데, API가 손상되거나 노출이 되면
데이터 보안이 유출되는 사고의
큰 원인이 될 수 있기 때문에
이에 대한 보안을 강화하는 것이
무조건적으로 필요한 것입니다.

최근에는 위 사진의 예시처럼
API 보안 체크리스트도 다양하게 제공하고 있습니다.
 

3. API 보안의 취약점은 무엇일까요?

API 보안을 강화하기 위해서는 
취약점을 제대로 아는 것도 중요하겠죠?

 

사이버 보안 연구 그룹인 OWASP는
안전하지 않은 API에 내재된 주요 위험을 설명하는
API 보안 상위 10가지(API Security Top 10)를
밝혔습니다.
(클릭하면 OWASP 원본 사이트로 이동합니다.)
API와 관련된 주요 위험을 아는 것은
보안 모범 사례를 알리는 데 중요합니다. 

 

2019년에 발표한 API 보안 상위 10가지와
비교해 보면 여전히 똑같은 것도 있고,
추가되거나 삭제된 내용도 있습니다.
또한, 보안 위협이 구체화되면서
이름과 내용이 수정된 부분도 있습니다. 
 
OWASP API Top 10 2023에
새로 추가된 내용은 다음 세 가지입니다.

1) 민감한 비즈니스 흐름에 대한 무제한 액세스
2) SSRF(서버 측 요청 위조)
3) API의 안전하지 않은 소비
 
Unrestricted Access
to Sensitive Business Flows는
자동화된 위협이 증가하였기 때문에
위험요소가 됩니다.
API에 액세스 하여 속도제한을
쉽게 우회할 수 있다 보니,
구매자가 합당한 방법으로 접근하기 이전에
제품을 구매하고 높은 가격에 재판매를 하는 방식으로
악용하는 것이 하나의 예시입니다.
 
SSRF 공격은 최근 몇 년 동안 크게 증가하였습니다.
예를 들어, 공격자가 악의적인 의도를 가지고
검증되지 않은 URL로
시스템을 연결할 때 발생합니다.  
 
Unsafe Consumption of APIs와 관련해서는
개발자가 사용자 입력보다
타사 API에서 받은 데이터를
더 신뢰하는 경향이 있는데요,
이에 따라 더 약한 보안 표준을 채택합니다.
그렇기 때문에 API를 손상시키려는 이들은
대상 API를 직접 손상시키려는 대신
통합된 타사 서비스를 공격하는 전략을 선택합니다.
 
지금까지 API 보안 위험의 상위 10가지 요소를
살펴보았습니다.
이는 디지털 보안 강화에 대한 인식을
더욱 확장하여 보호해야 할 함의점을 이야기합니다.
 API 보안을 강화하기 위해
여러 솔루션들이 존재하는데요,
이러한 보안 솔루션에 대해 알아보고
적절한 솔루션을 채택하여
데이터 보안을 강화하는 것 또한
앞으로의 중요한 과제가 될 것입니다.
 

4. 마치며

최근 몇 년에 걸쳐 다양한 산업 분야에서
통합 서비스 제공을 위한 움직임을 보여왔습니다.
이러한 동향의 단점은
서비스의 편의가 커질수록
위험도 또한 커진다는 데 있습니다.

 

여러 이해관계가 얽혀 있는 만큼
가장 신경 써야 할 지점은 데이터 보안일 것이며
오늘은 그중에서도 API에 관해 이야기해보았습니다.
 
요약해보자면 다음과 같습니다.
 
API는
서버와 데이터베이스,
애플리케이션과 클라이언트를 오가는 웨이터입니다.
하지만 그 접근성 때문에
보안 공격의 대상이 되기 쉽습니다.
 

 
위에서 다루었듯이
API 보안 체크리스트와
사이버 보안 연구그룹인 OWASP가 밝힌
API에 내재된 주요 위험 10가지를
다시 한 번 살펴보세요!
 
이 글이,
읽어주신 여러분께,
API와 데이터 보안에 관해
깊게 생각해보는 계기가 되었으면 좋겠습니다.
 
긴 글 읽어주셔서 감사합니다!