클라우드 시대에 어쩌면 우리가 혹시 놓치고 있는 것, API

2022-05-20 17:10
  • 카카오톡
  • 네이버 블로그
  • url
큐버네티스 API 서버의 대다수가 간단한 검색으로 접근 가능한 상태다. API는 클라우드 환경의 필수불가결 요소로, 보안 업계의 관심이 절실히 필요하다. 이미 해커들은 API를 공략하는 중이다.

[보안뉴스 문가용 기자] 셰도우서버재단(Shadowserver) 재단의 전문가들이 큐버네티스 API 서버 38만 대가 인터넷에 노출되어 있다는 사실을 발견해 세상에 알렸다. 38만 대라면 온라인에서 관찰 가능한 전 세계 큐버네티스 API 인스턴스의 84%라고 한다. 


[이미지 = utoimage]

이를 알아내기 위해 셰도우서버재단은 HTTP GET 요청문을 사용해 IPv4 인프라를 조사했다고 한다. 조사 단계에서 침투적인 방법을 사용하지는 않았고, 그러므로 정확히 어느 수준으로 노출되어 있는지는 알아낼 수 없었다고 한다. 다만 큐버네티스 API 서버를 공략해 보려는 해커들이 가장 먼저 해봄직한 조사에 이미 후보로 등록될 만한 것이 현존하는 큐버네티스 API 서버의 대부분이라는 것이 이번 조사의 결론이다.

“저희가 발견한 인스턴스들이 전부 취약하고, 전부 공격에 심각한 수준으로 노출되어 있다고 말할 수는 없습니다. 하지만 불필요하게 공격의 구실을 만들어 주고 있는 것은 사실입니다. 민감한 부분을 굳이 인터넷에 노출시킬 필요는 전혀 없는데 말이죠. 게다가 버전과 빌드 정보는 지금 상태로 모두 노출되어 있습니다.” 셰도우서버재단의 설명이다.

참고로 노출된 서버가 가장 많은 곳은 미국이었다. 38만 개 중 53%인 201,348개가 미국에서 발견됐다. 그 외에 유럽 국가들 쪽에서도 상당 수 API 서버가 노출된 채로 사용되고 있었다. 마침 이 지역들에서 API 보안 문제가 점점 심각하게 대두되는 시점에 나온 보고서라고 볼 수 있다.

API를 통한 데이터 침해 사건들
보안 업체 설트시큐리티(Salt Security)도 최근 API 보안 상태와 관련된 보고서를 발표한 바 있다. 설트시큐리티가 조사한 바에 의하면 조직들의 34%가 API 보안 전략을 전혀 갖추지 않고 있었다고 하며, 27%는 API 구성 요소들에 대한 최소한의 스캔과 점검만 가끔 하는 수준이었다고 한다. 또 다른 보안 업체 노네임시큐리티(Noname Security)도 최근 비슷한 조사를 했는데, 41%의 조직이 지난 1년 동안 API 관련 보안 사고를 겪은 바 있다는 것을 알아냈다고 한다. 이중 63%는 데이터 침해 및 데이터 손실을 실제로 겪었다.

현대 애플리케이션 및 클라우드 인프라에 있어서 API의 사용 빈도는 점점 높아지고 있고, 그에 따라 API를 통한 공격 경로도 점점 넓어지고 있는 상황이다. 아니, 이미 어마어마하게 큰 수준이라고 해도 무방하다. 451리서치가 조사한 바에 따르면 대기업들은 평균 2만 5천 개의 API를 운영하고 있다고 할 정도니 말이다. 그리고 그 숫자는 빠르게 늘어나는 중이다. 가트너는 3년이 지나더라도 API들의 50%가 관리되지 않은 상태일 거라고 예측하기도 했었다. 기업이 API 보안에 대해 게을러서가 아니라 그만큼 API가 폭발적으로 늘어날 것이기 때문이다.

셰도우서버가 이번에 찾아낸 큐버네티스 생태계의 문제는 이러한 여러 전문 단체들의 연구 및 조사 결과를 뒷받침한다. 

보안 업체 스나이크(Snyk)의 수석 아키텍트인 조시 스텔라(Josh Stella)는 “모든 클라우드 관련 침해 사고는 제어 영역에 따른 침해로부터 발생한다는 패턴을 따른다”고 설명한다. “제어 영역이란 다름 아닌 API입니다. 클라우드의 환경을 설정하고 운영하는 이 API들은 클라우드 컴퓨팅에서 가장 중요한 요소 중 하나입니다. 서로 다른 애플리케이션들이 호환하여 작동하도록 연결시켜주는 아교이자 다리 역할을 한다고 볼 수 있거든요. 하지만 지금은 보안 업계보다 해커들이 이 API에 더 많은 관심을 보이고 있습니다.”

가트너 역시 “점점 확대되고 있는 클라우드 기반 환경에서 API들은 가장 중요한 요소가 되어가고 있다”고 말한다. “애플리케이션의 빠른 개발과 서비스의 지속적 배포를 위해서 이제 API를 빼고 말할 수는 없는 상태입니다. 그리고 그 중요성을 해커들이 먼저 알기 시작했고, 보안 업계는 이제 조사를 끝낸 정도입니다. 앞으로 API는 더 중요해질 것이고, 심각한 보안 문제거리가 될 것입니다. API 보안에 대한 새로운 방안들이 마련되어야 합니다.”

3줄 요약
1. 큐버네티스 API 서버의 대다수가 인터넷에 불필요하게 노출되어 있음.
2. 인터넷에 불필요하게 노출되어 있으니 불필요한 공격 표면이 다량으로 생겨난 형국.
3. API는 앞으로 더 중요한 요소가 될 테니 지금부터라도 보안 대응책 마련하는 게 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니넷

    • 인콘

    • 현대틸스
      팬틸트 / 카메라

    • 이노뎁

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • 스누아이랩

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 비전정보통신

    • 엘텍코리아

    • 쿠도커뮤니케이션

    • 위트콘

    • 이화트론

    • 지오멕스소프트

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 다후아테크놀로지코리아

    • 보이저아이엔씨

    • 슈프리마

    • 미래정보기술(주)

    • 송암시스템

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 아이쓰리시스템(주)

    • 성현시스템

    • 보쉬빌딩테크놀러지

    • 동양유니텍

    • 트루엔

    • 지에스티

    • A3시큐리티

    • (주)우경정보기술

    • (주)씨유박스

    • 투윈스컴

    • 디비시스

    • 에펠

    • AIS테크놀러지

    • 주식회사 에스카

    • 아카마이 코리아

    • 엔시큐어 주식회사(eNsecure Inc.)

    • 파이오링크

    • 펜타시큐리티시스템

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엔시드

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 다원테크

    • 탄탄코어

    • 이스트컨트롤

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)일산정밀

    • 구네보코리아주식회사

    • 코스템

    • (주)넥스트림

    • 메트로게이트
      시큐리티 게이트

    • 모스타

    • 대산시큐리티

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 케이컨트롤

    • 디알에스

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기