.gif)
외부 개발자들 초대하기 위한 API의 공개성, 해커도 꼬여
대부분 기업들 관리 시스템 있으나, 눈 가리고 아웅 수준
▲ 팥빙수의 핵심은? 팥? 미숫가루? 과일?
[보안뉴스 문가용] 앱 위주의 경제 생태계가 점점 확산되고 있는 가운데 애플리케이션 프로그래밍 인터페이스(API)의 중요도 역시 높아져가고 있다. 많은 기업들이 API 보안 전략을 마련해 도입하기 위해 애쓰고 있는데, 그 현황을 디스틸 네트웍스(Distil Networks)가 조사했다. API라는 것이 애초에 공개되는 것을 목적으로 만들어지기 때문에 어떤 위협으로 되돌아올지 예측하는 것이 불가능하며, 그래서 단 하나의 만능 API 보안전략이라는 건 존재할 수 없다.
“API를 활용하면 애플리케이션의 호환성이 높아집니다. 그래서 여러 플랫폼에서 운영이 가능해지죠. 개발자 커뮤니티에서 API에 대한 새로운 정보와 혁신, 놀라운 아이디어들이 매일처럼 올라오고 있고, 이를 활용하기 위한 기업들의 투자 역시 늘어나고 있습니다.” 디스틸 네트웍스의 요청으로 이번 연구조사를 진행한 오범(Ovum)의 수석분석가인 릭 터너(Rik Turner)의 설명이다. “그러나 양지 뒤는 항상 음지이기 마련이죠. 개발자들의 활용을 위해 활짝 열어두다 보니 해커들도 꼬이기 시작했습니다. API의 범죄 활용도 점점 개발되고 있는 실정이죠.”
이번 설문은 북미, 유럽, 아시아 지역 100개 기업을 대상으로 진행되었으며, 이중 40%는 25개 이상의 API를 유지하거나 만들어 공개하고 있다고 밝혔다. 50개 이상이 되는 기업은 20%에 달했다. 설문에 응한 기업들 대부분은 개발한 API를 대중에게 공개한다고 밝혔는데, 이는 외부 개발 생태계와의 연결 및 파트너 발굴 등에 API가 활용된다는 걸 생각해봤을 때 그리 놀라운 사실은 아니다.
다행인 건 응답 기업의 87%가 API 관리 시스템을 갖추고 있다고 답했다는 사실이다. 하지만 관리 시스템의 효율 및 성능의 측면에서는 그리 대단치 못하다는 사실 또한 드러났다. 63%가 ‘자체적으로 개발한 API 관리 시스템’을 사용 중인 것으로 나타났는데, 자체 관리 시스템이 외부 전문업체가 만든 플랫폼보다 성능적인 측면에서 더 나을 수가 없는 게 대부분이기 때문이다.
보통 API 보안의 가장 기본은 비율 제한(rate limiting)을 실시하는 것이라는 게 중론이다. 그런데 이 기능을 실제로 갖추거나 가동한 시스템은 절반도 되지 않았다. API 비율 제한 작업을 하느라 한 달에 20시간 이상을 투자한다고 응답한 기업은 2/3 수준에 그쳤다. 이들 모두 자체 시스템으로 API를 관리한다는 응답자들이었다.
한편 API의 공격 패턴으로는 크게 네 가지가 꼽히는데, 악성 API, API 개발 오류, 자동 API 스크래핑, 웹/모바일 API 하이재킹이다. 하지만 이미 널리 알려진 이 네 가지 공격에 대응할 수 있는 시스템을 갖춘 기업은 25%도 채 되지 않은 것으로 나타났다. “대부분 기업들이 API 관리 플랫폼이란 것을 사용하긴 합니다. 그리고 그 관리 플랫폼들도 어느 정도 보안 기능을 제공하긴 해요. 하지만 ‘조치를 취하고 있다’는 자기만족을 주는 수준에 그치고 있습니다. 진심 API를 보호하고 싶은 걸까 하는 의심이 들 정도입니다.”
API 보안에 있어 가장 근본적인 문제는 ‘책임’이라는 개념이 정립되지 않고 있다는 것이다. API 보안에 대해 가장 큰 책임을 가지고 있는 사람은 개발자라고 응답한 비율이 47%로, 보안 담당자에게 손가락질이 가는 경우가 다른 분야보다 적은 편이다. 하지만 그만큼 API 개발이 끝나고 적용될 때까지 보안 담당자가 관여하는 비율 또한 낮은 편으로 나타났다. 아직 정보보안 전문가와 API가 서로 자기의 영역을 제대로 겹치고 있지 못하다는 뜻이다.
“CIO들과 CISO들이 ‘애플리케이션 보안’에 집중한다고 할 때 제일 먼저 관심을 두어야 할 부분은 현재 API 보안입니다. 특히 지금 보안 시스템이 효율적인가 눈 가리고 아웅일 뿐인가를 판명해야겠죠. 지금처럼 보안 책임을 개발자에게 남길 거라면 개발 작업에 들어가기 전에 보안 담당자들에게 상담을 받도록 업무 절차를 바꿔야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
대부분 기업들 관리 시스템 있으나, 눈 가리고 아웅 수준
▲ 팥빙수의 핵심은? 팥? 미숫가루? 과일?
[보안뉴스 문가용] 앱 위주의 경제 생태계가 점점 확산되고 있는 가운데 애플리케이션 프로그래밍 인터페이스(API)의 중요도 역시 높아져가고 있다. 많은 기업들이 API 보안 전략을 마련해 도입하기 위해 애쓰고 있는데, 그 현황을 디스틸 네트웍스(Distil Networks)가 조사했다. API라는 것이 애초에 공개되는 것을 목적으로 만들어지기 때문에 어떤 위협으로 되돌아올지 예측하는 것이 불가능하며, 그래서 단 하나의 만능 API 보안전략이라는 건 존재할 수 없다.
“API를 활용하면 애플리케이션의 호환성이 높아집니다. 그래서 여러 플랫폼에서 운영이 가능해지죠. 개발자 커뮤니티에서 API에 대한 새로운 정보와 혁신, 놀라운 아이디어들이 매일처럼 올라오고 있고, 이를 활용하기 위한 기업들의 투자 역시 늘어나고 있습니다.” 디스틸 네트웍스의 요청으로 이번 연구조사를 진행한 오범(Ovum)의 수석분석가인 릭 터너(Rik Turner)의 설명이다. “그러나 양지 뒤는 항상 음지이기 마련이죠. 개발자들의 활용을 위해 활짝 열어두다 보니 해커들도 꼬이기 시작했습니다. API의 범죄 활용도 점점 개발되고 있는 실정이죠.”
이번 설문은 북미, 유럽, 아시아 지역 100개 기업을 대상으로 진행되었으며, 이중 40%는 25개 이상의 API를 유지하거나 만들어 공개하고 있다고 밝혔다. 50개 이상이 되는 기업은 20%에 달했다. 설문에 응한 기업들 대부분은 개발한 API를 대중에게 공개한다고 밝혔는데, 이는 외부 개발 생태계와의 연결 및 파트너 발굴 등에 API가 활용된다는 걸 생각해봤을 때 그리 놀라운 사실은 아니다.
다행인 건 응답 기업의 87%가 API 관리 시스템을 갖추고 있다고 답했다는 사실이다. 하지만 관리 시스템의 효율 및 성능의 측면에서는 그리 대단치 못하다는 사실 또한 드러났다. 63%가 ‘자체적으로 개발한 API 관리 시스템’을 사용 중인 것으로 나타났는데, 자체 관리 시스템이 외부 전문업체가 만든 플랫폼보다 성능적인 측면에서 더 나을 수가 없는 게 대부분이기 때문이다.
보통 API 보안의 가장 기본은 비율 제한(rate limiting)을 실시하는 것이라는 게 중론이다. 그런데 이 기능을 실제로 갖추거나 가동한 시스템은 절반도 되지 않았다. API 비율 제한 작업을 하느라 한 달에 20시간 이상을 투자한다고 응답한 기업은 2/3 수준에 그쳤다. 이들 모두 자체 시스템으로 API를 관리한다는 응답자들이었다.
한편 API의 공격 패턴으로는 크게 네 가지가 꼽히는데, 악성 API, API 개발 오류, 자동 API 스크래핑, 웹/모바일 API 하이재킹이다. 하지만 이미 널리 알려진 이 네 가지 공격에 대응할 수 있는 시스템을 갖춘 기업은 25%도 채 되지 않은 것으로 나타났다. “대부분 기업들이 API 관리 플랫폼이란 것을 사용하긴 합니다. 그리고 그 관리 플랫폼들도 어느 정도 보안 기능을 제공하긴 해요. 하지만 ‘조치를 취하고 있다’는 자기만족을 주는 수준에 그치고 있습니다. 진심 API를 보호하고 싶은 걸까 하는 의심이 들 정도입니다.”
API 보안에 있어 가장 근본적인 문제는 ‘책임’이라는 개념이 정립되지 않고 있다는 것이다. API 보안에 대해 가장 큰 책임을 가지고 있는 사람은 개발자라고 응답한 비율이 47%로, 보안 담당자에게 손가락질이 가는 경우가 다른 분야보다 적은 편이다. 하지만 그만큼 API 개발이 끝나고 적용될 때까지 보안 담당자가 관여하는 비율 또한 낮은 편으로 나타났다. 아직 정보보안 전문가와 API가 서로 자기의 영역을 제대로 겹치고 있지 못하다는 뜻이다.
“CIO들과 CISO들이 ‘애플리케이션 보안’에 집중한다고 할 때 제일 먼저 관심을 두어야 할 부분은 현재 API 보안입니다. 특히 지금 보안 시스템이 효율적인가 눈 가리고 아웅일 뿐인가를 판명해야겠죠. 지금처럼 보안 책임을 개발자에게 남길 거라면 개발 작업에 들어가기 전에 보안 담당자들에게 상담을 받도록 업무 절차를 바꿔야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
