디지털 시대의 빠질 수 없는 요소 API...보안 개념 심어줘야
[보안뉴스 문가용 기자] 작년에 발표된 OWASP Top 10 취약점 목록에서 특이한 점은 덜 보호된 API라는 항목이 최초로 순위권에 진입했다는 것이다. 그로부터 정말로 API 침해 공격이 심각한 수준으로 올라오기 시작했다. 2018년만 하더라도 API 보안을 제대로 하지 못해 발생한 대규모 데이터 유출 사고가 최소 6건이다. 작년의 티모바일, 인스타그램, 맥도널드에서 발생한 사건은 셈에 포함시키지 않고서도 말이다.
[이미지 = iclickart]
이 6건 중 하나는 이번 주 세일즈포스(Salesforce)에서 발생했다. 마케팅 클라우드(Marketing Cloud) 서비스 내 API에서 버그가 발견됐는데, 이 때문에 고객 정보가 다수 유출됐을 가능성이 발견됐다. 세일즈포스는 이 같은 사실을 고객들에게 급히 전파했다. 한 고객의 계정에서 다른 고객의 계정으로 데이터를 옮기거나, 다른 고객의 계정에 데이터를 쓸 수 있게 해주는 버그였다.
API 보안 문제는 계속해서 심각한 수준으로 대두되고 있다. 지난 달만 하더라도 모바일 결제 앱인 벤모(Venmo)에서 수천만 건의 거래 정보를 노출시키고 있었다는 보도가 나왔다. API의 보안을 제대로 하지 못해서였다. 그보다 좀 전인 올 봄, 파네라 브레드(Panera Bread)라는 제과 브랜드의 API도 역시 튼튼치 못한 보안 때문에 모바일 사용 고객 3천 7백만 명의 이름, 이메일 주소, 거주지 주소, 생년월일, 신용카드 마지막 네 자리 수를 평문으로 유출시켜버렸다.
API 보안 문제는 딱히 조직의 종류나 산업을 가리지 않고 발생한다. 지난 달 미국 보건의료정보관리시스템협회(HIMSS)는 API 익스플로잇이 의료 산업 내 조직들 사이에서 커다란 문제로 부각되고 있다는 내용의 보고서를 발표했다.
올해 초에는 보안 업체 임퍼바(Imperva)가 산업 불문 조직들의 2/3가 API를 대중에게 공개하고 있다는 내용의 발표를 하기도 했다. 그렇게 했을 때 외부의 파트너사나 고객들이 쉽게 조직의 소프트웨어 플랫폼과 앱 생태계에 접속할 수 있게 된다. 그러나 이런 조직들 중 3/4 이상이 웹 애플리케이션만큼 철저하게 API를 보호하지 않는 것으로 나타났다. API 보안은 웹 앱 보안보다 인식에서부터 훨씬 뒤떨어져 있다.
이 임퍼바의 보고서에 의하면 현재 조직들은 평균 363개의 API를 관리하고 있다고 한다. API를 통한 유기적인 상호작용은 현재 개발자들 사이에서 커다란 유행처럼 번지고 있다. 데브옵스가 활성화되기 시작하면서 마이크로서비스 등과 같은 개념이 등장하고 또 발전하고 있기 때문이다. API가 있어 보다 많은 기능을 편리하게 삽입하는 게 가능해진다.
현재 애플리케이션 개발 세계는 ‘오픈 커넥티비티’에 대한 의존도를 높이고 있는 추세다. 이를 통해 데이터를 공유하고, 그럼으로써 앱과 데이터 등의 상호작용성을 높여 사용자가 편리해지게 만드는 것이다. 이럴 때 API는 앱과 앱, 서비스와 서비스 사이를 이어붙이는 역할을 해준다. 그래서 기업들의 61%가 API 관리가 사업 전략에서 대단히 중요한 위치를 차지하고 있다고 말하는 것이다.
클라우드 엘레멘츠(Cloud Elements)의 API 담당자인 킨 레인(Kin Lane)은 “2018년에는 각 사업체들의 API 사용이 더 빈번해질 것”이라고 예상하며 “디지털 시대에 API의 중요성을 간파하고 투자를 시작한 조직들은 API의 효율성을 맛본 상태에서 그 전의 개발 및 데이터 공유 체계로 되돌아갈 수 없다”고 말한다. “API의 장점은 정말 무수하게 많고, 지금도 더 발굴되고 있습니다. API는 앞으로도 더 많이 사용될 예정입니다.”
그렇다는 건 API로 인한 보안 사고들이 더 발생할 거라는 뜻이 되기도 한다. 가트너(Gartner)의 조사에 의하면 2022년 즈음에는 API 침해와 남용이 데이터 유출의 가장 큰 원인이 될 것이라고 한다. “API 보안이라는 개념을 빨리 심어줘야 할 때입니다. 마치 정보보안, 웹 보안, 시스템 보안 등이 얼마나 중요한지 계속해서 알려왔던 것처럼요.”
3줄 요약
1. API, 디지털화 되어가는 시대에 앱과 앱, 데이터와 데이터 연결해주는 다리.
2. API의 효율성 맛보면 그전 시스템으로 되돌아가기 어려울 정도.
3. 하지만 API를 ‘보호해야 한다’는 개념 없어 각종 사건사고 터지는 중.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>