API 공격, 웹 공격과 달리 한 번의 공격으로 중요 정보에 접근 및 탈취 가능
ML 엔진 채택한 API 솔루션, 영역 한계 넘어 모든 보안 위협 컨트롤 가능
[보안뉴스 김영명 기자] 최근 웹 애플리케이션과 API(Application Programming Interface, 응용 프로그래밍 인터페이스) 공격이 크게 증가하고 있는 것으로 분석됐다. API 공격이 증가하는 주된 원인은 기업의 데이터 보관이나 애플리케이션을 클라우드로 이전하면서 새로운 취약점 등의 보안 위협이 등장하고 있기 때문이다. 씨디네트웍스의 분석에 따르면, 지난해 1년 동안 웹 애플리케이션 공격은 2021년에 비해 96.35%가 증가했다. 또한, 지난 1년간 모니터링한 봇 공격은 총 1,631억 8,500만 건으로, 2021년과 비교해 1.93배 증가했다.
[이미지=gettyimagesbank]
지난해에는 아틀라시안 컨플루언스(Atlassian Confluence) 취약점(CVE-2022-26134), 프록시낫셸(ProxyNotShell) 취약점(CVE-2022-21040), 스프링4셸(Spring4Shell) 및 스프링셸(SpringShell) 취약점(CVE-2022-22965) 등 다양한 취약점이 등장하면서 기업들에게 큰 위협이 되기도 했다. 이에 본지에서는 최근 API 공격 기법의 새로운 유형은 무엇이 있는지 알아보고, 이에 대응하기 위한 국내 보안기업들의 주요 솔루션도 살펴봤다.
OWASP(Open Worldwide Application Security Project, 오픈소스 웹 애플리케이션 보안 프로젝트) 재단은 2019년에 API 보안위협 TOP 10(OWASP API Security Top 10)을 처음 발표했으며, 올해 두 번째 버전을 공개했다. 올해의 TOP 10은 ①중단된 객체 수준 권한 부여 ②손상된 인증 ③손상된 객체 속성 수준 권한 부여 ④무제한 자원 소비 ⑤손상된 기능 수준 인증 ⑥민감한 비즈니스 흐름에 대한 무제한 액세스 ⑦서버 측 요청 위조 ⑧보안 구성 오류 ⑨부적절한 재고 관리 ⑩안전하지 않은 API 사용 등이다.
최근 API 공격 동향, 보안 인증 우회로 기업 및 고객정보 탈취
API와 관련된 보안 위협은 오래 전부터 꾸준히 있어 왔지만, 최근 동향은 인증과 권한을 우회하거나 이를 도용해 기업의 중요 정보나 고객 정보를 탈취하는 게 주를 이루고 있다. API의 고유 특성을 보면, 과거 ‘웹 공격’은 UI를 통해 단계적으로 로그인을 진행해 중요한 정보가 모여 있는 페이지에 접근하는 방식이었다면, ‘API 공격’은 1차 접근 권한인 로그인 과정만 거치면 곧바로 내부 정보에 접근할 수 있도록 된 구조이기 때문에 한 번의 공격만으로 중요한 정보를 손쉽게 탈취할 수 있다. ‘API 로직’이란 로그인이 가능한, 권한을 받은 자만 데이터에 접근하는 것을 의미하며, API 공격은 로직을 깨고 권한을 넘어선 접근과 이로 인한 공격이 가능하다.
[이미지=gettyimagesbank]
최근 API 보안 솔루션은 기존 기능에 머신러닝 엔진을 채택해 API를 학습하며 고유 로직을 확인해 이를 넘어서는 공격을 막을 수 있다. 특히, 학습 알고리즘에 출력물을 미리 제공하지 않고 스스로 찾아내는 비지도 학습을 적용한다. API를 분류할 때는 알고 있는 API에서 접근하게 되는데, 이 같은 방식으로는 실제 API를 분석했을 때 관리 영역에 포함되지 않는 API도 다수 발견되기 때문이다. 관리범위 밖에 있는 API 공격도 국내외 곳곳에서 발생하고 있기 때문에 관리되고 있는 API, 관리되지 않는 API 모두 챙기고 관리하는 것이 중요하다.
지난해 가트너(Gartner)가 발표한 API 보안 리포트는 현재 출시돼 있는 API 주요 기능으로 △가시화 : 어떤 API를 사용하고 있는지 인식하는 것 △이상징후 : 특정한 공격이나 우회접근을 통한 비인가자의 공격이 없는지를 파악하는 것 △조치 프로세스 : API는 개발보안과 연계돼 있어 코드 수정이나 아키텍처 변경 등 위협자 차단 과정을 자동화하거나 유기적으로 연결하고 개선하는 행위 △개발 테스트 : 시스템 가동 전 모의해킹 공격 등 런타임 테스트를 개발 플랫폼과 연결하거나 유기적인 작동을 위한 자동화 행위 등을 꼽았다.
국내 주요 보안기업의 API 보안 솔루션
▲엔시큐어 로고[로고=엔시큐어]
엔시큐어(eNsecure)의 ‘노네임시큐리티(Noname Security)’는 API 전용 보안 솔루션이다. 지난해 9월, 오스트레일리아에서 두 번째로 큰 통신사인 옵터스(Optus)에서 해킹으로 약 980만명의 개인정보가 유출됐다. 옵터스 개인정보 유출 사고는 API 인증 문제를 인지하지 못해 발생한 사고였다. 노네임시큐리티 솔루션은 API 보안에서 사용자가 현재 어떤 API를 사용하는지 잘 알고 있어야 하는 ‘가시성’, 특정한 공격이나 우회접근을 통한 비인가자의 공격을 파악하는 ‘이상징후 및 우회접근 탐지’, 앱 개발 과정에서 개발보안과 연계된 코드 수정이나 아키텍처 변경 등 보안 또는 사용자 관점에서 특정 상대방 차단 정책 등에 대해 필요한 ‘조치 및 개선’, API 개발 후 모의해킹 공격 등 솔루션 적용 전 ‘테스트’를 진행하는 것이다.
앱 보안에서는 앱 설계 개발부터 보안, 보안운영, 관제 등 서로 다른 부서들과 연계돼 있어 각각의 요소가 전체 시스템과 유기적으로 움직일 수 있는 체계가 필요하다. 노네임시큐리티는 API 보안에서 ‘가시화’, ‘이상징후 및 우회접근 탐지’, ‘조치 및 개선’, ‘개발 테스트’ 등 네 가지를 모두 다 적용하고 있다.
▲파이오링크 로고[로고=파이오링크]
파이오링크는 올해 AWS 클라우드, 네이버 클라우드 등 웹 클라우드 WAP(Web Application Proxy)가 모두 등록돼 클라우드 상에서도 웹 보안과 API 보안을 모두 수행하고 있다. 파이오링크의 API 보안을 위한 솔루션은 ‘파이오링크 웹프론트(PIOLINK WEBFRONT-K/KS)’로 크게 ‘웹프론트-K’는 하드웨어, ‘웹프론트-KS’는 소프트웨어 타입의 WAAP로 나뉜다. 이 제품은 2023년 OWASP API TOP 10에 대응하고, KISA C-TAS 및 CVE에 대응하며, mTLS(양방향 TLS) 지원 및 API 보안을 위한 핵심 기술을 지원한다.
파이오링크 웹프론트 K/KS 제품은 로드밸런싱, 캐싱, 압축 SSL(Secure Sockets Layer) 가시성, QoSQuality of Service), 앤서블(Ansible) 등을 제공한다. 특히, 로드밸런싱, 캐싱, 압축은 애플리케이션 전송 컨트롤러(Application Delivery Controller, ADC) 시장에서 네트워크 가용성과 성능이 뛰어나다.
▲펜타시큐리티시스템 로고[로고=펜타시큐리티시스템]
펜타시큐리티시스템에서 제공하는 ‘와플스(WAPPLES)’는 ‘WAAP(Web Application and API Protection)’ 솔루션으로 실시간 API 형식 검증, 즉 API를 통한 통신 내용의 위험성 탐지 및 대응 기능을 제공한다. 과거의 표준 XML과 현재 웹 API의 중심인 JSON(JavaScript Object Notation) 양식에 대응하는데, 특히 양식 자체로는 스키마, 데이터 유효성 검사의 기준이 따로 없는 JSON 형식 검증의 고성능과 안전성을 강조하고 있다. 또한, 최근 클라우드 환경의 스크립트 언어로 파이썬 활용도가 높아지면서 사용이 증가하고 있는 YAML(YAML Ain′t Markup Language) 형식도 검증할 수 있다.
▲아카마이코리아 로고[로고=아카마이코리아]
또한, 아카마이는 API 공격에서 앱을 보호하는 방법으로 △토큰을 사용하기 전에 미리 정의된 알고리즘을 사용해 토큰 검증 △인증 환경 및 각각의 애플리케이션별로 별도의 비공개 키 사용 △컴퓨팅이 적정한 경우에는 길고 높은 엔트로피 프라이빗 키와 함께 비대칭 알고리즘 사용 △KID(키 ID) 매개변수에 대해 생성된 고유 식별자 사용 △중요한 데이터를 페이로드에 공개하지 않고 데이터베이스에 저장 △나중에 확인할 수 있도록 JWT(JSON Web Token, 인터넷 인증 표준 포맷) 위반 사항 기록 및 모니터링 등을 제안했다.
아카마이의 ‘Akamai App & API Protector’는 웹 애플리케이션 방화벽, 봇 방어, API 보안, 레이어 7 디도스 방어 기능 등의 기능을 하나의 솔루션으로 통합해 제공한다. 이 솔루션은 복잡한 분산 아키텍처에서도 취약점을 빠르게 탐지하고, 전체 웹과 API 자산 전체에서 위협을 방어한다. 이 솔루션은 구축과 사용이 간편하고, 트래픽과 실시간 공격에 대한 종합적인 가시성을 제공하며, 보안 기능이 자동으로 업데이트된다.
[김영명 기자(boan@boannews.com)]
ML 엔진 채택한 API 솔루션, 영역 한계 넘어 모든 보안 위협 컨트롤 가능
[보안뉴스 김영명 기자] 최근 웹 애플리케이션과 API(Application Programming Interface, 응용 프로그래밍 인터페이스) 공격이 크게 증가하고 있는 것으로 분석됐다. API 공격이 증가하는 주된 원인은 기업의 데이터 보관이나 애플리케이션을 클라우드로 이전하면서 새로운 취약점 등의 보안 위협이 등장하고 있기 때문이다. 씨디네트웍스의 분석에 따르면, 지난해 1년 동안 웹 애플리케이션 공격은 2021년에 비해 96.35%가 증가했다. 또한, 지난 1년간 모니터링한 봇 공격은 총 1,631억 8,500만 건으로, 2021년과 비교해 1.93배 증가했다.
[이미지=gettyimagesbank]
지난해에는 아틀라시안 컨플루언스(Atlassian Confluence) 취약점(CVE-2022-26134), 프록시낫셸(ProxyNotShell) 취약점(CVE-2022-21040), 스프링4셸(Spring4Shell) 및 스프링셸(SpringShell) 취약점(CVE-2022-22965) 등 다양한 취약점이 등장하면서 기업들에게 큰 위협이 되기도 했다. 이에 본지에서는 최근 API 공격 기법의 새로운 유형은 무엇이 있는지 알아보고, 이에 대응하기 위한 국내 보안기업들의 주요 솔루션도 살펴봤다.
OWASP(Open Worldwide Application Security Project, 오픈소스 웹 애플리케이션 보안 프로젝트) 재단은 2019년에 API 보안위협 TOP 10(OWASP API Security Top 10)을 처음 발표했으며, 올해 두 번째 버전을 공개했다. 올해의 TOP 10은 ①중단된 객체 수준 권한 부여 ②손상된 인증 ③손상된 객체 속성 수준 권한 부여 ④무제한 자원 소비 ⑤손상된 기능 수준 인증 ⑥민감한 비즈니스 흐름에 대한 무제한 액세스 ⑦서버 측 요청 위조 ⑧보안 구성 오류 ⑨부적절한 재고 관리 ⑩안전하지 않은 API 사용 등이다.
최근 API 공격 동향, 보안 인증 우회로 기업 및 고객정보 탈취
API와 관련된 보안 위협은 오래 전부터 꾸준히 있어 왔지만, 최근 동향은 인증과 권한을 우회하거나 이를 도용해 기업의 중요 정보나 고객 정보를 탈취하는 게 주를 이루고 있다. API의 고유 특성을 보면, 과거 ‘웹 공격’은 UI를 통해 단계적으로 로그인을 진행해 중요한 정보가 모여 있는 페이지에 접근하는 방식이었다면, ‘API 공격’은 1차 접근 권한인 로그인 과정만 거치면 곧바로 내부 정보에 접근할 수 있도록 된 구조이기 때문에 한 번의 공격만으로 중요한 정보를 손쉽게 탈취할 수 있다. ‘API 로직’이란 로그인이 가능한, 권한을 받은 자만 데이터에 접근하는 것을 의미하며, API 공격은 로직을 깨고 권한을 넘어선 접근과 이로 인한 공격이 가능하다.
[이미지=gettyimagesbank]
최근 API 보안 솔루션은 기존 기능에 머신러닝 엔진을 채택해 API를 학습하며 고유 로직을 확인해 이를 넘어서는 공격을 막을 수 있다. 특히, 학습 알고리즘에 출력물을 미리 제공하지 않고 스스로 찾아내는 비지도 학습을 적용한다. API를 분류할 때는 알고 있는 API에서 접근하게 되는데, 이 같은 방식으로는 실제 API를 분석했을 때 관리 영역에 포함되지 않는 API도 다수 발견되기 때문이다. 관리범위 밖에 있는 API 공격도 국내외 곳곳에서 발생하고 있기 때문에 관리되고 있는 API, 관리되지 않는 API 모두 챙기고 관리하는 것이 중요하다.
지난해 가트너(Gartner)가 발표한 API 보안 리포트는 현재 출시돼 있는 API 주요 기능으로 △가시화 : 어떤 API를 사용하고 있는지 인식하는 것 △이상징후 : 특정한 공격이나 우회접근을 통한 비인가자의 공격이 없는지를 파악하는 것 △조치 프로세스 : API는 개발보안과 연계돼 있어 코드 수정이나 아키텍처 변경 등 위협자 차단 과정을 자동화하거나 유기적으로 연결하고 개선하는 행위 △개발 테스트 : 시스템 가동 전 모의해킹 공격 등 런타임 테스트를 개발 플랫폼과 연결하거나 유기적인 작동을 위한 자동화 행위 등을 꼽았다.
국내 주요 보안기업의 API 보안 솔루션
▲엔시큐어 로고[로고=엔시큐어]
엔시큐어(eNsecure)의 ‘노네임시큐리티(Noname Security)’는 API 전용 보안 솔루션이다. 지난해 9월, 오스트레일리아에서 두 번째로 큰 통신사인 옵터스(Optus)에서 해킹으로 약 980만명의 개인정보가 유출됐다. 옵터스 개인정보 유출 사고는 API 인증 문제를 인지하지 못해 발생한 사고였다. 노네임시큐리티 솔루션은 API 보안에서 사용자가 현재 어떤 API를 사용하는지 잘 알고 있어야 하는 ‘가시성’, 특정한 공격이나 우회접근을 통한 비인가자의 공격을 파악하는 ‘이상징후 및 우회접근 탐지’, 앱 개발 과정에서 개발보안과 연계된 코드 수정이나 아키텍처 변경 등 보안 또는 사용자 관점에서 특정 상대방 차단 정책 등에 대해 필요한 ‘조치 및 개선’, API 개발 후 모의해킹 공격 등 솔루션 적용 전 ‘테스트’를 진행하는 것이다.
앱 보안에서는 앱 설계 개발부터 보안, 보안운영, 관제 등 서로 다른 부서들과 연계돼 있어 각각의 요소가 전체 시스템과 유기적으로 움직일 수 있는 체계가 필요하다. 노네임시큐리티는 API 보안에서 ‘가시화’, ‘이상징후 및 우회접근 탐지’, ‘조치 및 개선’, ‘개발 테스트’ 등 네 가지를 모두 다 적용하고 있다.
▲파이오링크 로고[로고=파이오링크]
파이오링크는 올해 AWS 클라우드, 네이버 클라우드 등 웹 클라우드 WAP(Web Application Proxy)가 모두 등록돼 클라우드 상에서도 웹 보안과 API 보안을 모두 수행하고 있다. 파이오링크의 API 보안을 위한 솔루션은 ‘파이오링크 웹프론트(PIOLINK WEBFRONT-K/KS)’로 크게 ‘웹프론트-K’는 하드웨어, ‘웹프론트-KS’는 소프트웨어 타입의 WAAP로 나뉜다. 이 제품은 2023년 OWASP API TOP 10에 대응하고, KISA C-TAS 및 CVE에 대응하며, mTLS(양방향 TLS) 지원 및 API 보안을 위한 핵심 기술을 지원한다.
파이오링크 웹프론트 K/KS 제품은 로드밸런싱, 캐싱, 압축 SSL(Secure Sockets Layer) 가시성, QoSQuality of Service), 앤서블(Ansible) 등을 제공한다. 특히, 로드밸런싱, 캐싱, 압축은 애플리케이션 전송 컨트롤러(Application Delivery Controller, ADC) 시장에서 네트워크 가용성과 성능이 뛰어나다.
▲펜타시큐리티시스템 로고[로고=펜타시큐리티시스템]
펜타시큐리티시스템에서 제공하는 ‘와플스(WAPPLES)’는 ‘WAAP(Web Application and API Protection)’ 솔루션으로 실시간 API 형식 검증, 즉 API를 통한 통신 내용의 위험성 탐지 및 대응 기능을 제공한다. 과거의 표준 XML과 현재 웹 API의 중심인 JSON(JavaScript Object Notation) 양식에 대응하는데, 특히 양식 자체로는 스키마, 데이터 유효성 검사의 기준이 따로 없는 JSON 형식 검증의 고성능과 안전성을 강조하고 있다. 또한, 최근 클라우드 환경의 스크립트 언어로 파이썬 활용도가 높아지면서 사용이 증가하고 있는 YAML(YAML Ain′t Markup Language) 형식도 검증할 수 있다.
▲아카마이코리아 로고[로고=아카마이코리아]
또한, 아카마이는 API 공격에서 앱을 보호하는 방법으로 △토큰을 사용하기 전에 미리 정의된 알고리즘을 사용해 토큰 검증 △인증 환경 및 각각의 애플리케이션별로 별도의 비공개 키 사용 △컴퓨팅이 적정한 경우에는 길고 높은 엔트로피 프라이빗 키와 함께 비대칭 알고리즘 사용 △KID(키 ID) 매개변수에 대해 생성된 고유 식별자 사용 △중요한 데이터를 페이로드에 공개하지 않고 데이터베이스에 저장 △나중에 확인할 수 있도록 JWT(JSON Web Token, 인터넷 인증 표준 포맷) 위반 사항 기록 및 모니터링 등을 제안했다.
아카마이의 ‘Akamai App & API Protector’는 웹 애플리케이션 방화벽, 봇 방어, API 보안, 레이어 7 디도스 방어 기능 등의 기능을 하나의 솔루션으로 통합해 제공한다. 이 솔루션은 복잡한 분산 아키텍처에서도 취약점을 빠르게 탐지하고, 전체 웹과 API 자산 전체에서 위협을 방어한다. 이 솔루션은 구축과 사용이 간편하고, 트래픽과 실시간 공격에 대한 종합적인 가시성을 제공하며, 보안 기능이 자동으로 업데이트된다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
