API, 대기업들의 새로운 수익거리...보이지 않는 ‘기본기’가 탄탄해야
인터넷으로 연결되는 모든 서비스는 위험부담 가지고 있어
[보안뉴스 문가용 기자] 내부적으로 쌓인 데이터와, 그 데이터들을 분석하면서 얻어낸 통찰은 기업의 중요한 자산이다. 이 자산을 돈으로 만드는 방법 중 하나가 API를 만들어 배포하는 것이다. 모든 사람들에게 공개할 수도 있지만 고객, 파트너사 등에 제한적으로 공유할 수도 있다. 어떤 방법을 쓰든, API는 기업들의 또 다른 수익처로서 각광받고 있다.
[이미지 = iclickart]
하지만 이러한 소문만을 듣고 API 시장에 뛰어들기에는 고려해야 할 내용들이 없지 않다. 특히 민감한 데이터나 프라이버시와 관련된 데이터를 API로 유통시켰다간 손해만 엄청나게 볼 수도 있다. 내부 데이터와 노하우를 API로 변환시켜 수익을 내고자 하는 사장님들을 위해 고려해야 할 몇 가지 내용들을 정리해보았다.
자원
돈이 되는 서비스를 출시하는데, 그 서비스와 관련 자산 모두 인터넷을 통해 연결되어야 하는 것이라면 일단 위험부담을 느껴야 정상이다. 해당 API가 담겨있는 서버 컴퓨터 자체가 노출될 수도 있고, 클라우드 계정 내 다른 데이터가 위협을 받을 수도 있다. 그러므로 누군가 API에 접근할 때 보안 장치 및 장비를 거치도록 설정해야 한다. 그리고 출시하기 전에 반드시 API의 취약점 점검 테스트를 진행하는 것이 안전하다. 인터넷과 연결된 자산이라면 그 어떤 것도 안심할 수 없다.
법적 책임
정보를 다루고, 누군가에게 전송할 때는 거의 항상 법적 책임이 따른다. 그런데 그 법과 정책이라는 것도 알게 모르게 조금씩 바뀌는 게 일반적이다. 그러니 내가 지금 알고 있는 정보 관련 법이 정확하지 않을 수 있다. 이런 작은 부분에서 큰 결과(보통은 벌금)가 야기된다. 예를 들어 필자가 근무했던 한 조직에서는 우편번호를 조회할 수 있게 해주는 API를 만들어 배포한 바 있다. 하지만 주소 체계가 바뀌면서 우편번호 검색 결과가 틀리게 나왔다. 그러면서 물건의 배송이 잘못되기 시작했는데, 이 때문에 소송이 걸리기도 했다.
API를 만들어 공개하는 전략은 좋다. 하지만 정확해야 하고, 법적인 책임과 보상 부분도 명확히 파악해야 한다. API 이용자 약관 역시 법적 변화에 따라 민감하게 바뀌지 않으면 골치 아픈 일에 휘말리기도 한다.
프라이버시
프라이버시를 고려해야 한다는 건 구체적으로 말해 다음 몇 가지 사안을 고민한다는 것이다.
‘API를 통해 공유하려는 데이터가, 법적으로 공유 가능한가?’
‘누구와 데이터를 공유하려고 하는가?’
‘데이터를 공유하려는 목적은 무엇인가?’
이 세 가지 질문에 대한 답만 충분히 충족한 뒤 API를 출시해도 늦지 않다.
또 하나 간과되는 것이 있다면, ‘당신의 데이터를 경쟁자가 공유하게 된다면 무슨 일이 일어날 것인가?’이다. 예를 들어 당신이 다니는 쇼핑 업체에서 우편번호 검색 툴을 만들었다고 치자. 기능도 꽤나 좋고, 개발자들 사이에서도 호평 일색이다. 그래서 이를 API로 공유했더니, 경쟁 쇼핑 업체가 이를 사용한다면 어떨까? 주소 정보에라도 접근해 당신 회사의 고객 정보까지 알려지게 된다면? 이런 경우 API를 활용하는 게 오히려 ‘마이너스’가 될 수 있다.
침해 사고
API를 통해 일반 대중들이 당신의 기업 정보에 접근하기 시작했다면, 바짝 긴장해야 한다. 만약 해당 API나 데이터베이스가 침해되기라도 한다면 일이 더 커지기 때문이다. 그런 때를 대비해 보안 담당자로서 할 수 있는 일은 무엇일까? 어떤 장비나 솔루션을 마련해 사고를 방지할 수 있을까?
요약
사업체로서 데이터를 팔 수 있다는 건 놓칠 수 없는 기회다. 많은 기업들이 이미 API를 통해 높은 수익을 거두고 있다. 아마존도, 구글도, 네이버도 마찬가지다. 그러나 이들이라고 해서 ‘위험 부담’ 하나도 없이 API 사업을 하는 건 아니다. 그 위험성을 관리할 수 있다는 게 API 사업의 보이지 않는 비결이다. API가 제공하는 수익에 대한 기회뿐 아니라, 대기업들이 API 시장에서 입지를 다지기 위해 보이지 발휘하고 있는 ‘보안 기본기’를 익혀야 할 때다.
글 : 리치 카셀베리(Rich Casselberry), Risk Technologist
[국제부 문가용 기자(globoan@boannews.com)]
인터넷으로 연결되는 모든 서비스는 위험부담 가지고 있어
[보안뉴스 문가용 기자] 내부적으로 쌓인 데이터와, 그 데이터들을 분석하면서 얻어낸 통찰은 기업의 중요한 자산이다. 이 자산을 돈으로 만드는 방법 중 하나가 API를 만들어 배포하는 것이다. 모든 사람들에게 공개할 수도 있지만 고객, 파트너사 등에 제한적으로 공유할 수도 있다. 어떤 방법을 쓰든, API는 기업들의 또 다른 수익처로서 각광받고 있다.
[이미지 = iclickart]
하지만 이러한 소문만을 듣고 API 시장에 뛰어들기에는 고려해야 할 내용들이 없지 않다. 특히 민감한 데이터나 프라이버시와 관련된 데이터를 API로 유통시켰다간 손해만 엄청나게 볼 수도 있다. 내부 데이터와 노하우를 API로 변환시켜 수익을 내고자 하는 사장님들을 위해 고려해야 할 몇 가지 내용들을 정리해보았다.
자원
돈이 되는 서비스를 출시하는데, 그 서비스와 관련 자산 모두 인터넷을 통해 연결되어야 하는 것이라면 일단 위험부담을 느껴야 정상이다. 해당 API가 담겨있는 서버 컴퓨터 자체가 노출될 수도 있고, 클라우드 계정 내 다른 데이터가 위협을 받을 수도 있다. 그러므로 누군가 API에 접근할 때 보안 장치 및 장비를 거치도록 설정해야 한다. 그리고 출시하기 전에 반드시 API의 취약점 점검 테스트를 진행하는 것이 안전하다. 인터넷과 연결된 자산이라면 그 어떤 것도 안심할 수 없다.
법적 책임
정보를 다루고, 누군가에게 전송할 때는 거의 항상 법적 책임이 따른다. 그런데 그 법과 정책이라는 것도 알게 모르게 조금씩 바뀌는 게 일반적이다. 그러니 내가 지금 알고 있는 정보 관련 법이 정확하지 않을 수 있다. 이런 작은 부분에서 큰 결과(보통은 벌금)가 야기된다. 예를 들어 필자가 근무했던 한 조직에서는 우편번호를 조회할 수 있게 해주는 API를 만들어 배포한 바 있다. 하지만 주소 체계가 바뀌면서 우편번호 검색 결과가 틀리게 나왔다. 그러면서 물건의 배송이 잘못되기 시작했는데, 이 때문에 소송이 걸리기도 했다.
API를 만들어 공개하는 전략은 좋다. 하지만 정확해야 하고, 법적인 책임과 보상 부분도 명확히 파악해야 한다. API 이용자 약관 역시 법적 변화에 따라 민감하게 바뀌지 않으면 골치 아픈 일에 휘말리기도 한다.
프라이버시
프라이버시를 고려해야 한다는 건 구체적으로 말해 다음 몇 가지 사안을 고민한다는 것이다.
‘API를 통해 공유하려는 데이터가, 법적으로 공유 가능한가?’
‘누구와 데이터를 공유하려고 하는가?’
‘데이터를 공유하려는 목적은 무엇인가?’
이 세 가지 질문에 대한 답만 충분히 충족한 뒤 API를 출시해도 늦지 않다.
또 하나 간과되는 것이 있다면, ‘당신의 데이터를 경쟁자가 공유하게 된다면 무슨 일이 일어날 것인가?’이다. 예를 들어 당신이 다니는 쇼핑 업체에서 우편번호 검색 툴을 만들었다고 치자. 기능도 꽤나 좋고, 개발자들 사이에서도 호평 일색이다. 그래서 이를 API로 공유했더니, 경쟁 쇼핑 업체가 이를 사용한다면 어떨까? 주소 정보에라도 접근해 당신 회사의 고객 정보까지 알려지게 된다면? 이런 경우 API를 활용하는 게 오히려 ‘마이너스’가 될 수 있다.
침해 사고
API를 통해 일반 대중들이 당신의 기업 정보에 접근하기 시작했다면, 바짝 긴장해야 한다. 만약 해당 API나 데이터베이스가 침해되기라도 한다면 일이 더 커지기 때문이다. 그런 때를 대비해 보안 담당자로서 할 수 있는 일은 무엇일까? 어떤 장비나 솔루션을 마련해 사고를 방지할 수 있을까?
요약
사업체로서 데이터를 팔 수 있다는 건 놓칠 수 없는 기회다. 많은 기업들이 이미 API를 통해 높은 수익을 거두고 있다. 아마존도, 구글도, 네이버도 마찬가지다. 그러나 이들이라고 해서 ‘위험 부담’ 하나도 없이 API 사업을 하는 건 아니다. 그 위험성을 관리할 수 있다는 게 API 사업의 보이지 않는 비결이다. API가 제공하는 수익에 대한 기회뿐 아니라, 대기업들이 API 시장에서 입지를 다지기 위해 보이지 발휘하고 있는 ‘보안 기본기’를 익혀야 할 때다.
글 : 리치 카셀베리(Rich Casselberry), Risk Technologist
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
