여러 애플리케이션들이 회사의 정식 인가를 받지 않고 설치되고 한 동안 사용되었다가 방치되며 공격자들의 공격 통로가 되듯, API도 비슷한 과정을 거쳐 공격자들의 통로가 되기도 한다. API 가시성을 확보해야 한다.

[보안뉴스 문가용 기자] API 보안에 신경을 쓰는 조직이라면 숨겨져 있는 API들에 특히 더 신경을 써야 할 것으로 보인다. 이른 바 ‘은둔의 API(Shadow API)’라는 것으로, 더 이상 사용되지 않거나, 수명이 다했거나, 비공식적으로 운영되고 있어 기록에 남지 않는 API들을 말한다. 이런 경우 API들은 잘 관리가 되지 않으며, 아예 잊히는 경우도 상당히 많다. 이런 API들이 조직 곳곳에 의외로 많이 있으니, 찾아서 알맞게 처리하는 것이 안전하다고 보안 업체 아카마이(Akamai)의 부회장 루페시 쵸크시(Rupesh Chokshi)는 강조한다.


잊힌 API들의 위험성
쵸크시는 “API 보안에 있어 어쩌면 가장 중요한 문제”라고 이 ‘은둔의 API’를 설명한다. “아마 네트워크 안에 실제 아무도 모르거나 잊었거나 제대로 문서화 되지 않은 API가 얼마나 있는지 알면 크게 놀랄 겁니다. 제가 만난 고객들 전부 실상을 파악하고서는 경악했습니다. 우리는 생각보다 많은 API들에 둘러싸인 채 사이버 공간에서 활동하고 있습니다. 그 숫자를 세어보기 전까지는 체감하지 못하겠지만요.”

API 보안은 많은 조직에서 점점 중요한 숙제로 자리를 잡아가고 있다. 요 몇 년 동안 IT 업계는 여러 소프트웨어와 서비스, 애플리케이션에 있는 각종 기능들을 간편하게 가져다 쓰기 위해 수많은 API를 공유하고 거래해 왔었다. 이 때문에 API는 디지털 전환을 이끄는 핵심 중 핵심으로 취급받고 있고, 실제로 그렇기도 하다. 이 API 덕분에 엄청난 분량의 개발 행위가 생략되고, 따라서 자원과 시간을 상당히 아낄 수 있게 된다. 그러니 많이 찾고, 아끼고, 활용할 수밖에 없다. 우리 주변에 API라는 게 많은 이유고, API 가시성을 확보하는 게 점점 어려워지는 이유다.

API, 너무나 많아지고 있어
API는 디지털 변혁을 보다 쉽고 효율적으로 이끌어갈 수 있게 해 주지만, 반대로 새로운 공격의 통로가 되기도 한다. 딱히 API가 태생적으로 위험한 요소이기 때문이 아니라, 모든 디지털 자산은 잠재적으로 공격자의 손에 악용될 소지가 크기 때문이다. “API로 최첨단 작업을 수행할 때마다 우리는 우리 안에 새로운 공격의 가능성을 심는 것이기도 합니다. 2023년 발생한 웹 공격의 29%가 API를 겨냥한 것이었습니다. 주로 SQL 주입 공격, XSS 공격, 세션 하이재킹 공격이 가능합니다.”

공격자들이 API를 노리기는 하지만 무차별적인 건 아니다. 공격자들이 선호하는 분야가 따로 존재한다. 모든 API 기반 웹 공격의 44%는 전자상거래 사이트나 서비스를 향했고, 32%는 기업 서비스 분야, 19%는 의료 분야를 겨냥하고 있었던 것으로 조사됐다. 즉 API 공격을 한다고 했을 때 주로 도소매, 기업 서비스, 의료를 노리기 위한 것일 때가 많았다는 것이다. “이런 분야에 있다면 더더욱 API관리를 철저히 해야 한다는 의미입니다. 물론 이것이 추후 어떻게 변할지는 모르겠지만요. 언젠가 다른 분야가 더 높은 순위를 기록할 수도 있겠습니다.”

API 문제, 크게 두 가지
그러면서 초크시는 API 보안을 강화한다고 했을 때 대부분 기업들이 둘 중 하나에서 어려움을 겪는다고 한다. “하나는 구현 및 구축에서 발생하는 문제들이고, 다른 하나는 런타임에서 발생하는 문제들로 나눌 수 있습니다. 구현 및 구축과 관련된 문제 중 하나가 은둔의 API이기도 합니다. 구현해놓고는 잊어버리거나 방치하는 것이죠. 2022년 10월 보안 업체 시퀀스시큐리티(Cequence Security)가 조사한 바에 의하면 모든 악성 요청들의 31% 이상이 이른 은둔의 API를 겨냥하고 있었다고 합니다. 보다 정확히 말하자면 167억 건 중 50억 건이었습니다.”

한 편 런타임 관련 문제는 누군가 인증 과정을 거치지 않고 민감한 API 자원에 접근하려 하거나, 비정상적인 제이슨(JSON) 페이로드를 동반한 행동 패턴이 발견되거나, 예측하지 못한 ‘기형적 데이터’가 API 요청에 섞여 들어가는 것 등을 말한다. API 관련 데이터를 스크랩하려는 것도 런타임 관련 문제에 해당된다고 초크시는 짚는다.

“API와 관련된 IT 기술과 공격 기술은 날마다 빠르게 변하고 있습니다. 같은 API라도 계속해서 새로운 방식으로 공격 당한다는 것입니다. 그렇기 때문에 API가 최근에 어떤 식으로 공략되는지 꾸준히 모니터링하고 조사하는 게 안전합니다. 하지만 그 전에, 회사 네트워크 구석구석에 숨어있는 API들을 찾아내 조치를 취하는 것이 먼저입니다.”

3줄 요약
1. API 보안, 갈수록 중요해지고 있음.
2. API 활용성이 워낙 좋기 때문에 회사 망에 아무도 몰래 쌓여가는 것들이 수두룩함.
3. 관리되지 않고 보이지 않는 API들을 전부 찾아내는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>