API를 적극 사용하다 보니 앱 개발에 걸리는 평균 시간이 상당히 줄어들고 있다. 그러면서 API가 오히려 위험의 통로가 되고 있기도 하다. API도 본격적으로 관리해 줘야 하는 것이 지금부터 애플리케이션 보안의 표준이다.

[보안뉴스 문가용 기자] 애자일 개발 환경에 대한 인기가 점점 올라감에 따라 API의 사용량도 계속해서 증가하고 있다. 덕분에 소프트웨어에 대한 의존도가 높은 기업들은 매우 편리하게 사업을 확장하고 서비스를 출시할 수 있게 되었지만 동시에 더 많은 해킹 공격에 노출되어 있기도 하다. 최근 공격자들이 API를 노리고 있기 때문이다.


지난 한 해 API의 사용률은 크게 늘었는데, 기업 당 평균 15,600개의 API가 사용되고 있는 것으로 조사됐다. 이는 전년 대비 3배 증가한 것이다. API를 요청하는 트래픽은 기업 당 연간(2021년) 8억 2천만 회로 전년 대비 4배 증가했다고 한다. 그러면서 중요한 해킹 공격의 트렌드가 하나 생겼는데, 그건 바로 “개발자가 가는 곳에는 해커들도 따라간다”는 것이라고 API 보안 전문 회사인 설트시큐리티(Salt Security)는 설명한다.

“서드파티 소프트웨어 요소들에서 노출되는 취약점들이 점점 많아지고, 개발 방식이 변화함에 따라 API를 통해 파고들 여지가 많아졌습니다. 앞으로도 공격자들은 이 부분을 계속해서 공략할 것으로 보입니다.” 설트시큐리티의 CPO인 엘라드 코렌(Elad Koren)의 설명이다. “공격 통로가 이렇게 많아지면 공격자들과 해킹 산업 자체가 성장하게 됩니다. 현대 IT 환경의 특성상 공격자들에게는 성장의 경로가 확보된 것이라고 볼 수 있죠.”

이는 애플리케이션 보안 분야에 있어 특히나 시급한 해결 과제다. “개발 인력은 그 어느 때보다 빠르게 움직이고 있습니다. 지금 분위기가 그렇죠. 시장에 제품을 빨리 내놓는 것이 지상 과제니까요. 그러다 보니 API에 대한 자료 조사나 정리를 충분히 하지 못하고 있습니다. 그래서 API를 얼마나 사용하고 있는지, 무엇을 사용하는지, 어떻게, 어떤 상황에서 어떤 권한을 가진 사람이 사용하는지를 정확히 파악하지 못하고 있습니다. 이 역시 API 생태계의 취약점이 되고 있습니다.” 포레스터(Forrester)의 수석 분석가 샌디 카리엘리(Sandy Carielli)의 설명이다.

“그래서 기업 분석 전문 회사에서는 API 보안 문제가 주요 주제로 거론되고 있습니다. 놀랄 일도 아닙니다. API를 사용하는 기업들이 기하급수적으로 늘어나고 있고, 실제로 API에 의존적인 애플리케이션의 수 역시 빠르게 증가하고 있죠. API는 앞으로 주요 표적이 될 수밖에 없는 요소입니다.”

API라는 공격 경로 관리하기
API의 사용량이 증가하게 된 건 근본적으로 클라우드와 애자일 개발 환경이 널리 도입되고 있기 때문이다. “현재 애플리케이션 개발에 소요되는 시간은 평균 2~3주 정도입니다. 이렇게까지 짧은 시간에 뭔가를 완성시킨다는 건 API를 다량으로 사용한다는 뜻이고, 그 가운데 API 설정 오류 및 취약점이 적잖게 발생할 수 있다는 뜻이 됩니다.” 보안 업체 노네임 시큐리티(Noname Security)의 CEO 오즈 골란(Oz Golan)의 설명이다.

“많은 조직들이 디지털 변혁을 빠르고 강력하게 밀어붙이고 있습니다. 이 과정에서 과거에 보기 힘들었던 API 취약점들이 계속해서 나타나고 있죠. 그리고 그러한 취약점들의 익스플로잇 방법들도 공개되고 있고요. 사실 API로부터 나타나는 위협을 근본적으로 줄이려면 개발의 속도부터 늦춰야 합니다. 하지만 불가능한 옵션이죠. API가 계속해서 위험해질 수밖에 없는 이유가 바로 이것입니다.”

지난 12개월 동안 API 익스플로잇을 통해 발생한 사건 사고의 수는 전년도 대비 41% 증가했다고 S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)는 조사 결과를 발표하기도 했다. 물론 여러 업체에서 비슷한 조사를 진행했을 때 숫자가 조금씩 다르긴 하다. 설트시큐리티의 경우 API 보안 사고가 95% 증가했다는 내용의 보고서를 발표하기도 했었다. 다만 API를 통한 위협이 크게 증가하는 중이라는 사실 자체는 변함이 없다.

API 보안이라는 머나먼 길
그렇기 때문에 모든 기업들은 API 사용 현황에 대하여 꼼꼼하게 점검할 필요가 있다. 이제는 이것이 필수적인 일이 되었다. 카리엘리는 “API의 출처, 사용처, 유형, 데이터 민감도, 소유자, 인증 여부와 같은 항목들별로 API를 분석하고, 그 기록을 보관해 둘 필요가 있다”고 강조한다.

“개발 팀이 API를 추적하고 분석해 사양서를 작성하는 게 맞습니다. 그리고 사용했던 API를 늘 추적해 최신화 하기도 하고요. 하지만 그건 이상적인 환경에서나 가능한 일입니다. 그렇게 일할 수 있을 정도로 개발자를 그냥 놔두는 조직은 어디에도 없습니다. 따라서 이건 조직 차원에서 독려하고, 관련 정책을 만들어 적용시켜야 하는 문제입니다. 개발자 개개인의 역량에 맡겨서는 해결되지 않습니다.”

코렌은 “애플리케이션 보안 능력을 전체적으로 키우는 것이 API 보안의 왕도”라고 설명한다. “개발을 시작할 때부터 보안을 고려하고, 위협 모델링을 실시함으로써 능동적으로 취약점을 찾아 해결하는 방식을 고수해야 합니다. 애플리케이션 개발이 한창 진행되고 나서 취약점이 발견되면 될수록 수정에 많은 비용이 듭니다. 그런 개발 과정 중에 활용되는 API라면 허투루 구축하거나 활용하지 않겠죠. 사용하려는 API에 대한 조사를 꼼꼼히 해서 보안 사고나 취약점 정보를 파악해 두는 것이 좋습니다.”

코렌은 “이제 애플리케이션 보안은 개발 환경 및 업무 프로세스의 문제이지 개발자 한두 명이나 개발 팀 혼자서 책임지고 감당해야 할 문제가 아니”라는 것을 힘주어 말했다. “아무리 좋은 개발자가 아무리 비싼 개발 및 보안 도구를 사용한다 하더라도 보안 구멍이 하나쯤은 생길 수밖에 없습니다. 그러니 여러 사람이 여러 각도로 애플리케이션을 들여다 봄으로써 최대한 많은 구멍을 조직적으로 막아야 합니다.”

3줄 요약
1. API 사용량은 급하게 증가하고 있고, 그만큼 위험도도 높아지고 있음. 
2. 애플리케이션 의존도가 높은 생태계에서라면 API 모니터링과 보안이 필수.
3. 개발 속도를 너무나 높인다는 것이 가장 근본적인 문제.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>