https://m.boannews.com/html/detail.html?tab_type=1&idx=121760
[추석 보안대작전-4] 한 번에 기업 내부정보 싹 털어가는 API 공격, 어떻게 대응하나
최근 웹 애플리케이션과 API(Application Programming Interface, 응용 프로그래밍 인터페이스) 공격이 크게 증가하고 있는 것으로 분석됐다. API 공격이 증가하는 주된 원인은 기업의 데이터 보관이나 애플
m.boannews.com
해당 기사는 최근 API공격이 크게 증가함에 따라 API의 새로운 공격 기법과 이에 대응하기 위한 국내 보안 기업들의 주요 솔루션을 다루고 있다.
API 공격의 주된 원인
: 기업의 데이터 보관, 애플리케이션을 클라우드로 이전하면서 새로운 취약점 등의 보안 위협이 등장하고 있기 때문.
- OSASP 재단의 2023 API 보안위협 TOT 10(OWASP API Security Top 10)
- 중단된 객체 수준 권한 부여
- 손상된 인증
- 손상된 객체 속성 수준 권한 부여
- 무제한 자원 소비
- 손상된 기능 수준 인증
- 민감한 비즈니스 흐름에 대한 무제한 액세스
- 서버 측 요청 위조
- 보안 구성 오류
- 부적절한 재고 관리
- 안전하지 않은 API 사용
최근 API 공격 동향
- API 공격의 최근 동향은 인증과 권한을 우회하거나 이를 도용해 기업의 중요 정보나 고객 정보를 탈취하는 것.
- API 공격의 구조 : 1차 접근 권한인 로그인 과정만 거치면 곧바로 내부 정보에 접근할 수 있도록 되어있음.
=> 단 한번의 공격만으로 중요한 정보를 손쉽게 탈취할 수 있음.
[API 로직] : 로그인이 가능한, 권한을 받은 자만 데이터에 접근하는 것을 의미.
최근 API 보안 솔루션
- 기존 기능 + 머신러닝 엔진을 채택 : API를 학습하며 고유 로직을 확인해 이를 넘어서는 공격을 막을 수 있음. (비지도 학습을 적용)
- API를 분류할 때는 알고 있는 API에서 접근하게 되는데, 이 같은 방식으로는 실제 API를 분석했을 때 관리 영역에 포함되지 않는 API도 다수 발견되기 때문. 관리범위 밖에 있는 API 공격도 국내외 곳곳에서 발생하고 있기 때문에 관리되고 있는 API & 관리되지 않는 API 모두 챙기고 관리하는 것이 중요함.
- 가트너가 발표한 API 보안 리포트에서는 현채 출시돼 있는 API 주요 기능으로
- 가시화(어떤 API를 사용하고 있는지 인식하는 것) ,
- 이상징후(특정한 공격이나 우회접근을 통한 비인가자의 공격이 없는지를 파악하는 것),
- 조치 프로세스( API는 개발보안과 연계돼 있어 코드 수정이나 아키텍처 변경 등 위협자 차단 과정을 자동화하거나 유기적으로 연결하고 개선하는 행위),
- 개발 테스트( 시스템 가동 전 모의해킹 공격 등 런타임 테스트를 개발 플랫폼과 연결하거나 유기적인 작동을 위한 자동화 행위)
등을 뽑았다.
국내 주요 보안기업의 API 보안 솔루션
엔시큐어(eNsecure)
- 노네임시큐리티(Noname Security) : API 전용 보안 솔루션
: API 보안에서 사용자가 현재 어떤 API를 사용하는지 잘 알고 있어야 하는 ‘가시성’, 특정한 공격이나 우회접근을 통한 비인가자의 공격을 파악하는 ‘이상징후 및 우회접근 탐지’, 앱 개발 과정에서 개발보안과 연계된 코드 수정이나 아키텍처 변경 등 보안 또는 사용자 관점에서 특정 상대방 차단 정책 등에 대해 필요한 ‘조치 및 개선’, API 개발 후 모의해킹 공격 등 솔루션 적용 전 ‘테스트’를 진행하는 것.
- 앱 보안에서는 앱 설계 개발부터 보안, 보안운영, 관제 등 서로 다른 부서들과 연계돼 있어 각각의 요소가 전체 시스템과 유기적으로 움직일 수 있는 체계가 필요함.
파이오링크
- 파이오링크 웹프론트(PIOLINK WEBFRONT-K/KS) : API 보안을 위한 솔루션
: 크게 ‘웹프론트-K’는 하드웨어, ‘웹프론트-KS’는 소프트웨어 타입의 WAAP로 나뉨.
- 파이오링크 웹프론트 K/KS 제품은 로드밸런싱, 캐싱, 압축 SSL(Secure Sockets Layer) 가시성, QoSQuality of Service), 앤서블(Ansible) 등을 제공함. 특히, 로드밸런싱, 캐싱, 압축은 애플리케이션 전송 컨트롤러(Application Delivery Controller, ADC) 시장에서 네트워크 가용성과 성능이 뛰어남.
펜타시큐리티시스템
- 와플스(WAPPLES) : WAAP 솔루션으로 실시간 API 형식 검증을 제공
: 과거의 표준 XML과 현재 웹 API의 중심인 JSON 양식에 대응함. 특히 양식 자체로는 스키마, 데이터 유효성 검사의 기준이 따로 없는 JSON 형식 검증의 고성능과 안전성을 강조하고 있음. YAML 형식도 검증 가능.
아카마이코리아
- 토큰을 사용하기 전에 미리 정의된 알고리즘을 사용해 토큰 검증
- 인증 환경 및 각각의 애플리케이션별로 별도의 비공개 키 사용
- 컴퓨팅이 적정한 경우에는 길고 높은 엔트로피 프라이빗 키와 함께 비대칭 알고리즘 사용
- KID(키 ID) 매개변수에 대해 생성된 고유 식별자 사용
- 중요한 데이터를 페이로드에 공개하지 않고 데이터베이스에 저장
- 나중에 확인할 수 있도록 JWT 위반 사항 기록 및 모니터링
등을 API 공격에서 앱을 보호하는 방법으로 제시함.
- Akamai App & API Protector : 웹 애플리케이션 방화벽, 봇 방어, API 보안, 레이어 7 디도스 방어 기능 등의 기능을 하나의 솔루션으로 통합해 제공함. 구 축과 사용이 간편하고, 트래픽과 실시간 공격에 대한 종합적인 가시성을 제공하며, 보안 기능이 자동으로 업데이트됨.
'기술 스터디' 카테고리의 다른 글
| [3] ~ 브라우저 아티팩트 실습 (0) | 2023.11.22 |
|---|---|
| [보안뉴스]_[보안뉴스] 국가 행정전산망 마비를 불러온 '업데이트' 뭐가 문제였을까? (1) | 2023.11.21 |
| [보안뉴스]_[SAMSUNG SDS] 생성형 AI 모델과 대화하는 프롬프트 엔지니어링 (0) | 2023.11.14 |
| [보안뉴스]_[ITWORLD]_멀티클라우드가 가져올 DevOps의 과제와 변화 (0) | 2023.11.07 |
| [보안뉴스]_[IGLOO]_GPT의 밝고도 어두운 이면 (0) | 2023.10.07 |
