<잇(IT)터뷰 전체 영상 보기>
잇(IT)터뷰 전체 내용은 ▼아래 영상▼에서 확인해 주세요!
◼ 게스트 : 조상원 상무 / 아카마이 테크놀로지스
◼ 진행자 : 고우성 PD / 토크아이티 (wsko@talkit.tv, https://talkit.tv/)
영상 목차
◼ 아래 각 목차를 클릭하시면 해당 내용을 영상으로 바로 보실 수 있습니다.
✔ API 경제 시대의 도래
✔ OWASP API Top 10 소개
✔ BOLA 취약점 심층 분석
✔ API 보안이 어려운 이유
✔ API 보안 3대 핵심 체크포인트
<잇(IT)터뷰 – 핵심 내용 파악하기>
‘잇(IT)터뷰 – 핵심 내용 파악하기’는 영상의 핵심 내용을 정리한 글입니다.
|
이번 잇(IT)터뷰는 API 경제 시대의 핵심 보안 이슈인 OWASP API Security Top 10을 다룹니다. 1990년대 온라인 비즈니스 시대에서 현재 클라우드, 마이크로서비스, AI로 구성된 API 경제로 전환되면서 API 보안이 새로운 도전 과제로 부상했습니다.
2019년 첫 발표, 2023년 업데이트된 OWASP API Security Top 10을 통해 전통적인 웹 보안과 다른 API 보안의 특성을 이해하고, 특히 1위 취약점인 BOLA의 위험성과 실제 사례를 살펴봅니다. Akamai의 API 보안 솔루션을 통한 포괄적 대응 전략을 제시합니다.
1. API 경제 시대와 OWASP API Top 10
1990년대 온라인 비즈니스 시대를 거쳐 현재는 API 경제(API Economy) 시대로 접어들었다. 클라우드, 마이크로서비스, AI 등 모든 현대 기술이 API를 기반으로 작동한다.
1) OWASP Top 10의 진화
– 웹 애플리케이션 Top 10: 전통적인 웹 보안 표준
– API Security Top 10: 2019년 첫 발표, 2023년 업데이트
조상원 전무는 “일부는 웹 보안과 겹치지만, API만의 고유한 취약점들이 다수 존재한다”고 강조했다. 전통적인 WAF나 웹 보안 도구만으로는 API를 제대로 보호할 수 없다는 의미다.
2) API Security Top 10 주요 항목
– API1: Broken Object Level Authorization (BOLA)
– API2: Broken Authentication
– API3: Broken Object Property Level Authorization
– API4: Unrestricted Resource Consumption
– API5: Broken Function Level Authorization (이하 생략)
2. BOLA – 1위 취약점 심층 분석
BOLA(Broken Object Level Authorization)는 OWASP API Top 10에서 1위를 차지한 가장 치명적인 취약점이다.
1) BOLA란?
애플리케이션이 사용자 인증(Authentication)은 올바르게 처리하지만, 특정 객체나 리소스에 대한 접근 권한(Authorization)을 제대로 확인하지 않는 취약점이다.
2) 실제 공격 시나리오
– 정상 요청: /api/user/123 (내 계정 정보)
– 악의적 요청: /api/user/456 (타인 계정 정보)
로그인은 되어 있지만(인증 성공), 다른 사용자 ID를 조작하여 접근할 때 시스템이 권한을 검증하지 않아 타인의 데이터에 접근 가능하다.
3) 실제 사례
미국 주요 통신사에서 3,700만 건의 개인정보 유출 사고가 발생했다. 원인은 BOLA 취약점으로, 인증된 사용자가 API 요청을 조작하여 다른 사용자의 데이터에 접근할 수 있었다.
이 사례는 “인증이 있다고 해서 안전한 것이 아니다”라는 교훈을 준다. 객체 레벨 권한 검증이 반드시 필요하다.
3. API 보안이 어려운 이유
API 보안이 전통적인 웹 보안보다 어려운 근본적인 이유들이 있다.
1) 통제권 상실
“API는 퍼블리시(발행)하는 것”이라는 표현처럼, API는 제3자 개발자가 사용하도록 공개된다. 개발팀의 의도와 실제 사용 방식이 완전히 달라질 수 있으며, 클라이언트 측 구현을 통제할 수 없다.
2) 빠른 개발 속도
“개발 속도가 너무 빨라서 보안 개발이 따라가지 못한다.”데브옵스와 CI/CD 환경에서 API는 매일 업데이트되지만, 보안 검토는 이를 따라잡지 못한다.
3) 가시성 부족
웹 애플리케이션은 UI를 통해 기능이 명확히 보이지만, API는 눈에 보이지 않는다. “보안팀이 API 보안을 직접 통제할 수 없으며, 가시성을 확보하기 어렵다.”
4) 남용과 오용의 위험
개발자가 의도한 API 사용 방식과 실제 사용자(또는 공격자)가 사용하는 방식이 완전히 다를 수 있다. 이는 예상치 못한 보안 취약점으로 이어진다.
4. API 보안 3대 핵심 체크포인트
조상원 전무는 Gartner의 프레임워크를 기반으로 한 포괄적 API 보안 전략을 제시했다.
1) Discovery (발견)
“보호할 수 없는 것은 볼 수 없는 것이다.” 전체 환경에 걸쳐 모든 API를 발견하고 인벤토리화하는 것이 첫 번째 단계다.
– 레거시 API 탐지
– 섀도우 API(문서화되지 않은 API) 식별
– API 엔드포인트 전체 목록 작성
2) Posture Management (보안 태세 관리)
프로덕션 배포 전에 API의 취약점, 잘못된 설정, 약점을 분석한다.
– 취약점 스캐닝
– 설정 오류 검토
– OWASP Top 10 대비 검증
3) Runtime Protection (실시간 보호)
API가 실제 사용되는 동안 악의적 행동, 공격, 남용 패턴을 실시간으로 탐지하고 차단한다.
– 이상 행위 탐지
– 공격 패턴 차단
– API 남용 방지
Akamai API Security Platform: Akamai의 솔루션(Noname 기반)은 이 세 가지 영역을 모두 커버하는 통합 플랫폼이다.
– Discover & Document
– Analyze
– Remediation
– Active Testing
4) 결론: API 보안의 새로운 패러다임
API 보안은 웹 보안의 연장선이 아니라 완전히 새로운 접근이 필요한 영역이다. 기존 WAF와 웹 보안 관행은 필요하지만 충분하지 않다.
5) 핵심 교훈
– 인증 ≠ 권한: 인증만으로는 부족하며 객체 레벨 권한 검증이 필수
– 전체 라이프사이클 보안: 발견, 분석, 실시간 보호를 아우르는 통합 전략
– 가시성 확보: 모든 API를 파악하지 못하면 보호할 수 없음
API 경제 시대에 생존하려면 OWASP API Security Top 10을 이해하고, 포괄적인 API 보안 전략을 수립해야 한다. 3,700만 건의 데이터 유출과 같은 재앙을 피하려면 지금 바로 행동해야 할 때다.
◼ 전체 잇(IT)터뷰 내용은 ▶영상으로 바로 가기(클릭)◀에서 확인하실 수 있습니다.
|
◼ 콘텐츠 & 웨비나 문의 : marketing@talkit.tv, 02-565-0012
Copyright ⓒ 토크아이티 All rights reserved. 무단 전재 및 재배포 금지.