보안

[NSIS 2024] 엔시큐어 "API 보안 위협 증가…기존 웹방화벽 한계"

강소현 기자
손장군 엔시큐어 사업1본부 이사가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘오픈 API 보안 사고 사례 및 대응 방안’을 주제로 발표에 나서고 있다.
손장군 엔시큐어 사업1본부 이사가 28일 서울 소공동 롯데호텔에서 열린 디지털데일리 주최 제1회 NSIS 2024에서 ‘오픈 API 보안 사고 사례 및 대응 방안’을 주제로 발표에 나서고 있다.

[디지털데일리 강소현기자] “애플리케이션 프로그래밍 인터페이스(API) 보안은 인간의 한계를 뛰어넘는 문제로, 인공지능(AI)·머신러닝 등 신기술 활용이 필요합니다.”

손장군 엔시큐어 사업1본부 이사<사진>는 28일 서울 중구 롯데호텔에서 <디지털데일리>가 개최한 제1회 ‘차세대 보안혁신 서밋(NSIS·Next Security Innovation Summit) 2024’에서 API 보안의 중요성을 강조하면서 이 같이 말했다.

전체 네트워크 트래픽에서 API 트래픽이 차지하는 비중은 매해 늘고 있다. 사용량이 늘면서 자연스럽게 공격자도 많아졌고, 피해사례 역시 급증하고 있다는 설명이다. 대기업도 API 공격에서 자유롭지 못하다.

특히 손 이사는 기존의 보안솔루션은 API 취약점을 방어하기에 한계가 있다고 지적했다. 각 사가 웹 방화벽(WAF)과 API 게이트웨이 등을 구축하고 있지만, 이것만으로는 API 공격을 모두 방어할 수 없다는 설명이다. API의 경우 타겟 공격이 가능하기 때문이다.

손 이사는 호주 최대 통신사 옵터스의 사례를 들면서 “2022년 고객 개인정보가 대량으로 유출되는 사고 발생했는데, API 보안 취약이 공격루트가 됐다”라며 “단계적으로 진입해 데이터를 탈취하는 웹 공격과 달리, API 공격은 직접 접근이 가능해 API 게이트웨이 및 웹 방화벽으로는 방어할 수 없다”고 말했다.

최근엔 논리적 설계 오류에 의한 API 공격이 늘고 있는 추세다. 손 이사는 피자업체 D사의 사례를 들었는데, D사에선 잘못된 카드 정보를 입력해 결제에 실패했는데 두번째 피자 주문에서 동일한 API를 호출하자 피자가 주문된 바 있다. 이러한 API의 취약점을 빠르게 탐지하고 차단하려면 AI·머신러닝 등을 활용한 실시간 분석과 학습이 필요하다고도 그는 강조했다.

손 이사는 “큰 기업에서 사용하는 API의 수만 평균 1만5000개“라며 "AI 기반의 자동화 관리 솔루션을 통해 API 트래픽을 분석해 (자사가) 어떤 데이터를 취급하고 있고, 어떠한 보안규정을 위배하고 있는지에 대해 파악할 필요하고 있다"고 밝혔다.

강소현 기자
ksh@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널