보안

[딜라이트닷넷] 'API 공격' 주의보…금융 서비스도 안전하지 않다

김보민 기자
[ⓒ픽사베이]
[ⓒ픽사베이]

[IT전문 미디어 블로그=딜라이트닷넷] 응용프로그램인터페이스(API)와 애플리케이션에 대한 웹 공격이 증가하고 있다는 조사 결과가 나왔다.

특히 민감 데이터를 다루는 금융 서비스에서 관련 위협 동향이 다수 발생하고 있어, 방어 체계 강화에 대한 목소리가 커질 전망이다.

8일 아카마이테크놀로지스의 신규 인터넷 현황 보고서(State of the Internet·SOTI)에 따르면, 공격자들은 수익성이 높은 위협 대상으로 API와 애플리케이션을 꼽고 있다. 지난 6월에만 전 세계적으로 API 및 애플리케이션에 대한 웹 공격이 260억건 이상 발생했다.

아시아태평양및일본(APJ)으로 범위를 좁혀보면, 지난해 대비 관련 공격은 약 65% 증가했다. 지난해 1분기를 기점으로 APJ를 겨냥한 웹 공격이 늘었고, 올 6월 48억건을 기록하며 정점을 기록한 것이다.

업계로 나눠보면 금융 서비스와 커머스 부문이 웹 공격을 가장 많이 받았다. 아카마이에 따르면 API 및 애플리케이션 공격은 '남용 기회'가 많다는 부분에서 취약점이 있다.

일부 기업의 경우 사업을 확장하자는 취지로 애플리케이션을 서둘러 배포하는 경향을 보이는데, 이 과정에서 잘못된 코딩이나 디자인 결함 등이 노출될 수 있다. 비즈니스 로직 자체를 남용할 기회도 있어, 사실상 공격 표면이 확장된다고 해석할 수도 있다.

아카마이는 API 공격이 데이터 유출뿐만 아니라 무단 접근(액세스), 분산서비스거부(DDoS·디도스) 공격 등 다양한 형태로 번질 수 있다고 우려했다. 보고서에 따르면 APJ 지역에서는 웹사이트와 온라인 서비스 애플리케이션 레이어를 표적으로 하는 '레이어 7' 디도스 공격이 지난 1년간 5배 증가했다.

공격 규모로 보면 총 5조1000억건에 달한다. 이러한 공격은 웹사이트 서비스에 요청을 폭증시키고 과부하를 일으킬 수 있다. 금융 서비스로 좁혀 보면, 자칫 관련 속도가 느려지거나 사용자가 접속할 수 없는 사태가 발생할 수 있다는 의미다.

아카마이는 이러한 디도스 공격이 애플리케이션 단위를 넘어 인프라에 대한 영향을 끼칠 수도 있다고 지적했다. 보고서는 "API와 애플리케이션에 대한 공격이 성공하면 막대한 비용을 지불하는 등 여파가 있을 수 있다"며 "웹 공격이 집중되는 환경을 고려해, 보안을 강화하기 위한 모범 사례를 구축해야 한다"고 말했다.

한편 지난해 1분기부터 올해 1분기까지 웹 공격이 가장 많이 발생한 APJ 국가는 호주였다. 이어 인도, 싱가포르, 중국, 일본, 뉴질랜드, 한국, 홍콩 등이 뒤를 이었다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널