[디지털데일리 김보민기자] 아카마이테크놀로지스(이하 아카마이)가 국내 금융권을 대상으로 응용프로그램인터페이스(API) 보안 사업을 본격 추진한다. 노네임시큐리티 인수를 계기로 구축형(온프레미스)와 서비스형소프트웨어(SaaS)를 제공하는 하이브리드 솔루션 형태로 사업을 전개한다는 구상이다.

이경준 아카마이코리아 대표는 11일 서울 영등포구 콘래드서울 호텔에서 <디지털데일리>와 함께 주최한 오찬 세미나에 참석해 "올해 API 대표 브랜드 노네임을 인수해, 온프레미스와 SaaS를 아우르는 하이브리드 솔루션을 제공할 수 있게 됐다"고 밝혔다.

올해 금융보안원에서 클라우드서비스제공사(CSP) 안전성 대표 평가를 받은 점도 이러한 전략에 힘을 가할 것으로 기대했다. 이 대표는 "아카마이는 대규모 공격, 사이버 보안, 클라우드컴퓨팅 영역에서 고객에 안전성을 제공하고 컨설팅 서비스도 이어가고 있다"며 노네임과의 시너지가 '비장의 무기'가 될 수 있다는 점에 자신감을 드러냈다.

아카마이와 노네임시큐리티가 시너지를 낼 대표 영역은 'API 보안'이다. 주요 산업군 뿐만 아니라 금융권에서도 디지털전환(DX)에서 API를 활발히 활용하고 있는 만큼, 그간 양사가 쌓아온 역량을 결합해 시너지를 낸다는 취지다. 특히 금융권의 경우 컴플라이언스 차원에서 SaaS보다 온프레미스를 선호하는 경향이 있어, 이번 시너지에 따른 성과가 기대되는 부분이다.

이날 조상원 아카마이코리아 상무는 'API 위협요인(리스크)로부터 비즈니스 보호'를 주제로 발표를 진행했다. 조 상무는 "블록체인부터 인공지능(AI)까지 우리 삶에 최근 영향을 주고 있는 키워드를 떠올리면, 모두 밑바탕에 API가 있다는 공통점이 있다"며 "중요 데이터와 서비스를 주고받도록 하는 표준이 곧 API"라고 설명했다. 여기에 오픈API 개념까지 더해지면서, API 활용법 또한 다양하지는 추세다.

다만 API가 적용되는 구간이 넓어진다는 의미는 그만큼 보안을 강화해야 할 영역이 많아진다는 것을 뜻한다. 조 상무는 "API를 악용하거나 이를 표적 삼아 공격하려는 시도가 급격히 늘어나고 있다"며 "이전에 웹애플리케이션을 대상으로 발생한 침입 시도보다 많다"고 말했다. 아카마이에 따르면 최근 발생한 공격 중 70%는 API를 노린 것으로 나타났다. 조 상무는 "웹애플리케이션보다 API가 더 좋은 '먹잇감'이 됐다는 의미"라고 강조했다.

일각에서는 분산서비스거부(DDoS·디도스)를 막아주는 보안 솔루션이나, 봇(BoT) 특화 서비스로 API 울타리까지 강화할 수 있는 것이 아니냐는 시각이 나온다. 조 상무는 "웹의 일반적인 시그니처를 막을 수 있지만 API 특성을 악용하는 공격에는 쉽지 않다"고 단언했다.

아카마이의 API 보안 플랫폼 노네임은 가트너가 정의한 ▲발견(디스커버리) ▲포스쳐 ▲런타임 ▲액티브 테스팅 등 네 가지 영역에 특화돼 있다. 네트워크 요소는 물론 API 게이트웨이, 클라우드플랫폼, 보안정보및이벤트관리(SIEM), 워크플로, IT서비스관리(ITSM) 등과 통합도 용이하다. 온프레미스, SaaS, 하이브리드 환경 모두 지원한다.

노네임은 API 생애주기(라이프사이클) 전반을 지원하는 것이 특징이다. 먼저 디스커버 단계에서 레거시 및 섀도 API를 포함해 환경 전반에 걸쳐 모든 API를 검색하고 카탈로그화한다. 분석 단계에서는 소스 및 런타임에서 잘못된 구성과 이상징후를 식별한다. 문제 해결 단계에서는 소스코드 또는 API 보안 소견의 런타임 문제를 해결하기 위해 사용자 친화적인 워크플로를 제공한다. 마지막 보안 테스트 단계에서는 API 엔드포인트를 지속 테스트해, 리스크가 발생하기 전 이를 파악하고 개선한다.

끝으로 조 상무는 "새로운 솔루션이 필요한 시점"이라며 "써드파티와 사업을 연계해야 하는 금융 역시 비즈니스 전략을 고민할 때"라고 강조했다.