“디지털의 근간은 API(Application Programming Interface)입니다. 세계적으로 인공지능(AI) API 전환이 이뤄지는 만큼, 급변하는 시대에 최적화한 API 관리 방안 마련이 시급합니다.”
주해종 강남대 교수는 “국내외 첨단산업 인프라가 급속도로 디지털 환경으로 전환되고 있다”며 “이 과정에서 API가 디지털 핵심 요소로 뿌리내리고 있다”고 강조했다. 주 교수는 강남대 SW중심대학사업단장을 맡아 산업 환경에 적합한 빅데이터와 AI 융합 전문가를 양성하고 있다. 이를 통해 4차 산업혁명 핵심인력 육성과 사이버 보안 활성화에 기여하고 있다. 다음은 일문일답.
-API 보안 중요성은.
▲API는 특성상 외부와 상호작용을 위한 창구 기능을 한다. 방어막이 제대로 구축되지 않으면 해커의 주요 표적이 된다. 해커는 API 취약점을 악용해 민감한 정보에 접근하거나, 시스템을 파괴하는 공격을 감행할 수 있다. 데이터 유출, 권한 상승, 무차별 대입 공격(Brute Force), API를 통한 악성 행위 등이 대표 위협이다.
체크포인트 리서치 보고서 '그림자 위협, 웹 API 사이버 공격 증가'에 따르면 세계 기관 약 20%가 API 공격을 받고 있다. 보고서는 API가 사이버 공격의 중심 타깃이 됐다고 진단했다. 국내 SW·보안 전문가도 API가 해커의 표적이 됐다고 우려한다.
기업이 자체 보안 투자에 주력했지만 API 보안에 대해서는 무관심한 경우가 많다. 그러나 API는 네트워크의 중심이며, 기업 내부 데이터와 시스템을 외부에 노출할 요소라는 점을 인지해야 한다. API 보안 취약점은 곧바로 전체 시스템의 취약점으로 이어진다.
-주요 API 보안 위협은.
▲흔한 사례는 인증 및 권한 관리 실패다. 많은 API가 적절한 인증 절차 없이 외부 요청을 받아들이거나, 사용자 권한을 적절히 구분하지 않는다. 이런 취약점은 해커가 관리자 권한을 탈취하거나, 일반 사용자로 가장해 민감한 정보에 접근하도록 만든다.
다른 문제는 과도한 데이터 노출이다. 많은 API가 불필요한 정보를 응답에 포함한다. 공격자에게 민감한 데이터를 노출한다. 이는 여러 사고의 빌미가 된다.
레이트 리미팅(Rate Limiting) 부재도 우려된다. API는 특성상 짧은 시간 안에 다수 요청을 처리한다.
해커가 API에 무차별 대입 공격을 가하거나 대량 요청을 통해 시스템을 과부하하는 공격을 시도할 수 있다. 이에 대비해 요청 속도 제한을 설정해야 한다. 조처하지 않는다면 서비스 거부(DDoS) 공격에 취약해진다.
-대응 방안은.
▲강력한 인증 및 권한 관리가 요구된다. API에 접근하는 모든 요청에 대해 적절한 인증 절차를 거치고, 각 사용자에게 필요한 최소한의 권한만 부여해야 한다. OAuth 2.0과 같은 표준 인증 프로토콜을 사용하는 것도 방법이다.
민감한 데이터를 보호해야 한다. API 응답에서 민감한 데이터가 노출되지 않도록 최소 정보만 전달하고, 데이터 암호화 방식을 적용해야 한다. 데이터 유출을 방지하려면 전송 중인 데이터를 SSL/TLS로 암호화해야 한다. 저장 데이터 암호화도 필요하다.
AI API를 통해 위험을 더 빠르게 판단하고, API 사용 증가와 관련된 공격 패턴을 방어하기 위해 AI 보안 SW를 API 구조에 통합하는 표준화를 달성해야 한다.
-API 보안 제고를 위해 제언한다면.
▲API 보안에 대한 깊이 있는 이해와 체계적인 대응책 마련이 그 어느 때보다 중요하다. 기업과 조직은 API 보안을 철저히 관리하고, 관련 전문가를 양성해야 한다. 디지털 환경에서 API 보안은 선택이 아닌 필수다.
API 보안의 토대를 단단하게 쌓아야 한다. API를 향한 공격과 관련 기술 흐름에서 도태되지 않기 위한 국가적 대책이 필요하다.
임중권 기자 lim9181@etnews.com
