요약 : 보안 외신 해커뉴스에 의하면 API가 총 인터넷 트래픽에서 차지하는 비중이 높고, 이를 공격자들이 적극 활용하는 중이라고 한다. 보안 업에 임퍼바(Imperva)가 조사한 결과를 인용한 것으로, 여기에 따르면 2023년 인터넷 트래픽의 73%가 API 호출과 관련이 있었다고 한다. 기업 사이트의 경우 2023년 한 해 동안 평균 15억 회의 API 호출을 기록했다고 나온다. API가 디지털 전환의 핵심 요소라는 사실이 여실히 드러나는 것으로, 공격자들 역시 이 점에 착안해 API 엔드포인트들을 공략하는 방법을 계속해서 개발하고 있다. 그 중 가장 많이 사용되는 전략은 ‘계정 장악’으로, API 인증 단계를 침해함으로써 API와 관련된 계정을 가져가는 것이다. 2023년 한 해 동안 발생한 모든 계정 장악 공격 중 45.8%가 API 엔드포인트를 노린 것이었다.

인터넷 트래픽의 대부분을 차지하는 API, 공격자들이 악용

[이미지 = gettyimagesbank]

배경 : API는 디지털 전환에 있어 핵심 요소다. 특정 기능을 자유롭게 가져다 쓸 수 있게 해주는 것으로, 개발자들이 앱을 개발할 때 필요한 모든 기능을 하나하나 다 코딩해서 넣지 않아도 되도록 해주기 때문이다. 이 때문에 앱 개발이 활성화되고 속도도 빨라지며, 따라서 혁신도 가속화된다. 하지만 이런 API에 대한 보안은 그리 높은 수준으로 유지되지 않는 게 보통이다.

말말말 : “API도 데이터 보호하듯 보호해야 합니다. 민감한 것들이 무엇이며 어떻게 어떤 목적으로 활용되고 있는지 하나하나 추적해 관리해야 하지요. 앞으로 API는 더 널리 사용될 것인데, 지금부터 API 보안 개념을 확립시키고 전파해야 합니다.” -임퍼바-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>