블로그 | CTO 사무실

통합 앱 및 API 보안 전략의 사례

로리 맥비티 썸네일
로리 맥비티
2023년 8월 9일 게시

앱과 API 보안이 더욱 전문화된 것은 분명합니다. API는 더 이상 단순히 애플리케이션을 URI 기반으로 진입하는 지점이 아닙니다. API는 성장하여 자체적인 보안 요구 사항을 갖춘 별도의 개체가 되었습니다.

이러한 보안 요구 사항의 대부분은 API 상호작용의 특성과 관련이 있습니다. 즉, API는 거래별로 승인되어야 합니다. 이는 일반적으로 세션별로 권한을 적용하는 앱과는 현저히 다릅니다.

또한, API의 상호작용 속도도 더 높은데, 이는 API 보안에 특별한 과제를 제기하는 다른 특성들과 마찬가지입니다.

 

  API
메시지 형식 유창함 HTML, JSON, XML ProtoBuf, JSON, GraphQL, 바이너리, XML, 데이터 형식
상호 작용 정적이고, 드물게 변화함 역동적이고 빈번한 변화
데이터 구조화되고 거래적인 비구조화/스트리밍 및 트랜잭션
사용자 인간 소프트웨어, 인간
사용자 에이전트 브라우저, 앱 소프트웨어, 장치, 스크립트, 앱, 브라우저
입증 세션 기반 거래 기반(ZT와 더 유사)
프로토콜 유창성 HTTP/2, QUIC gRPC, 웹소켓, HTTP/S, QUIC

앱과 API를 비교해 보면 보안 요구 사항에 차이가 생기는 이유를 알 수 있습니다. 

그러나 보안 솔루션을 구현할 때 앱과 API 모두에 공통적으로 적용되는 보안 위험을 고려해야 합니다. 예를 들어, 최근 업데이트된 2023 API 보안 상위 10개는 애플리케이션과 공유되는 위험의 하위 집합을 명확히 보여줍니다.

  • 취약한 인증/권한 부여 제어
  • 잘못된 구성
  • 비즈니스 로직 남용(자격 증명 채우기, 계정 인수)
  • 서버 측 요청 위조(SSRF)

이러한 위험 외에도 가용성을 표적으로 삼는 공격이 상당수 계속되고 있습니다. 즉, 앱과 API 모두에 공통적으로 발생하는 DDoS 공격입니다. 이는 일반적으로 TCP와 HTTP에 대한 동일한 종속성을 공유하며, 둘 다 액세스와 가용성을 방해하도록 설계된 다양한 공격의 대상이 되기 때문입니다. 

앱, API 및 이를 지원하는 인프라의 보안 과제를 해결하는 한 가지 방법은 여러 솔루션을 배포하는 것입니다. 봇 및 사기 방어, DDoS 보호, 앱 보안 및 API 보안. 이를 통해 보안 문제는 확실히 해결할 수 있지만 운영상의 문제가 발생하고 정책 변경 관리 및 앱과 API에 영향을 미치는 위협에 대응하는 등 보안 관련 작업이 더욱 복잡해집니다. 복잡성은 보안의 적인 동시에 속도의 적인 경우도 있습니다.

당사의 연례 연구 에 따르면, 보안 서비스 도입을 견인하는 가장 중요한 요인은 새롭게 등장하는 위협에 대응하는 속도입니다. 새로운 위협을 완화하기 위해 패치, 업데이트 또는 새로운 정책의 배포가 필요한 각 솔루션은 시간을 늘리고 잘못된 구성이나 실수의 가능성을 높입니다. 따라서 위협을 완화하는 데 걸리는 시간은 복잡성에 따라 증가합니다. 특히 조직이 여러 환경(하이브리드 IT)에서 운영하고 환경별 보안 솔루션을 활용하는 경우 더욱 그렇습니다. 그것이 선형적 증가인지 기하급수적 증가인지 판단하기 위해 수학을 하고 있는 건 아닙니다. 솔직히 말해서 임박한 위협에 대응하는 시간을 늘리는 것은 좋은 것이 아니기 때문입니다.

그렇기 때문에 더 나은 접근 방식은 솔루션을 결합하여 위협에 맞서기 위해 설계된 기능에 대한 운영 및 보안 관리를 공유하는 동시에 앱과 API에 고유한 프로토콜과 페이로드를 처리하기 위한 특정 보안 정책을 허용하는 것입니다.

이는 통합된 애플리케이션 및 API 보안 전략으로 이어지며, 여기서 공통적인 기능은 점점 더 세분화되고 구체적으로 공유되어 앱 또는 API에 더 가깝게 적용됩니다. 결국 봇은 봇이고, 앱과 API의 데이터 품질, 제공 비용 및 위험 프로필에 미치는 영향은 공통된 관심사입니다. DDoS는 DDoS입니다. 동일한 문제를 해결하기 위해 두 배나 많은 서비스를 운영하는 것은 모든 지표에서 비효율적입니다.

통합된 애플리케이션과 API 보안 전략은 운영적, 재정적, 구조적 측면에서 합리적입니다.