API 보안이란? 주요 유형 및 사용 사례

API(애플리케이션 프로그래밍 인터페이스)는 애플리케이션이 다른 애플리케이션, 서비스 또는 플랫폼과 통신하고 데이터를 교환하는 기능을 용이하게 하기 때문에 최신 애플리케이션 개발에서 핵심적입니다. API를 통해 기업은 외부 플랫폼 및 타사 서비스와 쉽게 통합하고 다양한 구성 요소를 연결하여 포괄적인 솔루션을 구축할 수 있습니다. 이를 통해 개발자는 앱 개발에서 기존 서비스 및 기능을 활용하고, 코드 재사용을 촉진하며, 개발 주기를 단축하고, 생산성을 개선할 수 있는 모듈식 접근 방식을 활용할 수 있습니다. API는 비즈니스 로직을 분리하고 분산하는 기능을 갖춘 최신 앱의 기본이며, 기존 애플리케이션을 API 기반 아키텍처로 발전시키는 데 사용되는 메커니즘이기도 합니다.

API는 접근성, 사용량 및 대상에 따라 여러 유형으로 분류할 수 있습니다.

• 비공개 API(내부 API라고도 함)는 조직에서 내부용으로 개발 및 유지 관리하며 조직 인프라 내의 여러 구성 요소 또는 서비스 간의 통신을 지원하는 데 사용됩니다. 비공개 API는 외부 개발자가 사용하기 위한 것이 아닙니다.
• 공개 API는 서비스, 플랫폼 또는 애플리케이션의 특정 기능이나 데이터에 액세스할 수 있도록 설계되었으며 외부 개발자, 타사 소프트웨어 애플리케이션 및 일반 대중에게 제공됩니다. 공개 API는 종종 제품 또는 서비스의 기능을 확장하고 타사 개발자가 애플리케이션이나 통합 기능을 구축하도록 장려하는 데 사용됩니다.
• 파트너 API는 특정 기능이나 데이터에 대한 제어된 액세스를 제공하기 위해 조직의 특정 파트너, 계열사, 고객 또는 B2B(기업 간) 협력자의 사용이 제한되는 공개 API의 하위 집합입니다. 이러한 API에 대한 액세스는 일반적으로 인증 및 권한 부여 메커니즘을 통해 허가됩니다.
• 타사 API는 외부 조직이나 개인이 다른 애플리케이션에 통합할 수 있는 기능을 제공하기 위해 개발합니다. 이러한 API를 통해 개발자는 외부 서비스, 라이브러리 또는 데이터 소스에 액세스하여 자체 애플리케이션을 개선할 수 있으며, 기존 서비스 또는 기능을 활용하여 시간과 비용을 절감하기 위해 소프트웨어 개발 시 널리 사용됩니다. 타사 API의 예로는 사용자 지정 지도를 표시하는 지도 제작 API나 여행 또는 관광 웹페이지에 지역 예보를 표시하는 날씨 API 등이 있습니다.

API는 멀티 클라우드 아키텍처 전반의 상호 의존적인 특성으로 인해 위험 표면을 확장하고 특히 예기치 못한 위험을 초래합니다. 웹 앱과 마찬가지로 API는 취약점 악용, 자동화된 위협에 의한 악용, 서비스 거부, 구성 오류, 인증 및 권한 부여 제어를 우회하는 공격에 취약합니다.

API는 그 특성상 사용자 데이터, 인증 자격 증명, 금융 거래와 같은 중요한 비즈니스 로직과 민감한 정보를 노출하며, 특히 로그인, 계정 생성, 장바구니 추가, 송금 기능 등이 공격자의 주요 타깃이 되고 있습니다. API는 취약점이나 약점을 악용하거나 기본 인프라와 리소스를 노출하려는 공격자의 진입 지점이 될 수 있습니다.

인증 및 권한 부여는 API 보안의 기본 요소입니다. 인증은 요청하는 주체가 본인이 맞는지 확인하여 API에 액세스하려는 사용자 또는 시스템의 신원을 확인하는 것입니다. 일반적인 인증 방법에는 사용자 이름/비밀번호, API 키, 토큰 및 생체 인식이 포함됩니다. 권한 부여는 인증된 사용자 또는 시스템이 API 내에서 수행할 수 있는 작업을 결정합니다. 여기에는 액세스 제어 규칙, 역할 및 권한 정의가 포함됩니다. 역할 기반 액세스 제어(RBAC) 및 속성 기반 액세스 제어(ABAC)가 일반적으로 사용되는 권한 부여 모델입니다. 적절한 권한 검사를 시행하여 조직은 인증된 클라이언트가 특정한 리소스에 액세스하거나 특정 작업을 수행하는 데 필요한 권한이 있는지 확인할 수 있습니다. 세분화된 액세스 제어는 민감한 API 엔드포인트 또는 데이터, 관련 개체 및 기능에 대한 액세스 권한을 제한할 수 있습니다.

OAuth(Open Authorization) 프로토콜은 강력한 인증 및 권한 부여 관행의 핵심 요소입니다. OAuth를 사용하면 사용자가 타사 애플리케이션과 사용자 이름 및 비밀번호를 직접 공유할 필요가 없습니다. 대신 OAuth는 제한된 범위의 권한을 나타내는 액세스 토큰을 부여하여 자격 증명 도용 및 오용의 위험을 줄입니다. API 제공자는 범위와 권한을 통해 세분화된 액세스 제어를 정의하여 타사 애플리케이션이 사용자가 승인한 특정 리소스 및 작업만 액세스할 수 있도록 하여 무단 액세스 위험을 줄일 수 있습니다.

인증 및 권한 부여 메커니즘을 부적절하게 구현하면 다음과 같이 API 보안에 여러 위협이 발생할 수 있습니다.

취약한 개체 수준 권한 부여. 이 보안 취약점은 애플리케이션이 개체 또는 데이터 수준에서 액세스 제어를 제대로 적용하지 못할 때 발생하며, 공격자가 권한 검사를 조작하거나 우회하여 애플리케이션 내 특정 개체 또는 데이터에 대한 무단 액세스를 허용할 수 있습니다. 개체의 ID를 수신하고 해당 개체에 대한 작업을 수행하는 모든 API 엔드포인트는 개체 수준 권한 검사를 구현하여 로그인한 사용자가 요청된 개체에 대해 요청된 작업을 수행할 수 있는 권한을 가지고 있는지 확인해야 합니다.

취약한 인증. API의 인증 메커니즘이 잘못 구현되어 공격자가 사용자 계정이나 민감한 데이터에 무단으로 액세스하거나 무단 작업을 수행할 수 있게 되는 경우가 많습니다.

취약한 개체 속성 수준 권한 부여. 이 위협은 API가 개체 속성 수준에서 액세스 제어 및 권한 확인을 제대로 시행하지 못할 때 발생합니다. API 엔드포인트가 민감한 것으로 간주되어 사용자가 읽어서는 안되는 개체의 속성을 노출하는 경우 이러한 공격에 취약합니다. 이러한 공격을 과도한 데이터 노출이라고도 합니다. 사용자가 민감한 개체의 속성 값을 변경, 추가 또는 삭제할 수 있도록 허용하는 경우에도 API 엔드포인트는 이러한 공격에 취약합니다. 이러한 공격을 대량 할당이라고도 합니다.

• 취약한 기능 수준 권한 부여. 이 위협은 API가 기능 또는 운영 수준에서 권한 검사를 제대로 시행하지 못하여 공격자가 권한이 없는 기능에 액세스할 수 있는 경우에 발생합니다. 최신 애플리케이션은 다양한 유형의 기능적 역할과 그룹을 정의하고 공격자가 조작할 수 있는 복잡한 사용자 계층 구조를 포함할 수 있기 때문에 적절한 권한 검사를 구현하기 어려울 수 있습니다.
• 민감한 비즈니스 흐름에 대한 제한 없는 액세스. 이 공격은 API에 적절한 액세스 제어 또는 권한 검사를 수행하지 않을 때 발생하며, 이를 통해 공격자는 API가 지원하는 민감한 비즈니스 흐름에 대한 액세스를 자동화할 수 있습니다. 공격자는 보통 정교한 자동화 툴킷을 사용하여 공격을 리툴링하고 타겟의 웹 앱이 자동화 방지 방어에 의해 적절하게 보호되는 경우 API에 적용되는 비즈니스 로직을 표적화하도록 전환할 수 있습니다.

JSON 웹 토큰(JWT)은 간결하고 독립적이며 안전한 방식으로 두 당사자 간에 데이터를 전송하는 개방형 표준 방법입니다. JWT는 토큰 기반 인증 및 권한 부여에 널리 사용됩니다. JWT를 사용하면 사용자 또는 클라이언트가 요청마다 자격 증명(예: 사용자 이름 및 비밀번호)을 반복해서 보낼 필요 없이 API 서버에 자신의 신원과 권한을 증명할 수 있으므로 네트워크를 통해 민감한 정보가 노출되는 것을 방지합니다. 이 토큰 기반 방식은 세션 하이재킹 등과 같은 잠재적인 공격에 노출되는 기간을 최소화하여 보안을 강화합니다. JWT는 취소할 수 있고 만료 시간이 있으며 그 후에는 무효화됩니다. 따라서 토큰이 무기한 유효한 상태를 유지할 위험이 완화됩니다.

JWT 검색 및 유효성 검사는 무단 액세스 또는 변조를 방지하기 위해 JWT의 타당성을 확인하는 중요한 메커니즘입니다. JWT 검색에는 JWT 확인에 사용되는 JSON 인코딩된 공개 키 또는 인증서를 찾아 확인하는 작업이 포함되며, JWT 유효성 검사는 JWT 발급자가 API의 예상 발급자와 일치하는지 확인합니다. 이렇게 하면 토큰이 신뢰할 수 있는 출처에서 온 것인지 확인하는 데 도움이 됩니다.

API는 다양한 암호화 기법을 사용하여 클라이언트와 서버 간에 전송되는 데이터를 보호함으로써 전송 중 교환되는 정보의 기밀성과 무결성을 보장합니다. API 요청과 응답을 보호하는 데 사용되는 기본 암호화 프로토콜은 HTTPS(HTTP over Secure Sockets Layer(SSL)/Transport Layer Security(TLS))로, 클라이언트와 서버 간에 전송 중인 데이터를 암호화하여 악의적인 제3자에 의한 데이터 도청 및 변조를 방지합니다. SSL/TLS는 비대칭 및 대칭 암호화를 모두 사용하여 전송 중 데이터의 기밀성과 무결성을 보호합니다. 비대칭 암호화는 클라이언트와 서버 간에 보안 세션을 설정하는 데 사용되며, 대칭 암호화는 보안 세션 내에서 데이터를 교환하는 데 사용됩니다. 이를 통해 공격자가 두 노드(이 경우 클라이언트와 API) 간에 교환되는 데이터를 보거나 변조할 수 없도록 차단합니다.

그러나 조직 인프라 내의 서로 다른 서비스 또는 구성 요소 간 또는 네트워크 내의 기계 간 API 호출을 의미하는 "동-서" 트래픽에 대해 엔드투엔드 암호화를 제공하는 것은 여러 암호화 키를 생성, 배포 및 관리해야 하므로 어려울 수 있습니다. 특히 대규모 환경에서는 통신하는 모든 구성 요소에 적합한 키를 적시에 사용할 수 있도록 하는 것이 복잡하며 지연 시간이 발생하고 엔드투엔드 암호화 구현의 확장성이 제한될 수 있습니다.

입력 유효성 검사 및 살균은 외부 소스에서 수신한 사용자 입력 또는 API 등과 같은 데이터가 안전하고 신뢰할 수 있으며 악성 콘텐츠가 없는 것을 보장하여 주입 공격 및 기타 악용을 방지합니다. 유효성 검사 규칙은 유효한 데이터로 간주되는 항목을 정의합니다. 이러한 규칙에는 데이터 유형 검사(예: 숫자, 영문자, 이메일 형식), 길이 제약 조건, 형식 요건 및 사용자 정의 비즈니스 로직이 포함됩니다. 입력 유효성 검사에 실패하는 경우(즉 데이터가 정의된 기준을 충족하지 못하는 경우), 애플리케이션에서 입력을 거부하여 더 이상 처리되지 못하도록 합니다.

입력 살균은 잠재적으로 유해하거나 악의적인 콘텐츠를 제거 또는 무효화하기 위해 데이터를 정리하거나 필터링하는 프로세스입니다. 입력 유효성 검사 및 살균은 다양한 공격, 특히 주입 공격으로부터 시스템을 보호하는 데 도움이 됩니다. 이러한 공격은 공격자가 신뢰할 수 없거나 악의적인 데이터를 명령 또는 쿼리 언어에 삽입하거나, 사용자가 제공한 데이터를 애플리케이션에서 검증, 필터링 또는 살균하지 않아 악성 명령이 실행될 때 발생합니다. 주입 공격에는 NoSQL, OS 명령, LDAP 및 SQL 주입 공격이 포함되며, 공격자가 다른 사용자가 보는 웹 페이지에 JavaScript 등의 악성 클라이언트 측 스크립트를 삽입하는 크로스 사이트 스크팁팅(XSS)도 포함됩니다.

이러한 메커니즘은 클라이언트가 API에 요청할 수 있는 속도를 제어하여 API의 남용 또는 과도한 사용을 방지하고, 과도한 리소스 소모를 방지하며, 잠재적인 서비스 거부(DoS) 공격으로부터 API를 보호할 수 있습니다.

감사 추적 및 로그는 요청을 시작한 사람, 액세스한 엔드포인트, 요청이 발생한 시기 등 API 요청 및 응답에 대한 자세한 정보를 캡처하여 API 활동에 대한 가시성을 제공합니다. 보안팀은 로그를 분석하여 반복적인 로그인 시도 실패, 예기치 않은 데이터 액세스 또는 비정상적인 트래픽 급증 등과 같은 비정상적이거나 의심스러운 패턴의 API 활동을 감지할 수 있습니다. 이러한 이상 징후는 해킹 시도나 데이터 유출과 같은 보안 사고를 나타낼 수 있습니다. 또한 감사 추적 및 로그는 보안 침해 또는 의심스러운 활동이 발생하는 경우 중요한 포렌식 데이터 소스의 역할도 합니다.

안전한 API를 설계하기 위해서는 API와 상호 작용하는 시스템 및 사용자의 신원을 확인하기 위한 강력한 인증 메커니즘 구현을 포함하여 강력한 보안 제어 장치가 필요합니다. 권한 제어를 사용하면 액세스 권한을 정의하고 시행하여 권한이 부여된 엔터티만 특정 작업을 수행할 수 있도록 합니다. 사용자 및 시스템에 작업 수행에 필요한 최소 권한을 부여하여 최소 권한 원칙을 따릅니다. 과도한 권한은 API의 오용 또는 악용으로 이어질 수 있으므로 피합니다. 네트워크를 통해 전송되는 데이터를 보호하려면 SSL/TLS 등의 강력한 암호화를 사용합니다. 클라이언트 및 기타 소스에서 수신한 모든 입력의 유효성을 검사하고 살균하여 주입 공격 같은 일반적인 보안 취약점을 방지합니다.

또한 취약점 공격으로부터 API를 보호하는 것이 중요합니다. 여기에는 알려진 보안 약점을 해결하기 위해 모든 API 종속성, 라이브러리 및 프레임워크를 최신 상태로 유지하기 위한 정기적인 패치 관리가 포함됩니다. DDoS 공격의 위험을 완화하려면 지정된 기간 내에 수행할 수 있는 요청 수를 제한하는 속도 제한 및 스로틀링 메커니즘을 구현하는 것이 중요합니다. 또한 비즈니스 로직 악용도 API 보안의 중대한 취약점입니다. 이러한 공격에서는 애플리케이션의 기본 로직 및 프로세스를 악의적인 목적을 달성하기 위해 활용합니다. 예를 들어 공격자는 API의 비즈니스 로직을 조작하여 특정 기능 또는 리소스에 무단으로 액세스하거나 중요한 데이터를 유출할 수 있습니다. 강력한 액세스 제어 및 권한 부여 메커니즘은 승인된 사용자만 특정 API 비즈니스 로직 기능에 액세스할 수 있도록 하는 데 도움을 줄 수 있습니다.

일반적으로 API를 설계할 때는 사용자 또는 개발자에게 가장 놀랍지 않는 방법과 규칙을 선택하는 “최소 놀라움의 원칙(principle of least astonishment)”'을 준수합니다. API 사용자는 보안 기능의 작동 방식과 기대되는 사항을 명확하게 이해해야 합니다. 보안 기능이 사용자의 기대와 기존 업계 관행에 부합할 때 사용자는 실수하거나 오해할 가능성이 적습니다.

런타임 탐지 시스템은 머신 러닝과 행동 분석을 사용하여 정상적인 API 동작의 기준선을 설정하고 이 기준선에서 벗어나는 것을 감지하면 경고합니다. 이러한 비정상적인 동작에는 이례적인 API 요청 패턴, 예상치 못한 데이터 흐름, 무단 액세스 시도 등이 포함될 수 있습니다. 런타임 탐지의 목적은 개발 또는 배포 중에 적용되는 정적 보안 조치에 의존하지 않고 실시간으로 발생하는 보안 위협과 취약점을 식별하고 대응하기 위한 것입니다.

API Gateway는 API 트래픽에 대한 중앙 제어, 보안 및 관리 지점을 제공하여 API 생태계에서 보호 계층 역할을 합니다. API Gateway는 인증 및 권한 부여 정책 시행, 트래픽 필터링, 속도 제한, 스로틀링 등을 포함한 여러 일반적인 위협과 운영상의 문제로부터 기본 API 인프라를 보호하는 보안 및 관리 계층의 역할을 하여 API 남용을 방지합니다. 또한 API Gateway가 API 트래픽 및 활동의 상세한 로그를 캡처하므로 실시간 로깅 및 모니터링 기능을 제공하여 사고의 감사 또는 조사에 중요하게 사용될 수 있습니다.

CORS는 웹 브라우저에서 구현되는 일련의 보안 정책으로, 웹 애플리케이션이 JavaScript와 같은 클라이언트 측 기술을 사용하여 교차 원본(즉, 다른 도메인 또는 원본 간) 요청을 제어하고 관리합니다. CORS는 웹 서버가 교차 원본 요청에 응답하는 방식을 관리하는 일련의 HTTP 헤더를 적용하는 방식으로 작동합니다. 또한 CORS는 웹 페이지가 다른 도메인에서 호스팅되는 API, 웹 서비스 또는 자산의 리소스를 요청하고 상호 작용하는 동시에 웹 보안을 유지하는 데 필수적입니다.

인터넷에 노출되는 API를 보호할 때는 CORS 정책을 통해 API에 액세스할 수 있는 도메인을 제어하여 신뢰할 수 있는 도메인만 보호된 리소스에 액세스할 수 있도록 해야 합니다. 지나치게 관대한 설정으로 인해 API가 CSRF(사이트 간 요청 위조) 공격 및 기타 보안 위험에 노출되지 않도록 합니다.

정기적인 테스트, 모니터링 및 소프트웨어 패치는 사전 예방적 API 보안 전략의 필수 구성 요소입니다. 지속적인 모니터링 중점 영역에는 정기적으로 예약된 취약점 검사 및 침투 테스트가 포함되어 API의 약점, 취약점 및 잘못된 구성을 식별하는 데 도움이 되며, 정적 코드 분석 및 동적 애플리케이션 보안 테스트(DAST)는 API 코드베이스 및 런타임 동작에서 보안 약점을 평가합니다. 패치되지 않은 소프트웨어는 공격자의 주요 표적이 될 수 있으므로 운영 체제, 웹 서버, 라이브러리 및 프레임워크 등과 같이 API 스택에 사용되는 소프트웨어 구성 요소를 정기적으로 업데이트하여 알려진 취약점을 해결해야 합니다.

전자 상거래 기업과 결제 게이트웨이 플랫폼은 처리하는 민감한 데이터와 금융 거래의 양으로 인해 강력한 API 보안이 필수적입니다. 전자 상거래 기업은 로그인, 제품 검색 및 표시, 장바구니, 배송비 견적 및 결제 처리를 포함하여 대부분 고객 접점에서 API를 사용합니다. 또한 API는 이전 고객을 위한 신규 구매 추천에서 리뷰 및 평점 추적, 챗봇과의 상호 작용에 이르기까지 기업이 고객 경험을 향상시킬 수 있도록 지원합니다.

API는 모바일 앱과 다양한 서비스, 데이터 소스 및 타사 플랫폼 간에 연결하는 역할을 하므로 모바일 앱 통합에 있어 API 보안은 매우 중요합니다. 모바일 앱은 종종 앱이 데이터를 요청하고 수신하는 구조화된 방법을 제공하는 API를 통해 백엔드 서버 또는 외부 서비스와 데이터를 교환해야 합니다. 모바일 앱과 API의 안전한 상호 작용을 보장하는 것은 보안 침해 방지, 인증 및 액세스 제어 보호, 앱 및 연결된 시스템 모두의 전반적인 보안 상태 유지에 매우 중요합니다.

의료 데이터에는 일반적으로 의료 기록, 진단, 치료 계획, 청구 세부 정보 등과 같은 민감한 기밀 환자 정보가 포함되며, API는 의료 서비스 제공자, 지급인 및 기타 이해관계자 간에 민감한 환자 정보를 쉽게 공유할 수 있도록 합니다. 이러한 API의 보안을 보장하는 것은 환자 개인정보 보호, 의료 규정(예: 미국의 HIPAA) 준수 및 의료 데이터의 무결성 유지에 있어 매우 중요합니다.

강력한 API 보안은 금융 서비스 데이터의 기밀성, 무결성 및 가용성을 보장하고 오픈 뱅킹 솔루션을 운영하기 위한 기본 요건입니다. API 보안은 여러 금융 기관, 결제 제공업체, 핀테크 기업 간에 금융 데이터를 안전하게 교환하는 데 핵심적인 역할을 할 뿐만 아니라, 유럽 연합의 Payment Services Directive 2 및 미국의 PCI DSS 등과 같은 규정에서 요구하는 데이터 암호화 및 액세스 제어 요건을 준수하는 데도 도움이 됩니다. 또한 API 보안은 사기 방지와 오픈 뱅킹 이니셔티브를 지원하는 타사 통합을 보호하는 핵심적인 역할도 담당합니다.

API 보안은 IoT 디바이스, 애플리케이션 및 서비스가 안전하게 통신하고 데이터를 보호하며 전체 생태계의 무결성을 유지할 수 있도록 하는 IoT의 핵심 요소입니다. IoT 디바이스는 API를 통해 상호간에 통신하거나 엣지 게이트웨이 및 클라우드 플랫폼과 통신합니다. API 보안은 디바이스와 다른 생태계 구성 요소 간에 교환되는 데이터를 기밀로 유지하고 인증하며 무단 액세스로부터 보호합니다. 또한 IoT 네트워크에는 종종 고유한 ID를 가진 수많은 디바이스가 포함되며 API 보안은 디바이스 ID의 무결성을 유지하고 사칭 또는 무단 액세스를 방지하기 위해 디바이스 ID 관리를 제공할 수 있습니다. IoT 생태계에는 디바이스의 온보딩, 프로비전, 업데이트 및 안전한 해체를 관리하는 기능이 필요하며 API 보안은 안전한 펌웨어 업데이트를 비롯한 전체 디바이스 수명 주기 관리를 지원하는 데 도움을 줄 수 있습니다.

AI와 ML의 방대한 처리 능력은 API 보안을 근본적으로 변화시킬 준비가 되어 있습니다. 머신 러닝 모델은 정상적인 API 사용 패턴의 기준선을 만들 수 있으며, 이러한 기준선을 벗어나는 경우나 기타 비정상적인 동작은 경보 또는 자동화된 대응을 트리거하여 잠재적인 보안 침해를 예방할 수 있습니다. 또한 AI는 기존의 규칙 기반 시스템이 놓칠 수 있는 복잡한 공격 패턴과 제로데이 취약점을 식별할 수 있습니다. AI 시스템은 더욱 스마트해지면서 과거 데이터와 새로운 트렌드를 기반으로 잠재적인 보안 위협을 예측할 수 있는 가능성을 통해 변화하는 위협에 대응하여 적응하고 진화하고, 새롭고 정교한 공격에 보다 효과적으로 대응할 수 있습니다. 보안팀은 이러한 사전 예방 접근 방식으로 취약점이 악용되기 전에 해결할 수 있게 됩니다.

제로 트러스트 모델은 "절대 신뢰하지 말고 항상 검증하라"는 원칙을 지지하며, API 보안에 적용할 경우 API 엔드포인트와 서비스를 각 요청에 대해 인증과 권한 부여가 필요한 별도의 엔터티로 취급한다는 것을 의미합니다. 제로 트러스트는 네트워크 내부 또는 외부의 어떤 엔터티도 기본적으로 신뢰할 수 없으며, 리소스에 대한 액세스 권한은 알아야 할 필요성에 따라 부여되어야 한다고 가정합니다. 여기에는 API 액세스에 대한 최소 권한 원칙 구현이 포함되는데, 이 원칙은 특정 작업이나 역할에 필요한 권한만 부여하고 변화하는 요구 사항에 따라 액세스 권한을 정기적으로 검토하여 업데이트합니다. 제로 트러스트는 최초 액세스 권한이 부여된 이후에도 디바이스, 사용자 및 애플리케이션을 지속적으로 검증하고 행위 및 디바이스 규정 준수에 따라 신뢰 수준을 재평가합니다.

블록체인의 핵심 기능은 일단 블록체인에 추가되면 데이터가 변경되지 않는다는 것입니다. 따라서 API를 통해 액세스하는 데이터는 변조가 불가능하므로 악의적인 공격자가 탐지 없이 데이터를 변경하는 것이 사실상 불가능합니다. 또한 블록체인은 자산, 액세스 권한 또는 자격 증명을 토큰화하여 API 액세스를 관리하고 제어하는 데 사용할 수 있으므로 액세스 제어 관리를 단순화할 수 있습니다. API는 스마트 계약을 통해 액세스 제어 정책을 시행하여 권한이 있는 사용자 또는 애플리케이션만 특정 API 리소스와 상호 작용할 수 있도록 합니다. 블록체인은 데이터와 트랜잭션을 분산하여 중앙 서버 또는 데이터베이스와 같은 단일 장애 지점에 대한 의존성을 줄입니다. 따라서 공격자는 API 보안을 침해하기 더 어렵게 됩니다.