OWASP API 보안 상위 10개 개요 및 모범 사례

강력한 API 보안 조치는 데이터를 무단 액세스, 조작 또는 노출로부터 보호하여 개인 정보 보호를 보장하고 사용자와 이해관계자의 신뢰를 유지하며 API의 기밀성, 무결성 및 가용성을 보장하는 데 필요합니다 . API 보안에 대한 모범 사례는 다음과 같습니다.

• 강력한 인증 및 승인을 구현합니다. 인증된 클라이언트가 특정 리소스에 액세스하거나 특정 작업을 수행하는 데 필요한 권한을 가지고 있는지 확인하기 위해 적절한 권한 부여 검사를 시행합니다. 세부적인 액세스 제어를 사용하여 민감한 API 엔드포인트나 데이터, 그리고 관련 객체와 기능에 대한 액세스를 제한합니다.
• 입력 및 출력 인코딩을 검증합니다. API 클라이언트에서 수신한 모든 입력을 검증하고 정리하여 주입 공격을 방지하고, 악성 스크립트의 실행을 방지하기 위해 출력을 적절히 인코딩합니다.
• 안전한 의사소통을 사용하세요. API 클라이언트와 서버 간 데이터 전송에 보안 프로토콜을 채택하고 전송 중 및 저장 중인 중요한 정보를 암호화하여 데이터의 기밀성과 무결성을 보장합니다. 
• 속도 제한 및 조절을 구현합니다. 과도한 사용이나 DDoS(분산 서비스 거부) 및 무차별 대입 공격과 같은 무단 액세스 시도를 방지하기 위해 API 클라이언트가 지정된 시간 내에 할 수 있는 요청 수에 제한을 적용합니다.
• 정기적으로 보안 테스트와 감사를 실시합니다. API의 잠재적인 취약성을 식별하고 해결하기 위해 정기적인 보안 평가, 침투 테스트 및 코드 검토를 수행하고, 보안 감사를 수행하여 취약점을 탐지하고 업계 표준 및 요구 사항을 준수하는지 확인합니다. 이는 API와 기반 프레임워크 및 라이브러리의 상호 종속성 때문에 특히 중요합니다.
• 스키마 및 프로토콜 준수를 강화합니다. OpenAPI 사양을 사용하여 긍정적인 보안 모델을 자동으로 생성하고 적용하는 것은 일관된 보안 정책을 보장하는 데 귀중한 도구입니다.
• API를 동적으로 발견하고 지속적으로 평가합니다. API의 확산으로 인해 섀도우 API를 포함하여 설명되지 않거나 유지 관리되지 않는 API가 생겨났습니다. 보안 제어는 예상치 못한 타사 상호 종속성 위험을 완화하기 위해 제로 트러스트 및 최소 권한 액세스 패러다임을 사용하여 API를 지속적으로 인벤토리하고 보호해야 합니다. 
• 포괄적인 위협 감지. API는 악용, 구성 오류, 봇, 사기 및 남용을 포함한 다양한 위협에 노출되어 있으며 이로부터 보호되어야 합니다.

OWASP API 보안 10대 보고서 - 2023은 일반적인 API 보안 취약점에 대한 인식을 높이고 API 개발 및 유지 관리에 참여하는 개발자, 설계자, 아키텍트, 관리자 및 기타 관계자가 API 보안에 대한 사전 예방적 접근 방식을 유지할 수 있도록 돕기 위해 마련되었습니다.

2023년 OWASP API 보안 상위 10대 위험은 다음과 같습니다.  

1. 손상된 개체 수준 권한 부여. 이러한 보안 취약점은 애플리케이션이 객체 또는 데이터 수준에서 액세스 제어를 제대로 시행하지 못할 때 발생하며, 공격자가 권한 부여 검사를 조작하거나 우회하고 애플리케이션 내의 특정 객체나 데이터에 대한 무단 액세스를 허용할 수 있습니다. 이는 권한 확인의 부적절한 구현, 적절한 검증 부족 또는 액세스 제어 우회로 인해 발생할 수 있습니다. 객체의 ID를 수신하고 객체에 대한 모든 작업을 수행하는 모든 API 엔드포인트는 로그인한 사용자에게 요청된 객체에 대한 요청된 작업을 수행할 권한이 있는지 확인하기 위해 객체 수준 권한 부여 검사를 구현해야 합니다.
2. 인증이 손상되었습니다. API의 인증 메커니즘은 종종 잘못 구현되어 공격자가 사용자 계정이나 중요한 데이터에 무단으로 액세스하거나 무단 작업을 수행할 수 있습니다. 일반적으로 인증 프로세스의 부적절한 구현이나 구성, 취약한 암호 정책, 세션 관리 결함 또는 인증 워크플로의 기타 취약점으로 인해 발생합니다. 
3. 깨진 객체 속성 수준 권한 부여. 이러한 위협은 API가 개체 속성 수준에서 액세스 제어 및 권한 부여 확인을 제대로 시행하지 못할 때 발생합니다. API 엔드포인트는 사용자가 읽어서는 안 되는 민감한 객체의 속성을 노출할 경우 이러한 공격에 취약하며, 이러한 악용은 과도한 데이터 노출 이라고도 합니다. API 엔드포인트도 사용자가 민감한 객체의 속성 값을 변경, 추가 또는 삭제할 수 있는 경우 이러한 공격에 취약합니다. 이러한 악용을 대량 할당 이라고도 합니다.
4. 제한 없는 리소스 소비. 리소스 소진이라고도 불리는 이 공격은 API 구현의 약점을 악용하여 CPU, 메모리, 대역폭 또는 기타 시스템 리소스 등의 과도한 양의 리소스를 의도적으로 소모하는 것입니다. 이러한 서비스 거부(DoS)는 API 또는 기반 시스템의 성능이나 가용성을 저하시키고 가동 중지 시간을 초래할 수 있습니다.  
5. 손상된 기능 수준 권한. 이러한 위협은 API가 기능 또는 운영 수준에서 권한 검사를 제대로 시행하지 못해 공격자가 승인되지 않은 기능에 액세스할 수 있을 때 발생합니다. 적절한 권한 부여 검사를 구현하는 것은 혼란스러울 수 있습니다. 왜냐하면 현대 애플리케이션은 다양한 유형의 기능적 역할과 그룹을 정의할 수 있고 공격자가 조작할 수 있는 복잡한 사용자 계층을 포함할 수 있기 때문입니다. 
6. 민감한 비즈니스 흐름에 대한 제한 없는 액세스. 이 공격은 API에 적절한 액세스 제어 또는 권한 확인이 부족하여 공격자가 API가 지원하는 민감한 비즈니스 흐름에 대한 액세스를 자동화할 수 있을 때 발생합니다. 이러한 비즈니스 흐름은 티켓이나 스니커즈와 같은 고가, 저재고 제품의 대량 구매를 지원할 수 있으며, 이는 2차 시장에서 마크업으로 재판매될 수 있습니다. 공격자는 종종 정교한 자동화 툴킷을 사용하여 공격을 재조정하고 대상 웹 앱이 자동화 방지 방어로 적절하게 보호되는 경우 API 뒤에 있는 대상 비즈니스 로직으로 전환할 수 있습니다.  
7. 서버 측 요청 위조(SSRF). 이러한 취약점은 공격자가 사용자가 제공한 URL을 허용하거나 외부 리소스에 대한 서버 측 요청을 수행하는 취약한 API 엔드포인트를 식별할 때 발생합니다. 공격자는 자신이 타겟으로 삼고자 하는 내부 리소스나 시스템의 URL을 지정하는 악성 요청을 작성합니다. 악의적인 의도를 모르는 서버는 지정된 URL에 대한 서버 측 요청을 수행하여 민감한 정보나 서비스가 노출될 가능성이 있습니다. 
8. 보안 오류. 공격자는 패치되지 않은 결함, 일반적인 엔드포인트, 안전하지 않은 기본 구성으로 실행되는 서비스 또는 보호되지 않은 파일과 디렉터리를 찾아 API에 대한 무단 액세스를 얻으려고 시도합니다. 이 취약점은 네트워크에서 애플리케이션 수준에 이르기까지 API 스택의 모든 수준에서 적절한 보안 강화가 누락되었거나 클라우드 서비스에 대한 권한이 부적절하게 구성된 경우 발생할 수 있습니다. 잘못된 구성은 웹 앱과 API에 영향을 미치며, 아키텍처가 계속 분산되고 여러 클라우드 환경으로 분산됨에 따라 위험이 증가하고 있습니다.
9. 부적절한 재고 관리. API는 시간이 지남에 따라 변경 및 업데이트되지만, 오래되었거나 안전하지 않은 API 버전이 계속 운영되거나 이전 엔드포인트가 패치되지 않은 상태로 실행되거나 취약한 보안 요구 사항을 사용하는 경우 보안 침해의 위험이 커질 수 있습니다. 적절한 인벤토리 관리가 부족하면 어떤 버전이 사용 중인지, 어떤 버전이 오래되었거나 더 이상 사용되지 않는지, 어떤 취약점이 해결되었는지 추적하기 어렵습니다. Shadow 및 Zombie API는 상당한 위험을 초래하므로 지속적인 발견과 자동화된 보호의 중요성이 강조됩니다.  
10. API의 안전하지 않은 사용. 개발자들은 일반적으로 타사 API, 특히 잘 알려진 회사가 제공하는 API에서 수신한 데이터를 신뢰하는 경향이 있으며, 입력 검증 및 정리 또는 전송 보안 측면에서 이 데이터에 대한 취약한 보안 요구 사항을 채택합니다. 안전하지 않은 프로토콜을 통해 API에 액세스하거나 적절한 암호화 메커니즘을 사용하지 않을 때도 안전하지 않은 소비가 발생할 수 있으며, 이로 인해 도청, 데이터 가로채기, 중요 정보에 대한 무단 액세스가 발생할 수 있습니다.