솔루션 개요

API 및 타사 통합을 보호하는 방법

디지털 비즈니스의 패브릭 보호

보안 API 타사 통합 예시

API는 최신 애플리케이션의 기반입니다. API는 서로 다른 시스템이 함께 작동할 수 있게 함으로써 출시 기간을 단축하고 방대한 타사 에코시스템을 활용하여 향상된 사용자 경험을 제공할 수 있습니다. 반면에 API 사용이 급증함에 따라 아키텍처가 분산되고 알려지지 않은 위험이 발생하기도 합니다. 이로 인해 앱과 API의 보안이 더욱 어려워졌고, 이는 공격자들에게 매우 매력적인 대상이 되었습니다. 기업들이 계속해서 앱 포트폴리오를 현대화하고 새로운 디지털 경제에서 혁신을 거듭함에 따라 API의 수는 2031년까지 10억 개에 달할 것으로 예상됩니다.

주요 혜택

분산 보안

F5는 데이터 센터, 클라우드, 엣지, 모바일 앱 뒤, 타사 통합 등 API가 실행되는 모든 곳에서 실행됩니다.

일관된 적용

F5 보안은 API 스키마 학습, 자동화된 위험 점수, ML 기반 보호에 기반한 포지티브 보안 모델을 사용합니다.

연속 보호

F5 솔루션은 보편적인 가시성, 실행 가능한 인사이트, 고도로 훈련된 머신 러닝을 제공하여 API 뒤에 숨은 중요한 비즈니스 로직을 지속적으로 발견하고 자동으로 방어합니다.

API의 과제와 잠재적 위험에 대한 이해

엔드포인트와 통합의 지속적인 확대로 인한 API의 확산은 보안팀이 수동 방법을 사용하여 중요한 비즈니스 로직을 식별하고 보호하는 것을 비현실적으로 만듭니다. API는 하이브리드 및 멀티 클라우드 환경을 비롯한 이기종 인프라에 점점 더 많이 분산되고 있으며, 그 결과 중요한 비즈니스 로직이 중앙 집중식 보안 제어 영역 외부에 노출되고 있습니다. 또한 애플리케이션 개발팀은 혁신을 위해 빠르게 움직이기 때문에 API 호출이 비즈니스 로직 깊숙이 숨겨져 있어 식별하기 어려울 수 있습니다. 

혁신 속도에 중점을 두다 보니 보안은 뒷전으로 밀려나는 경우가 많습니다. 때로는 API 자체의 설계에서 보안이 간과되기도 합니다. 종종 보안을 고려하지만 여러 클라우드와 아키텍처에 걸쳐 있는 애플리케이션 배포를 유지 관리해야 하는 미묘한 복잡성 때문에 정책이 잘못 구성되는 경우가 있습니다. 

API는 기계 간 데이터 교환을 위해 설계되었기 때문에 많은 API가 민감한 데이터에 대한 직접적인 경로가 되며, 사용자 대면 웹 양식의 입력 유효성 검사와 동일한 위험 제어가 없는 경우가 많습니다. 하지만 이러한 엔드포인트는 웹 앱을 괴롭히는 것과 동일한 공격, 즉 취약성 익스플로잇, 비즈니스 로직 악용, 액세스 제어 우회로 인해 데이터 유출, 다운타임, 계정 탈취(ATO)로 이어질 수 있는 공격의 대상이 됩니다.

웹 애플리케이션과 동일한 위험 제어를 사용하여 API 엔드포인트를 평가해야 할 뿐만 아니라 섀도 및 좀비 API의 경우처럼 보안팀의 권한 밖에 있거나 본질적으로 폐기된 엔드포인트에서 의도하지 않은 위험을 완화하려면 추가적인 고려가 필요합니다. 

API는 웹 앱과 동일한 공격의 대상이 됩니다

API는 웹 애플리케이션을 대상으로 하는 것으로 알려진 동일한 공격에 취약하기 때문에, API 보안 사고는 가장 주목받는 데이터 침해 사고의 원인이 되었습니다. 취약한 인증/권한 제어, 잘못된 구성, 비즈니스 로직 남용, 서버 측 요청 위조(SSRF)와 같은 위험은 웹 앱과 API 모두에 영향을 미칩니다. 봇과 악의적인 자동화로 인한 취약점 악용 및 남용이 가장 큰 우려 사항입니다.

API는 설계 및 구현 전반에 걸쳐 의도하지 않은 위험을 초래합니다

애플리케이션은 점점 더 분산되고 분산된 모델로 이동하고 있으며, API가 상호 연결 역할을 하고 있습니다. 비즈니스 가치를 높이는 모바일 앱과 써드파티 통합은 온라인 세계에서 성공적으로 경쟁하기 위한 필수 요소가 되었습니다. F5 Labs 연구에서는 최신 애플리케이션 아키텍처를 채택하는 산업이 늘어나면서 API가 어떻게 공격의 표적이 되고 있는지 자세히 설명하며, 부분적으로는 API가 더 구조화되고 공격자가 작업하기 쉽기 때문입니다.

총체적인 거버넌스 전략 없이 API가 널리 배포되면 위험이 증가합니다. 이러한 위험은 복잡한 공급망과의 통합 및 CI/CD 파이프라인을 통한 자동화로 인해 애플리케이션과 API가 시간이 지남에 따라 지속적으로 변경되는 애플리케이션 수명 주기 프로세스로 인해 더욱 악화됩니다.

다양한 인터페이스와 잠재적 위험 노출로 인해 보안 팀은 최신 앱의 구성 요소를 나타내는 모든 창뿐만 아니라 프론트도어를 보호해야 합니다.

API 보안 솔루션

머신 러닝의 발전으로 API 엔드포인트를 동적으로 발견하고 상호 의존성을 자동으로 매핑할 수 있게 되어 시간에 따른 API 통신 패턴을 분석하고 위험을 증가시키는 섀도 또는 문서화되지 않은 API를 식별할 수 있는 실용적인 방법을 제공할 수 있게 되었습니다. 

또한 지속적인 엔드포인트 모니터링 및 분석을 통해 보안 기준선을 자율적으로 구축할 수 있어 보안팀의 불필요한 워크로드 증가 없이 실시간 탐지, 자동화된 위험 점수 부여, 악의적인 사용자에 대한 완화를 제공합니다

이러한 지속적이고 자동화된 보호는 모든 API에 대해 모든 아키텍처에 일관되게 적용할 수 있는 고도로 보정된 정책을 통해 익스플로잇을 완화하고, 봇과 악용을 차단하며, 스키마, 프로토콜 규정 준수, 접근 제어를 시행합니다.

기업은 최신 아키텍처와 타사 통합을 활용하여 레거시 앱을 현대화하는 동시에 새로운 사용자 경험을 개발해야 합니다. 코어에서 클라우드, 엣지에 이르기까지 API를 보호하는 전체적인 거버넌스 전략은 알려진 위험과 알려지지 않은 위험을 줄이면서 디지털 혁신을 지원합니다.

그림 1: 엔터프라이즈 앱 에코시스템 전반에서 API를 보호하는 F5 솔루션
그림 1: 엔터프라이즈 앱 에코시스템 전반에서 API를 보호하는 F5 솔루션

주요 특징

동적 API 검색

엔터프라이즈 앱 에코시스템 전반에서 API 엔드포인트를 탐지합니다.

이상 징후 탐지

자동화된 위험 점수 및 머신 러닝을 사용하여 의심스러운 행동과 악의적인 사용자를 식별합니다.

API 정의 가져오기

OpenAPI 사양에서 포지티브 보안 모델을 만들고 적용합니다.

프로토콜 및 인증 규정 준수

REST, GraphQL, gRPC, 다양한 인증 유형 및 JSON 웹 토큰(JWT) 기반 API를 지원합니다.

정책 자동화

개발 프레임워크 및 보안 에코시스템에 통합합니다.

시각화 및 인사이트

API 관계 그래프를 구성하고 엔드포인트 메트릭을 평가합니다. 

유연한 API 보안 패러다임

F5 솔루션은 어떤 환경에서도 유연하게 운영할 수 있는 유연성을 제공합니다. 범용 가시성 및 ML 기반 자동화된 보호 기능은 효율성을 극대화하고 보안 팀의 부담을 덜어줍니다. F5는 퓨어플레이/니치 솔루션을 통합하고 하이브리드 및 멀티 클라우드 환경을 일관되게 보호하여 복원력과 치료 능력을 향상시킬 수 있습니다.

API 보안 배포 시 주요 고려 사항에는 다음이 포함됩니다:
  1. 하이브리드 및 멀티 클라우드 지원
    범용 가시성과 일관된 정책 시행으로 복잡성, 툴 확산, 잘못된 구성 위험이 줄어들고 수정 속도가 향상됩니다.

  2. 기존 개발 프로세스와의 통합
    보안팀은 기본 테라폼 레지스트리를 통해 보안 정책을 CI/CD 파이프라인에 통합하여 애플리케이션 라이프사이클에 보조를 맞출 수 있습니다.

  3. 긍정적 보안 모델
    F5 솔루션은 OpenAPI 정의, Swagger 파일, 제로 트러스트 원칙을 사용하여 스키마를 시행하는 긍정적인 보안 모델을 통해 정책을 간소화합니다.

  4. 자동화된 방어
    ML 기반 이상 징후 탐지는 보안팀이 여러 환경에서 정책을 조정하거나 과도한 오탐으로 인한 부담 없이 취약성 악용, 비즈니스 로직 오용, 서비스 거부를 해결합니다.

  5. 풍부한 시각화
    API 사용 기준선에 대한 드릴다운을 지원하는 보안 대시보드는 운영자가 인사이트를 상호 연관시키고 사고 대응을 단순화하는 데 도움이 됩니다.

  6. 보안 복원력
    내구성 있는 원격 측정과 고도로 학습된 머신러닝을 통해 디지털 비즈니스의 속도에 맞춰 보다 효율적이고 효과적인 보안을 지원하고 새로운 적대적인 AI 공격을 완화할 수 있습니다.

결론

F5 솔루션은 클라우드와 아키텍처 전반에서 중요한 비즈니스 로직과 타사 통합을 지속적으로 검색하고 자동으로 보호하여 전체 엔터프라이즈 포트폴리오의 API를 보호합니다. 

탄력적인 ML 기반 방어와 결합된 포괄적이고 일관된 보안 정책을 통해 조직은 API 보안을 디지털 전략에 맞춰 조정할 수 있습니다. 이를 통해 기업은 리스크 관리를 개선하고, 자신감을 가지고 혁신하며, 운영을 간소화할 수 있습니다.

실제 F5 Distributed Cloud 보기.