“심층적인 API 보안 대책 마련한 기업 턱 없이 부족” 아카마이

아카마이의 연구에 따르면, 클라우드 애플리케이션 보안의 일환으로 API 전용 제어 도구를 사용하는 기업은 1/3에도 미치지 못하는 것으로 나타났다.

해당 연구를 위해 아카마이는 SANS 인스티튜트(SANS Institute)와 협력해 글로벌 기업의 애플리케이션 보안 영역 종사자 231명을 대상으로 설문조사를 실시했다. 애플리케이션 및 API를 대상으로 하는 위협이 증가하고 있음에도 대부분 기업은 광범위한 API 보안 도구를 사용하지 않고 있었다.  

뒤처진 API 보안 제어

API 보안 테스트 도구를 갖춘 기업은 절반에도 미치지 못했으며(49.7%), 10년 이상 사용했다는 응답자는 5.6%에 불과했다. API 검색 도구를 사용하고 있다고 답한 응답자는 그보다 더 적었으며(29%), 10년 이상 사용했다는 응답은 3.9%에 그쳤다.

아카마이의 앱 보안 총괄 매니저 루페시 초크시는 “이번 조사 결과는 API 자산 전반에 걸쳐 보호 계층을 구축해 API를 심층적으로 보호할 필요가 있음을 보여준다”라고 말했다. 기업은 API 보안 테스트 도구를 통해 API를 안전하게 개발할 수 있으며, 검색 도구는 기업이 API의 위치를 지속적으로 파악하는 데 도움이 된다. 

또한 DDoS 및 로드 밸런싱 서비스에 포함된 API 보안 제어 기능을 사용하는 조직은 29%뿐이었다.

가장 큰 위험 요소는 "피싱 및 패치 누락"

대부분 응답자는 피싱과 패치 누락을 상위 API 보안 위험 요소로 꼽았다. 38%가 재사용할 수 있는 자격 증명을 얻기 위한 피싱을 가장 큰 API 보안 위험으로 지적했고, 24%는 누락된 패치를 악용하는 것을 가장 큰 위협으로 봤다.

초크시는 “피싱은 API 영역에서도 발생할 수 있는 광범위한 보안 문제이며, 패치 누락과 같은 API 인프라 문제는 API가 더 취약한 상태로 남아 있기 때문에 문제가 된다”라고 말했다.

그 외에 취약한 API 악용(12%), 서버 구성 오류(12%), 사용자 실수로 인한 민감 데이터 공개(9%)와 같은 위협에도 주목하고 있었다.

위험 완화

응답자 62%는 API 위험 완화 조치의 일환으로 웹 애플리케이션 방화벽을 사용한다고 답했다. 가장 대표적인 제품은 아큐네틱스(Acunetix), 아카마이, AWS 쉴드(AWS Shield), 애저 WAF(Azure WAF), 체크포인트, 시스코, 클라우드플레어, 모드시큐리티(ModSecurity) 등이다. 

개발 직원에게 애플리케이션 보안 교육을 진행하는 기업은 3/4 이상(76%)이었다. 대부분은 애플리케이션 및 API 위험을 정의하는 기준으로 OWASP(Open Web Application Security Project)의 애플리케이션 보안 및 API 상위 10개 목록과 마이터어택 프레임워크를 인용하는 것으로 조사됐다.