웹 API, 현대 사회의 핵심 기술로 부상하며 보안 위협에 직면
웹 API(Application Programming Interface)가 현대 사회의 다양한 분야에서 핵심 기술로 자리잡았다. 쇼핑, 자산 관리, 인공지능(AI)을 포함한 정보 처리, 자율 주행, 사물인터넷(IoT) 등의 기기 제어에 이르기까지, 웹 API는 다양한 정보 접근뿐만 아니라 현대 사회를 구성하는 중요한 역할을 하고 있다. 이러한 현상은 'API 경제(API Economy)'라는 용어의 보급을 통해 입증되고 있다.
그러나 API는 개인 정보 및 기밀 정보의 도난, 계정 탈취 등 사이버 공격의 주요 대상이 되고 있다. 특히 인증 및 권한 부여의 취약점이 공격의 대상이 되는 경향이 있다. 이러한 공격은 웹 애플리케이션 방화벽(WAF) 등 기존의 보안 수단으로는 탐지나 방어가 어려운 경우가 많다.
세계적인 웹 통신 기업 Akamai Technologies(Akamai)에 따르면, 전 세계 웹 통신의 80% 이상이 이미 API 통신으로 이루어지고 있다. 스마트폰과 브라우저 앱의 보급이 이를 촉진하고 있으며, 서버 측의 마이크로서비스화의 영향도 크다. 일본 내 상업용 웹 애플리케이션 개발자들 역시, 현재 개발 중인 웹 및 스마트폰 앱의 서버 측이 모두 마이크로서비스화를 전제로 설계되고 있다고 밝혔다.
API는 마이크로 모듈화된 서비스 간의 정보 및 지시 교환을 연결하는 역할을 한다. 이로 인해 전통적인 일체형(모놀리식) 소프트웨어에서는 내부적으로 처리되던 교환 내용이 네트워크 상으로 유출되어 공격의 대상이 될 수 있다. Salt Security의 2022년 12월 조사에 따르면, API 공격을 시도한 공격자의 수가 6개월 전에 비해 400% 증가했다고 한다.
이러한 API 공격에는 WAF나 API-Gateway와 같은 기존의 웹 보안 솔루션으로는 탐지하기 어려운 방법이 많다. 웹 보안 지식을 제공하는 커뮤니티 OWASP가 정리한 웹 API 보안 위험 순위 'API Security Top10'에서는 인증 및 권한 부여와 관련된 위협이 상위를 차지하고 있다.
