API 보안을 위해 꼭 알아야 할 6가지 
상태바
API 보안을 위해 꼭 알아야 할 6가지 
  • 곽중희 기자
  • 승인 2022.11.23 16:06
  • 댓글 0
이 기사를 공유합니다

OWASP, API 노리는 일반적인 사이버 공격 양상 발표

 

OWASP(Open Web Application Security Project, 오픈소스 웹 애플리케이션 보안 프로젝트)가 사이버 범죄자들이 악용하는 API의 보안 취약점 5가지를 발표했다.

민감한 개인정보를 처리하는 산업 분야에서 사이버 보안은 매우 중요하다. 그리고 보안성을 높이기 위해서는 다양한 위협 벡터와 취약점에 대해 알고 있어야 한다.

산업에서 중요한 보안 분야 중 하나가 API 보안이다. API(Application Programming Interface)는 디지털 인프라에서 중요한 구성 요소 중 하나로 디지털 플랫폼 간 소통과 디지털 변환을 지원한다. 관련 조사에 따르면, 2021년 기준 기업당 평균 API 수는 221% 증가했다.

API 보안 전략 수립은 상당히 어렵다. API에는 웹 애플리케이션 방화벽이나 ID 및 액세스 관리 솔루션으로 완전히 해결되지 않는 보안 위협이 존재하기 때문이다. 이를 해결하기 위해서는 API의 일반적인 취약점이 무엇인지 이해하는 것이 필요하다.

 

대표적인 API의 보안 취약점 6가지

• BOLA(Broken Object Level Authentication)

개체 수준 인증이 손상된 API를 사용하면 공격자가 API 요청 내에서 전송된 개체의 ID를 조작해API를 쉽게 악용할 수 있다. 그러면 BOLA 인증 결함은 데이터의 무단 보기, 수정·파괴 또는 전체 계정 해킹으로 이어질 수 있다.

BOLA는 모든 API 공격의 40%를 차지한다. BOLA는 WAF 혹은 API 게이트웨이와 같은 기존 보안 제어가 API 동작에 대한 식별을 하지 못하게 마비시킨다. 대신 기업은 인증된 사용자가 다른 사용자의 데이터에 대한 무단 액세스를 시도할 때 이를 포착할 수 있는 API 솔루션이 필요합니다.

 

• 사용자 인증 실패

API에서 사용자 인증 실패로 이어질 수 있는 여러 요인이 있다. 여기에는 취약한 암호 복잡성 또는 열악한 암호 위생, 누락된 계정 잠금 임계값, 긴 암호, 인증서 순환 기간 등이 포함된다.
API에서 사용자 인증이 손상되면 공격자는 자격 증명 스터핑 및 무차별 대입 공격을 사용해 애플리케이션에 대한 액세스 권한을 얻을 수 있다. 일단 침입하면 공격자는 사용자 계정을 해킹하고 데이터를 조작하거나 승인되지 않은 거래를 할 수 있다.

기존 보안 솔루션의 경우, 트래픽을 추적하는 기능이 빠지는 경우가 많다. 따라서 크리덴셜 스터핑과 같은 공격을 쉽게 식별할 수 없다. API 보안 솔루션은 인증 순서에 대한 비정상적인 동작을 식별할 수 있어야 한다.

 

• 과도한 데이터 노출

많은 API에서 발생할 수 있는 보안 문제 중 하나는 바로 과도한 데이터 노출이다. 효율성을 위해 API에 필요한 것보다 더 많은 데이터를 공유하는 경우가 많다. 이는 공격자가 데이터를 사용해 API에서 중요 정보를 추출할 수 있게 만든다.

일부 기존 보안 솔루션은 이러한 취약성을 식별할 수 있지만, 사용 가능한 정보와 사용해서는 안 되는 민감 정보를 항상 구별할 수는 없다. 즉, API 보안 솔루션은 사용자가 민감 정보를 많이 사용하는 시기를 파악할 수 있어야 한다.

 

• 리소스 부족 및 속도 제한

API에는 클라이언트나 사용자가 요청할 수 있는 리소스 수가 항상 제한되는 건 아니다. 이에 인증 및 데이터 가져오기를 담당하는 API에 대한 무차별 및 열거 공격에 노출될 수 있다. 또한 공격자는 자격 증명 크래킹 및 토큰 크래킹을 포함해 제한이 없는 API에 대해 자동화된 공격을 가할 수 있다.

기존 솔루션에는 몇 가지 기본 속도 제한 기능이 있지만 모두 그런 건 아니다. 이러한 보안 도구에는 공격이 발생할 때 플래그를 지정하는 데 필요한 컨텍스트가 부족한 경우가 많다. 따라서 최신 API 보안 솔루션은 정상적인 값을 벗어나는 모든 활동을 식별할 수 있어야 한다.


• 보안 구성 오류

API의 취약점을 악용할 수 있도록 허술하게 설계된 보안 솔루션도 문제다. 불완전한 구성, 잘못 구성된 HTTP 헤더, 너무 자세한 오류 메시지, 개방형 클라우드 스토리지 등이 그 예다. 공격자는 이를 통해 API 구성 요소를 알아본 후 그에 맞는 공격을 감행할 수 있다.

 

• 기업 간 격차 해소

포괄적인 API 솔루션은 보안 솔루션의 잘못된 구성을 파악할 수 있다. 공격자는 항상 API를 손상시키기 위한 새로운 전략을 찾는다. API를 대상으로 하는 공격의 공통점은 API 보안 수준이 낮은 기업을 주로 노린다는 점이다. 이에 각 공격에 맞는 API 통합 보안 전략을 수립해 기업 간 보안 수준의 격차를 줄일 필요가 있다.

 

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.