아카마이 "아태지역 API 공격 1위는 금융…전문 솔루션 필요"

실시간
뉴스

보안

아카마이 "아태지역 API 공격 1위는 금융…전문 솔루션 필요"

디지털데일리 발행일 2025-04-29 13:35:42

김보민 기자

URL복사

한준 아카마이코리아 이사가 29일 서울 영등포구 콘래드서울 호텔에서 '새로운 보안 위협의 시작: API 트래픽 - 관리하고 있습니까?'를 주제로 발표하고 있다.

[디지털데일리 김보민기자] 아카마이코리아가 아시아태평양및일본(APJ) 지역에서 금융권을 겨냥한 응용프로그래밍인터페이스(API) 공격이 늘고 있다며, 전문 솔루션의 중요성을 강조했다.

한준 아카마이코리아 이사는 29일 서울 영등포구 콘래드서울 호텔에서 <디지털데일리>와 함께 주최한 오찬 세미나에 참석해 APJ 지역에서 발생하고 있는 API 공격 동향을 소개했다.

아카마이 조사(2023년 1월~2024년 12월 기준)에 따르면, APJ 지역에서 APJ 공격이 가장 많이 발생한 산업군은 금융 서비스다. 이어 커머스, 첨단 기술, 소셜미디어 등이 뒤를 이었다.

한 이사는 "아시아 지역의 API 공격 벡터 트렌드를 살펴보면, 능동적 공격 세션(Active Attack Session)'이 가장 흔하게 발생하고 있다"며 "자동화된 봇이나 스캐닝 도구를 활용해 탐색 및 취약점 공격을 가하는 시도가 많았다"고 설명했다. 이외에도 LFI(Local File Inclusion), XSS(Cross-Site Scripting), 웹 공격 도구(Web Attack Tool)를 활용하는 사례도 증가한 것으로 나타났다.

한 이사는 "전통적인 공격과 더불어, API 오남용을 노린 행위 깁나의 새로운 공격 벡터가 증가하는 추세"라며 "공격자들은 API 인증 우회, 입력값 제한 회피, 속도 제한 우회 등 다양한 방법을 시도하고 있다"고 설명했다.

API 공격을 막아내기 어려운 이유는 무엇일까. 한 이사는 "API 트래픽에 대한 가시성을 확보하지 못했거나, 관리가 돼 있지 않기 때문"이라며 "기존 웹방화벽(WAF)으로는 공격 방어가 어려운 실정"이라고 진단했다. API 공격이 고도화되고 있는 만큼, 기존 방식에 한계가 분명하다는 취지다.

한 이사는 "WAF는 시그니처가 매칭(matching)되면 탐지하고 대응하는 구조로 작동하는데, API의 경우 시그니처가 따로 발견되지 않거나 정상 트래픽으로 들어오는 경우가 다수"라며 "오남용을 사용해 공격을 가하기 때문에 기존 WAF로는 대응이 불가능하며 전문 솔루션이 필요하다"고 부연했다.

아카마이는 '아카마이 API 시큐리티' 솔루션을 통해 이러한 공격에 대응하고 있다. 아카마이 API 시큐리티는 ▲디스커버리(Discovery) ▲포스처(Posture) ▲런타임(Runtime) ▲테스팅(Testing) 등 네 가지 기능을 중심으로 작동한다.

디스커버리는 기업 내부와 외부에서 API와 관련된 리스크를 파악하는 역할을 한다. API 트래픽의 시각화를 통해 API 자산을 관리하도록 돕는 것이 특징이다. 규제 대응, 인증 여부, 사용 현황 등을 자동 분류할 수도 있다.

포스처는 설정 오류, 인증 오류 등 취약한 API를 탐지한다. 개인 데이터 보호, API 변경 사항에 대한 모니터링으로 API 위협을 감소시키고, API 공격 대상 영역을 줄일 수 있다.

런타임은 머신러닝 기반 트래픽 분석을 통해 스푸핑 접속, 리스트형 공격, 정찰 행위 등 API 침해 및 공격 징후를 탐지한다. 아울러 비정상적인 API 통신을 외부 연동을 통해 차단하는 역할도 수행한다.

이 밖에도 소프트웨어 개발 수명 주기 동안 정기적인 자동 테스트를 도입해, API 취약점을 발견하고 수정하는 '쉬프트 레프트 테스팅' 적용을 가속화하는 기능도 지원한다.

한 이사는 "기존 방식의 경우 속도 임계치로 (API 위협에) 대응한다면, 아카마이 API 시큐리티는 포스처에 대한 탐지, 런타임에 대한 탐지가 가능하다는 점에 차별점이 있다"고 강조했다.

아카마이는 API 보안 플랫폼을 통해 매니지드 서비스형소프트웨어(SaaS)를 제공하고, 고객사 관리형 구축형(온프레미스)를 지원하고 있다. 보안 플랫폼은 API 인벤토리, API 취약점 및 구성 관리, API 동작 감지 및 대응, API 공격 대상 영역 관리(ASM) 등과 연계돼 머신러닝 엔진부터 정책 엔진, 이상 탐지 등과 함께 작동한다.

한 이사는 "API 트래픽에 대한 가시성을 확보하고, API 트래픽으로 보안 영역을 확장시킬 수 있을 것"이라며 "효과적인 API 보안을 적용할 수 있다"고 강조했다.