[클라우드 내비게이터-웹·API 보안] 새로운 공격 도구, API·봇 - 데이터넷
[클라우드 내비게이터-웹·API 보안] 새로운 공격 도구, API·봇 - 데이터넷
[데이터넷] 소프트웨어 중심 환경으로 전환하면서 API가 급증하고 있다. 클라우드플레어에 따르면 전체 웹 트래픽의 71~83%가 API 통신이다. F5 조사에서는 디지털 전환 단계마다 API가 평균 5%씩 증
www.datanet.co.kr
- API 사용 증가
- API 사용이 디지털 전환 과정에서 급증하며, 클라우드플레어에 따르면 전체 웹 트래픽의 71~83%가 API 통신으로 구성
- 대규모 API 사용으로 인해 API 보안에 대한 요구가 커지고 있음
- API 설계 오류로 인한 보안 위협
- API 설계 오류가 대규모 보안 사고로 이어질 수 있음
- 호주 통신사 옵터스의 개인정보 유출 사건이 대표적인 예로, API 보안 설정 오류로 980만명의 개인정보가 유출
- OWASP의 2023 API 보안 위협 톱 10에서 BOLA(Broken Object Level Authorization)가 빈번하게 발생하는 주요 위협으로 지목됨
- API 취약점 증가
- 서버 측 요청 위조(SSRF) 취약점과 같은 API 취약점을 악용한 공격이 증가
- 내부 API가 특히 SSRF 공격에 취약
- 섀도우 API와 계정 탈취 공격
- 섀도우 API 문제 심각, 클라우드플레어는 31% 더 많은 API REST 엔드포인트를 탐지
- 계정 탈취 공격(ATO)의 44%가 API를 통해 발생, 주로 로그인 페이지와 결제창에서 집중 발생
- GDPR 위반 시 매출액의 최대 4% 벌금 부과 가능성
- 악성 봇과 API 보안 위협
- 악성 봇이 API 공격의 30%를 차지하며, 주로 민감한 데이터 유출을 목표로 함
- 악성 봇을 방어하기 위한 AI/ML 기반의 탐지 기술이 요구됨
- API 보안 강화 방법
- API 취약점 탐지 및 침투 테스트를 위한 도구가 개발되고 있음
- API 게이트웨이에 세분화된 액세스 제어 정책 및 역할 기반 액세스 제어(RBAC) 기능 추가
- WAAP(웹 애플리케이션 및 API 보호 플랫폼)를 통해 API 보안과 웹 애플리케이션 보안을 통합 제공
- F5의 보안 전략
- F5는 API 보안 기업 윕(Wib)과 API 침투 테스트 솔루션 기업 헤이핵(HeyHack)을 인수하여 API 보안을 강화
- XC 서비스를 통해 멀티 클라우드 및 엣지 환경에서 일관된 보안 제공
- AI/ML 기반 봇 방어 솔루션을 통해 지능형 악성 봇의 트래픽을 방어
- 결론
- API 보안은 점점 더 중요해지고 있으며, 섀도우 API와 악성 봇 등의 새로운 위협에 대비하기 위해 API 보안 강화와 지능형 보안 솔루션 도입이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 마이데이터 시행의 이슈와 전망: 전 산업 분야 확대에 따른 과제와 기회 (2) | 2024.10.13 |
|---|---|
| API 보안의 중요성과 대응 방안: 주해종 강남대 교수 인터뷰 (1) | 2024.10.13 |
| 구글 페이, 만료된 카드 추가 알림 메일 실수로 발송 (0) | 2024.10.13 |
| 네덜란드 경찰 해킹 사건: 63,000명 경찰관 개인정보 유출 (1) | 2024.10.13 |
| 리즐러 랜섬웨어의 특징 및 위험성 (0) | 2024.10.13 |