OWASP 선정 주요 취약점 대응을 위한 API 보안 기술 TOP 6

OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6

OWASP 선정 주요 취약점 대응 위한 API 보안기술 TOP 6

 

• API 보안의 중요성
  • API(Application Programming Interface)는 서로 다른 애플리케이션 간의 연결을 제공하며, 데이터 교환과 서비스 통합에 필수적임
  • 민감 정보 보호, 접근 제한, 로그 관리, 크리덴셜 스터핑(Credential Stuffing) 방지 등을 통해 API 보안이 강화되어야 함
  • OWASP API Security Top 10에서 선정한 주요 취약점 대응 기술 적용이 필수적임

1. mTLS(Mutual TLS)
   • 기술 개요
     • 기존 TLS는 서버 확인만 지원하지만, mTLS는 클라이언트와 서버 간 상호 인증을 수행함
     • 민감한 데이터를 다루는 서버에서 특정 클라이언트만 접속을 허용하도록 보안 강화
   • 활용 방법
     • 웹방화벽에 클라이언트 및 서버 인증서를 저장
     • 클라이언트-서버 간 통신 시 상호 인증 수행
   2. 식별정보 클로킹
      • 기술 개요
        • 요청에 포함된 식별 정보를 암호화하거나 마스킹하여 손상된 개체 수준 권한(Broken Object Level Authorization) 취약점을 방어
      • 위협 대응
        • 공격자가 요청 필드의 식별 정보를 악용하지 못하도록 방지
        • 웹방화벽에서 식별 정보를 암호화하여 데이터 보호
   3. API 토큰 인증 및 무결성 검사
      • 기술 개요
        • JWT(JSON Web Token)을 사용해 사용자 인증 및 권한 관리
        • JWT의 시그니처를 검증하여 위·변조 여부 확인
      • 위협 대응
        • 손상된 사용자 인증(Broken Authentication) 취약점 방어
        • 서버의 비밀키를 이용해 토큰의 무결성을 확인
   4. API별 허용 임계치 및 메소드 제한
      • 기술 개요
        • 서버 자원 보호를 위해 API 요청의 허용 임계치와 HTTP 메소드 제한을 설정
        • DoS/DDoS 공격 및 자원 제한 없는 소비(Unrestricted Resource Consumption) 취약점 방어
      • 활용 방법
        • API별 요청 제한 설정
        • 목적에 따라 허용 가능한 HTTP 메소드 정책 적용
2. JSON 응답 클로킹
   • 기술 개요
     • 과도한 데이터 노출을 방지하여 과도한 데이터 노출(Excessive Data Exposure) 및 대량 할당(Mass Assignment) 취약점 대응
   • 위협 대응
     • JSON 응답 데이터를 분석하여 과도한 정보 제공을 방지
     • 불필요한 데이터는 클로킹을 통해 노출 차단
   6. JSON 요청 필드 검사
      • 기술 개요
        • 클라이언트 요청 필드를 분석하여 비정상 요청 여부를 확인
      • 위협 대응
        • JSON 필드의 구조와 데이터를 검사하여 악성 요청 차단
        • 운영 실수를 방지하고 안정적인 보안 유지

• 결론
  • API 보안 기술 도입
    • mTLS, JWT 무결성 검사, JSON 요청 및 응답 필드 분석 등의 기술을 활용해 API 보안을 강화해야 함
    • 각 기술은 OWASP API Security Top 10에서 언급된 주요 취약점에 효과적으로 대응 가능
  • 정책과 관리의 중요성
    • API별 허용 임계치와 메소드 제한 정책을 정기적으로 검토 및 업데이트해야 함
    • 제로 트러스트(Zero Trust) 원칙에 따라 보안 운영을 강화해야 함
  • 조직의 보안 역량 강화
    • API 보안 기술에 대한 정기적인 교육과 최신 보안 동향 공유 필요
    • 운영 및 개발 환경에서 보안 검증 프로세스를 표준화해야 함