보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

노네임 시큐리티 마이클 베이커 CEO “증가하는 API 위협, AI 기반 탐지·대응 플랫폼으로 방어”

입력 : 2024-03-28 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
글로벌 API 보안기업 노네임 시큐리티 마이클 베이커 CEO, PK Lim APAC VP 내한
AI/머신러닝 기반 실시간 API 위협 탐지 및 대응 플랫폼, 노네임 API 보안 플랫폼 소개
노네임 시큐리티, 엔시큐어와 총판 계약 이후 국내 최다 고객사 확보 중


[보안뉴스 김영명 기자] 글로벌 API 보안기업 노네임 시큐리티(Noname Security)의 마이클 베이커(Michael Baker) CEO와 PK Lim APAC VP가 3월 27일 국내 총판인 엔시큐어 주요 관계자와 함께 API 위협 관리 시장의 최신 이슈와 글로벌 트렌드, 효과적인 위협 대응방안에 대해 공유하고 소통하는 기자간담회를 열었다. 엔시큐어는 2022년 노네임 시큐리티와 국내 총판계약을 맺고 ‘노네임 API 보안 플랫폼(Noname API Security Platform)’의 구축 및 컨설팅을 진행하고 있다.

▲노네임 시큐리티의 마이클 베이커(Michael Baker) CEO가 발언하고 있다[사진=엔시큐어]


노네임 시큐리티와 엔시큐어의 공동 기자간담회에는 노네임 시큐리티의 마이클 베이커(Michael Baker) CEO와 PK Lim APAC VP와 엔시큐어 문성준 대표와 손장군 이사 등이 참석했다.

먼저 국내 총판인 엔시큐어의 문성준 대표는 “요즘 API 사용이 늘어나면서 API 보안위협도 증가하고 있지만 시그니처 베이스로 방어할 수 없는 것도 많다”며 “노네임 시큐리티는 다양한 솔루션을 제공해 손쉽게 API 가시화, 위협에 대한 방어 등을 할 수 있는 회사”라고 말했다.

노네임 시큐리티는 미국 캘리포니아주 팔로 알토에 본사를 두고 있는 API 보안 전문 기업으로 현재 글로벌 수백여 개의 세계적인 기업들과 협력 관계를 맺고 있다. API의 사용 증가로 발생할 수 있지만, 기업들이 미처 대비하지 못한 API 위험을 탐지하고 방어하기 위한 노네임 API 플랫폼을 공급하고 있다.

노네임 시큐리티의 마이클 베이커 CEO는 “API 보안 위협은 전 세계에서 규모를 떠나 모든 기업이 겪고 있는 가장 심각한 문제”라며 “API 공격은 점점 더 빈번해짐에도 불구하고 기업이나 기관의 모든 것이 API 없이는 운영 자체가 안 되기 때문”이라고 말했다.

또한, 엔시큐어 손장군 이사는 “현재 우리가 사용하고 있는 대부분의 서비스는 API로 연결돼 있는 만큼 API는 어디에나 존재하고, 지속적으로 변경되며, 공격하기 쉬운 취약점이 있다”고 말했다. 손 이사는 이어 “API는 매년 200% 이상 증가하고, 28%의 개발자가 주 1회 운영환경에 API를 구축한다”며 “기업의 76%는 지난 1년 동안 API 관련 위반 경험이 있다”고 설명했다.

이에 따라 노네임 API 보안 플랫폼을 출시한 노네임 시큐리티의 마이클 베이커 CEO는 “노네임 API 보안 플랫폼은 클라이언트 또는 서버 중심의 애플리케이션 아키텍처가 API 중심의 데브옵스 및 클라우드 환경으로 변화하면서 발생할 수 있는 API 보안의 맹점을 보완하고 해결하기 위한 독보적인 솔루션”이라며, “보안 취약점이나 잘못된 구성, 설계 결함으로부터 API 환경을 사전에 보호하며 자동화된 위협 탐지 및 대응을 통해 실시간으로 API 공격에 대응할 수 있다”고 설명했다. 특히 API 게이트웨이 및 웹 방화벽으로는 방어할 수 없는 표적 공격과 알려진 보안 취약점 이외에도 수백 가지의 위험을 탐지하고 데이터 유출, 권한 부여 문제, 데이터 오남용 및 손상으로부터 API를 자동으로 보호한다는 설명이다.

API 보안, 1회성 보안 아닌 연속성이 중요
이어 아시아태평양 지역을 담당하는 PK Lim APAC VP는 “주요 API 이슈로는 미국 최대 가상자산거래소인 코인베이스에서 API를 해킹하고 프로그램을 변경해 실제 소유자의 돈을 다른 사람이 가로채고, 비행기 보딩패스 사진을 SNS에 올릴 때 여기에 기록된 사람의 이름과 연락처를 악용한 사례도 있었다”며 “오스트레일리아의 두 번째로 큰 통신사인 옵터스도 해킹당해 해커가 1,120만 레코드의 데이터를 블랙마켓에 100만 달러에 내놓았는데, 해당 사건도 API 관련 사건 사례“라고 설명했다. PK Lim APAC VP는 “API 보안은 1회성이 아니라 연속성이 중요하다”며 “저희도 실시간으로 API 보안에 대해 모니터링하면서 보안에 대응하고 있다”고 강조했다.

▲노네임 API 보안 플랫폼의 API 보안 태세 관리 화면[이미지=엔시큐어]


노네임 시큐리티의 설명에 따르면 API 보안 플랫폼은 △검색 및 인벤토리 생성 △보안 태세 관리 △런타임 보안 △동적 테스트 △정찰 및 문제 해결 등을 제공하는 통합 API 보안 솔루션으로 검색, 분석, 보호, 테스트, 정찰 등 다섯 단계를 통해 API 보안 문제에 접근한다.

실시간으로 API 트래픽을 분석해 API의 변경사항을 식별하고 데이터 분류를 통해 레거시 및 섀도 API를 포함한 모든 API의 인벤토리를 생성한다. 또한 API 게이트웨이에서 관리하지 못하는 좀비 및 불량 API를 발견하고 API 속성과 메타데이터를 분류한다. 이후 자동화된 AI 머신러닝 기반 알고리즘을 통해 변칙적인 동작과 취약점, 데이터 유출 및 변조, 잘못된 구성, 정책 위반 등을 탐지 및 분석하여 자동으로 API 위험을 차단하고 의심스러운 TCP 세션을 중단하거나 방화벽 규칙을 자동으로 업데이트하는 등 스스로 교정 활동을 수행한다. 더불어 운영 전 API의 보안을 검증하는 테스트를 통해 API 위협이 발견되기 전에 미리 식별하여 조치를 취할 수 있고, 운영 중 API 키나 자격증명 유출, 소스코드 노출, 알려진 취약점을 상시 탐지하여 단시간 내에 문제를 해결한다.

웹 방화벽, API 게이트웨이, SIEM, ITSM, 워크플로 도구 또는 기타 클라우드 플랫폼과 통합해 자동으로 잠재적인 취약점을 식별하고 우선순위를 지정해 민감한 데이터의 유형 및 데이터 유출 여부, API 인증 활성화 여부, 인증 유형 등을 감지한다.

또한 고객의 요구에 부응하기 위해 온프레미스와 클라우드, SaaS, 하이브리드 등 모든 환경을 지원하며 기존에 운영하는 CI/CD 파이프라인과 원활하게 통합해 JWT 취약점, 인증, 권한 부여, 금지된 헤더 등을 탐지하고 보다 심층적인 가시성과 포괄적인 API 보안 기능을 제공한다는 게 노네임 시큐리티 측의 설명이다.

이번 기자간담회에 참석한 엔시큐어 문성준 대표는 “국내에서 노네임 시큐리티는 은행권, 손해보험사, 보험사 등 4군데 고객사를 확보했다”며 “API와 관련한 이슈가 끊임없이 늘어나는 만큼 국내에서의 노네임 시큐리티 고객사는 꾸준히 늘어날 것으로 생각한다”고 말했다.

마이클 베이커 CEO는 마지막으로 “1년 반 정도 엔시큐어와 함께 하면서 한국 시장에서 API 보안에 대한 인식 제고에 많은 노력을 하고 있다는 걸 느끼고 있다”며 “앞으로도 한국을 포함해 전 세계에서 API 보안 인식을 제고해 나가는데 노력해 나가겠다”며 말을 마쳤다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)