Home > 전체기사

API 보안, 필수 애플리케이션 보안전략으로 만드는 방법

  |  입력 : 2022-05-23 16:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
API 보안은 조직의 애플리케이션 보안전략의 필수
API 공격 차단, OpenAPI 사양 구축된 보안 모델 제공 등 웹사이트와 API 통합보안 제공돼야


[보안뉴스 기획취재팀] 조직이 디지털 혁신 경로를 따라갈수록 전반적인 보안 태세 확립에 있어 API 보안은 더욱 중요해지고 있다. 매일 개발팀은 혁신을 거듭하고 있다. 그들은 B2B 프로세스를 자동화하고, 모바일 애플리케이션을 위한 백엔드를 제공함에 따라 시간과 비용을 절약하기 위해 마이크로 서비스에 더 많이 의존한다. API는 조직의 디지털 혁신 프로세스의 초석이다.

[이미지=utoimage]


이러한 추세는 당분간 되돌릴 수 없다. 최근 SlashData Survey 설문조사에 따르면 2020년 말까지 개발자의 90%가 API를 사용하고 있다. API는 로레벨 소프트웨어 레이어를 단순화하고 개발자가 애플리케이션의 핵심 기능에 집중할 수 있도록 한다. API는 경험이 부족한 개발자의 진입장벽을 낮추는 동시에 경험이 많은 사람들의 효율성을 높인다.

불행하게도 사이버 범죄자들은 이 점을 인지하고 API 경제로의 전환 과정에서 새로운 공격 벡터와 익스프로잇을 의도적으로 찾고 있다. 이로 인해 조직은 전체 애플리케이션 보안체계의 일부로 API를 더 잘 보호할 수 있는 새로운 보안조치를 채택해야 한다.

API 보호는 포지티브 보안 모델에서 시작
효과적인 API 보안은 API를 보호하기 위해 디도스(DDoS) 공격 보호 및 기타 보안 기능의 장점을 활용해야 한다. 이 외에도 조직은 악의적인 사용자의 API 오용을 차단하는 API 트래픽에 대한 두번째 방어 레이어로 포지티브 보안 모델을 채택해야 한다.

API를 위한 통합보안 접근방식
API 보안전략은 웹사이트와 API 트래픽 모두에 통합된 CDN, 로드 밸런서 및 DDoS 공격 보호를 통해 보안관리를 단순화하는 더 큰 기술 제품군의 일부여야 한다. 보안정책은 통합된 가시성과 컨텍스트 통찰력을 위한 단일 분석 레이어를 사용해 웹사이트와 API 모두에 적용되어야 한다. 전략은 즉시 사용 가능한 보안 정책을 통해 사이버 공격으로부터 API를 신속하게 보호할 수 있어야 한다.

여기에는 특정 요구사항을 충족하기 위한 사용자 지정 정책을 구축할 수 있는 고급 기능이 수반되어야 한다. 자체 OpenAPI 사양으로 구축된 포지티브 보안 모델은 개발자의 사양 유효성 검사 부담과 런타임 시 애플리케이션 부하를 제거해야 한다. 또한 CI, CD 도구 또는 주요 API 관리 공급업체를 통해 API 수명 주기 관리 프로세스에 보안을 원활하게 통합할 수 있어야 한다. 통합을 통해 개발팀이 API를 추가하거나 변경할 때마다 전체 보안전략 내에서 자동으로 업데이트되어 API 배포에서 일반적인 보안 병목 현상을 방지할 수 있다.

API 보안은 조직의 애플리케이션 보안전략에 있어 필수여야 하며, 이를 통해 위험을 줄이고 최적의 사용자 경험을 제공할 수 있어야 한다. 관련 솔루션은 중요한 API 보안 공격을 차단하고, OpenAPI 사양으로 구축된 긍정적인 보안 모델을 제공해야 한다. 또한, API 수명 주기 관리에 보안을 통합하고, 웹사이트 및 API 보안을 위한 통합 솔루션을 제공해 온프레미스 및 클라우드에서 애플리케이션을 보호해야 한다.
[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)