API 보안, 무엇을 주의해야 할까요?
API 전략은 기업이 디지털 전환을 하는데 핵심이라 할 수 있습니다. 최근 레거시 현대화와 클라우드 네이티브 방식으로 애플리케이션 개발 및 운영이 많아지다 보니 API의 쓰임이 나날이 확대되고 있습니다. 😊👍
그렇다면 API의 역할과 기능은 어떻게 변하고 있을까요? 다음 그림에 잘 표현되어 있습니다.
위 그림에 담긴 행간의 의미를 좀 풀어 보겠습니다. 최근의 변화를 한 마디로 압축하면 ‘API 경제’ 또는 ‘API 생태계’라고 표현할 수 있습니다. 전통적인 엔터프라이즈 컴퓨팅 방식은 주로 내부를 향하고 있습니다. 업무 요건을 정의해 거대한 시스템을 모노리식 구조로 만들었고 ERP, SCM, CRM 같은 중요 시스템을 도입해 운영하였습니다.
요즘 기업의 컴퓨팅 방식은 내부를 넘어 외부까지 뻗쳐 나가고 있습니다. API를 통해 조직 내부와 외부의 주요 디지털 자산에 접근하고 연결하고 있습니다. API 경제, API 생태계라고 말하는 것도 같은 맥락에서 이해할 수 있습니다. 기업은 데이터, 컨텐츠, 애플리케이션 등 다양한 디지털 자산 간의 연결 고리로 API를 활용하고 있고, API 포탈을 만들어 내부 인력과 파트너 및 외부 인력 간 협력의 장도 만들고 있습니다.
😃 위협을 가할 수 있는 표면적 확대
API를 통해 디지털 자산을 노출하는 대상이 늘면서 말 못 할 고민도 함께 커지고 있습니다. 바로 『보안』입니다. API로 접근 가능한 디지털 자산의 유형과 수가 많아진다는 것은 보안 측면에서 위협을 가할 수 있는 표면적이 확대되는 것입니다. API 우선 전략을 위협할 수 있는 공격 벡터를 정리해 보면 대략 다음과 같습니다.
- 봇
- DDoS
- 자격 증명 탈취
- 애플리케이션 사기
- API 공격
- 비인가 접근
- 데이터 유출
- 인프라 공격
- 등등…
공격 벡터를 통해 현재 상황을 정리하면 API는 위협의 그늘 아래 있다고 말할 수 있습니다. 흔히 API 관리 플랫폼을 구축해 운영할 경우 해당 플랫폼이 제공하는 보안 기능이면 충분하다고 생각합니다. 하지만 앞서 살펴본 공격 벡터 일부만 봐도 API 관리 플랫폼만으로는 시시각각 다가오는 위협을 효과적으로 탐지하고 차단할 수 없습니다.
😃 문제의 본질은? 터치 포인트가 너무 많다!
그렇다면 API 우선 전략으로 레거시를 현대화하고, MSA/EDA 기반으로 클라우드 네이티브 앱 개발 비중을 늘려 가는 데 있어 안정적인 보안 운영(Security Operation)을 하려면 어떻게 해야 할까요? 답을 찾기 전에 문제의 본질을 파악해야 합니다. 앞서 언급한 바와 같이 API 관련 공격 표면적이 확대되고 있다는 것! 이것이 바로 본질입니다.
👇 다음 그림은 API 관련 위협의 표면적을 정리한 것입니다.
이처럼 범위가 넓은 터치 포인트를 포괄할 수 있는 접근이 바로 API 우선 전략과 짝을 맞추어 가야 하는 보안 운영 전략의 핵심입니다.
😃 구글 클라우드에서 API 보호란?
구글 클라우드는 API 보안에 대한 포괄적인 해결책을 제시합니다. 구글 클라우드의 API 보안은 다계층 보호 체계 아래 가능합니다. 이 체계는 클라우드 서비스 공급자 측면에서 만든 것이 아닙니다. 구글이 검색, 영상, 광고 등 다양한 글로벌 서비스를 하면서 체득한 위협 탐지와 대응의 노하우를 바탕으로 만든 체계입니다. 구글 클라우드의 API 보호는 퍼블릭 클라우드에 한정된 것이 아닙니다. 다른 도구와 서비스와 연계를 바탕으로 온프레미스, 하이브리드, 멀티 클라우드를 모두 수용합니다.
이상으로 『 API 보안의 중요성 』 에 대해 알아보았습니다. 😎
다음 포스팅에서는 < 구글 클라우드 API 보안의 중추라 할 수 있는 Apigee와 Cloud Armor가 어떻게 시너지를 내며 효과적인 API 환경 보호를 하는지 > 에 대해 알아보겠습니다. 🤗🤩🙂
더 자세한 내용은 메가존으로 문의 바랍니다. 👉 메가존소프트 문의 바로가기
