클라우드 및 마이크로서비스 아키텍처의 확산과 함께 API의 사용이 급증하면서 API 취약점이 증가하고 있다. API는 애플리케이션 간 데이터 교환을 원활하게 하지만, 그 개방성과 접근성으로 인해 공격자의 주요 표적이 된다. 특히, 잘못된 설정과 약한 인증·권한 관리가 주된 원인이며, 빠른 배포 주기로 인해 보안 점검이 미흡해지기 쉽다. 또한, API는 클라우드 네이티브 환경에서 핵심 역할을 하기 때문에, 이 환경의 취약점은 API 보안 문제로 직접 연결된다.

글로벌 API 보안 선도기업 월람(Wallarm)이 ‘2024년 3분기 API 위협 통계 보고서’를 공개하며, 전 세계 산업에 영향을 미치는 API 취약점과 침해 사건의 증가에 대한 중요한 통찰을 발표했다.

보고서에 따르면 다양한 부문에서 API 취약점이 증가하고 있으며, API가 그들의 접근성 및 중요한 데이터로 인해 구체적으로 표적이 되는 위협 환경이 심화되고 있다.

월람의 연구원들은 올 2분기와 비교해 API 취약점이 21% 증가한 것을 발견했다. 또한, 이 취약점들은 평균 CVSS(Common Vulnerability Scoring System) 점수가 7로 나타났으며, 많은 경우 7.5로 평가되었는데, 이는 높은 심각성을 의미하며 API 문제를 위협 행위자가 쉽게 악용할 수 있음을 반영한다. 발견된 취약점의 상당한 증가는 다수의 부문에서 API가 사이버 공격의 주요 대상이 되는 확장된 위협 환경을 강조하고 있다.

3분기 API 데이터 침해 요인

3분기 API 데이터 침해에 대한 추세는 다음과 같다.

클라이언트 측 API 취약점이 OWASP API Top-10에서 다루지 않는 숨겨진 위험을 노출하고 있다. 이번 분기 Hotjar, Business Insider, Explore Talent와 같은 여러 침해 사건은 클라이언트 측 API 결함에서 비롯되었으며, 여기에는 OAuth 설정 오류 및 크로스사이트 스크립팅(XSS)이 포함되었으며, OWASP API Top-10에서는 이를 충분히 다루지 않는다.

개발자들은 종종 OAuth를 보안 개선책으로 오인하지만, 설정 오류가 발생하면 계정 탈취와 대규모 데이터 노출을 초래하는 주요 취약점이 된다. 이러한 사건들은 클라이언트 측 API 보안에 더 많은 주의와 전용 접근 방식이 필요하다는 점을 보여준다.

API 설정 오류가 침해 규모를 확대하고 있다. 보안이 제대로 설정되지 않은 API, 특히 약한 인증 및 권한 제어를 가진 API는 대규모 침해로 이어질 수 있으며, 공격자는 단일 부분이 아닌 전체 데이터 세트를 액세스하고 다운로드할 수 있다. 이러한 점은 Deutsche Telekom과 Fractal ID의 사건에서 명확히 나타났으며, 인증되지 않은 API 액세스로 인해 공격자가 대량의 개인 데이터, 요금 정보, 사용자 추적 정보를 악용할 수 있었다. 전통적인 악성 코드 공격이 데이터의 무작위 하위 집합을 목표로 삼는 경우가 많지만, API 침해는 종종 전체 데이터 추출로 이어져 그 영향이 훨씬 더 심각하다.

API는 다양한 산업 전반에 걸쳐 공통적인 취약점이다. 이번 여름의 침해 사건은 통신(Deutsche Telekom)과 교통(Metro Pacific Tollways Corporation)에서부터 블록체인 및 Web3 플랫폼(Fractal ID)에 이르는 광범위한 산업에 영향을 미쳤다. 이러한 사건들은 어떤 산업도 면제되지 않으며, API 취약점이 전통적인 기술과 최첨단 기술 환경에서 모두 공통적인 도전 과제임을 증명한다. API 보안은 진화하는 공격 벡터를 해결하기 위해 일관된 산업 전반의 노력이 필요하다.

이번 분기의 또 다른 중요한 발견은 AI 시스템에서 API 보안의 필수적인 역할이다. API 없이는 AI가 존재하지 않으며, 모델, 데이터, 인프라를 연결하는 데 API가 필수적이다. API 취약점은 AI 기능에 직접적인 영향을 미치며, AI 기능은 API에 고유한 취약점을 도입할 수 있다. AI 악용과 API 취약점을 해결하는 것은 이들이 깊이 상호 연결되어 있기 때문에 포괄적인 보안을 위해 필수적이다.

API 취약점의 증가는 기업들이 경계를 늦추지 않고 포괄적인 API 보안 조치에 투자해야 할 긴급성을 강조한다. 월람은 멀티 클라우드, 클라우드 네이티브, 온프레미스 환경에서 전체 API 및 웹 애플리케이션 포트폴리오를 보호하기 위해 높은 수준의 API 보호와 실시간 차단 기능을 통합하는 솔루션이며, 조직이 증가하는 위협에 맞서 방어할 수 있도록 지원한다.

월람의 CEO이자 공동 창립자인 이반 노비코드(Ivan Novikov)는 "이번 분기 동안 우리는 다양한 산업에서 API 관련 보안 결함이 급증하는 것을 목격했으며, 이는 API 보안이 수평적인 문제임을 다시 한 번 상기시켜준다."라며, "취약점의 32%가 클라우드 네이티브 소프트웨어와 관련이 있다는 사실을 발견했으며, 이는 클라우드 인프라와 관련 API가 사이버 범죄자들에게 점점 더 매력적인 표적이 되고 있음을 명확히 보여준다. 이 추세는 특히 조직들이 중요한 운영을 클라우드로 계속해서 이전함에 따라 강력한 보안 솔루션이 필요함을 시사한다."고 말한다.