클라우드 보안 기업 아카마이 테크놀로지(Akamai Technologies, 이하 아카마이)가 ‘API 보안 영향 연구’ 보고서를 발표했다. 연구에 따르면 매년 증가하는 API 공격에도 공격자들에게 노출되는 API 위험에 대한 인식 및 대응은 약해지고 있다고 밝혔다.

이 보고서는 미국, 영국, 독일의 금융 서비스, 소매·전자상거래, 의료, 정부·공공 부문, 제조, 에너지·유틸리티, 자동차, 보험 산업의 보안 리더 및 실무자 1207명을 대상으로 설문조사한 결과를 토대로 작성됐다.

보고서에 따르면 응답자의 84%가 지난 1년 동안 API 보안 사고를 경험했다. 이는 작년의 78%에서 증가한 수치로, 3년 연속 사고 비율이 상승하며 역대 최고치를 기록했다. 지난해 5월 ‘가트너 API 보호 시장 가이드’에 따르면 API 침해가 일반 보안 침해보다 최소 10배 더 많은 데이터 유출로 이어진다고 했다. 즉, API 보안이 앞으로도 주요 문제로 남을 것임을 시사한다.

API 보안 사고의 증가에도 전체 API 목록을 완전히 파악하고 민감한 데이터를 주고받는 API를 인지하고 있는 응답자는 작년의 40%에서 올해는 27%로 감소했다. 지난해 미국과 영국 응답자의 18%가 API를 실시간으로 테스트한다고 답했지만, 올해는 동일 그룹에서 이 비율이 13%로 감소했다. 응답자들이 언급한 API 사고의 주요 원인은 실시간 테스트가 해결할 수 있는 문제들이었다.

산업별 API 보안 사고 비율은 에너지·유틸리티 분야에서 가장 높았으며(91%), API 보안을 전체 보안 중 가장 낮은 우선순위로 평가했다. 반면, 소매·전자상거래 분야는 API 사고 비율이 가장 낮았으며(68%), API 보안을 가장 높은 우선순위(21.3%)로 평가했다. 미국에서 API 사고를 해결하는 데 평균 비용은 약 8억 원이 들었으며, 금융 서비스 분야에서는 평균 비용이 약 11억 원으로 더 높았다.

향후 12개월 동안 CISO(최고 정보 보안 책임자)들의 최우선 보안 과제는 생성AI 위협(25.5%)과 API 보안 확보(24.8%)라고 설명했다. 이에 API 보안 전략을 강화하는데 전체 API 목록 작성, API가 올바르게 코딩되었는지 확인하는 정기적인 테스트, 정상 API 활동과 비정상 활동을 구별하기 위한 런타임 탐지 구현 등을 권장했다.

아카마이 애플리케이션 보안 수석 부사장 겸 총괄 매니저인 루페쉬 초크시(Rupesh Chokshi)는 “이번 연구가 기업들이 API 보호를 더 잘 평가하고 필요한 개선을 이루는 데 도움을 줄 것이다.”라고 말했다.

[알림] ‘GTT KOREA’와 ‘전자신문인터넷’이 공동으로 주최하는 “NSWS(Next Smart Work Summit) 2024”에서는 글로벌 스마트워크 솔루션 선도 기업들이 참여하여 최신 기술과 시장 동향, 그리고 기업이 당면한 문제의 해결 방안을 심도 있게 다룰 예정이다. 이번 서밋에서는 AI와 스마트워크를 활용한 혁신적인 업무 환경 구축 및 활용 전략 공유와 함께 전시 부스를 통해 기업에 필요한 다양한 스마트워크 활용법을 구체적으로 체험해 볼 수 있는 장도 마련된다.