API 기반 소프트웨어 아키텍처가 확산되면서 보안의 복잡성과 위협도 함께 증가하고 있다. 특히 섀도우 API, 좀비 API, 고스트 API 등 관리되지 않는 API들이 조직 내 보안 사각지대를 형성하고 있으며, 이에 따라 민감 정보 노출 및 규제 위반 가능성이 커지고 있다. 의료, 금융 등 고위험 산업에서는 더욱 정밀하고 자동화된 API 보안 전략이 요구되고 있다.

시프트-레프트 API 보안 플랫폼 스택호크(StackHawk, CEO 조니 클리펫)가 보안팀이 조직 내 수천 개의 코드 저장소에 걸쳐 있는 고위험 API를 파악할 수 있도록 돕는 ‘민감 데이터 식별(Sensitive Data Identification)’ 기능을 발표했다.

대부분의 보안팀이 API 공격 표면의 약 10%만 인지하고 있는 상황에서, 스택호크는 섀도우 API, 더 이상 활발히 개발되지 않는 좀비 API, 전통적인 게이트웨이를 우회하는 고스트 API를 포함한 전체 API 환경을 밝혀준다.

소스 코드 저장소에서 API를 자동으로 찾아내는 스택호크의 기존 API 디스커버리 플랫폼을 활용하여, 민감 데이터 식별 기능은 보안팀이 개인 식별 정보(PII) 필드, 카드 소지자 데이터, 건강 정보와 같은 민감 데이터를 처리하는 중요한 API에 대한 테스트 우선순위를 데이터 민감도와 변경 빈도를 기반으로 정할 수 있게 한다.

코드 기반 API 식별로 보안 가시성 확장

스택호크는 기존 API 디스커버리(Discovery) 플랫폼을 기반으로, 코드 저장소에 존재하는 수천 개의 API를 자동 탐색하고 민감 데이터를 다루는 API를 식별하는 기능을 제공한다. 이는 보안팀이 전체 API 공격 표면을 인지하지 못하고 있는 현실을 개선하기 위한 기술적 시도다.

새롭게 추가된 민감 데이터 식별 기능은 PII(개인식별정보), 카드 소지자 정보, 건강 정보 등 규제 대상 데이터 참조를 식별할 수 있다. 이에 따라 보안팀은 기존에 놓치고 있던 중요 API의 테스트를 데이터 민감도 기준으로 우선순위를 매길 수 있다.

스택호크 조니 클리펫(Johnny Cifelli) CEO는 “보안팀은 보이지 않는 API 환경의 확장에 어려움을 겪고 있으며, 특히 규제 산업에서의 보안 사각지대가 심각하다.”라고 설명했다.

이 플랫폼은 섀도 API, 개발 중단된 좀비 API, 게이트웨이를 우회하는 고스트 API까지 전체 API를 분석 대상으로 포함하며, 이를 통해 레거시 시스템부터 최신 애플리케이션까지 완전한 가시성을 확보할 수 있다.

실제 산업 환경에 적합한 보안 우선순위 결정

이 기술은 특히 의료와 핀테크 등 민감 데이터를 다루는 산업 분야에서 실질적인 보안 강화 효과를 보고 있다. 고위험 API를 조기에 식별하고 우선 테스트할 수 있는 기반이 마련됨으로써 보안 리소스의 효율적 배분이 가능해졌다.

언리미티드 시스템즈(Unlimited Systems)의 기술 관리자인 브라이언 앤더슨(Brian Anderson)은 “고위험 취약점과 민감 데이터를 처리하는 API에 대한 가시성을 통해, 나는 가장 중요한 것을 테스트하는 데 우선순위를 둘 수 있다.”라며 “중요한 기능에서 PHI(보호 건강 정보)가 위험에 처한 것을 보면, 즉시 팀을 투입해 테스트해야 할 때라는 것을 안다.”라고 전했다.

스택호크의 이 기술은 코드가 존재하는 지점에서 API를 식별하는 방식으로 보안 적용을 시작해, API 환경 전반을 완전하게 파악할 수 있게 한다. 공개된 엔드포인트만 탐지하던 기존 보안 방식과는 달리, 보이지 않는 공격면까지 노출해 고위험 API의 누락 테스트를 방지한다. 민감 데이터 식별 기능은 보안팀이 실제 위험을 기반으로 보안 우선순위를 정할 수 있는 기능을 제공함으로써, 복잡한 API 환경을 효과적으로 통제할 수 있게 한다.

조니 클리펫 대표는 “StackHawk는 API 보안 테스트를 개발 프로세스의 일부로 정착시키는 데 집중해왔다”며, “개발 속도와 보안 범위 간의 격차를 좁히고 있다”고 밝혔다.