디지털 전환과 함께 기업의 업무 환경 전반에 인공지능이 빠르게 확산되면서, API는 단순한 데이터 연결을 넘어 에이전틱 AI의 핵심 실행 기반으로 자리잡고 있다. AI가 자율적으로 인식·판단·작업을 수행하는 과정에서 API는 의사결정과 데이터 흐름을 직접적으로 뒷받침한다.

그러나 보안이 취약한 API는 데이터 유출, 서비스 장애, 규제 위반 등 심각한 위험을 초래할 수 있다. 한국 기업의 API 활용률은 이미 높지만, 거버넌스와 관리 체계의 불완전성이 보안 격차를 확대하며 AI 확산의 걸림돌로 작용하고 있다.

한국 기업의 API 보안 현황과 주요 위협

F5의 최신 보고서에 따르면 한국 기업의 절반 이상이 이미 AI와 머신러닝 모델 배포에 API를 활용하고 있다. 하지만 보안을 충분히 확보했다고 답한 기업은 40%에 불과하다. 특히 민감한 데이터에 대한 무제한적 접근(OWASP API6), 리소스 남용(OWASP API4), 보안 설정 오류(OWASP API8)가 주요 위협 요인으로 꼽혔다. API 보안 위험을 심각하게 인식하면서도 대응 수준은 여전히 부족해, 운영 리스크와 규제 준수 문제로 이어지고 있다.

섀도 API와 좀비 API도 심각한 문제로 지적됐다. 한국 기업의 35%가 좀비 API를 고위험 요소로 평가했으나, 이를 효과적으로 탐지·관리할 수 있는 체계를 갖춘 기업은 27%에 불과했다. 문서화되지 않은 섀도 API와 함께 관리 사각지대를 형성해 보안 공백을 낳고 있다.

트윔빗 CEO 마노즈 메논(Manoj Menon)은 “AI의 확산 속도에 비해 API 보안 준비가 부족하다”며 “전담 조직과 고도화된 역량이 부족하면 격차가 전략적 취약점으로 이어질 수 있다”고 경고했다.

F5 아태지역 CTO 모한 벨루(Mohan Veloo)는 “API 워크플로에 거버넌스와 정책 준수를 포함해 실시간 인증·권한 검증·모니터링이 이뤄져야 한다”며 “기업들이 복원성과 민첩성을 유지하면서 안정적으로 AI를 확장할 수 있도록 지원하고 있다”고 말했다.

한국 기업의 대응 전략

보고서에 따르면 한국 기업의 69%가 향후 1년 내 API 보안 예산을 확대할 계획이다. 그러나 예산 증가가 분산 대응에 머무르지 않고 일관된 관리로 이어지려면 전략적 방향성이 필요하다.

F5는 기업들이 집중해야 할 5대 전략 과제로 ▲C레벨 차원의 엔드투엔드 거버넌스 책임 부여 ▲API 라이프사이클 전 과정 관리 강화 ▲에이전트 기반 가시성 내재화 ▲OWASP 기반 정책의 일관적 적용 ▲거버넌스 아키텍처를 통한 API 행동과 비즈니스 연계를 제시했다.

이러한 체계적 접근을 통해 기업은 API 보안을 단편적 방어가 아닌 지속 가능한 운영 기반으로 발전시킬 수 있다.

에이전틱 AI 확산은 한국 기업에 새로운 기회와 동시에 보안 과제를 안겨주고 있다. API는 AI의 작동을 지탱하는 핵심 축이지만, 보호 체계가 미비하면 오히려 리스크의 진원지가 될 수 있다. 한국 기업이 경쟁력과 신뢰를 지키기 위해서는 API 거버넌스 강화, 보안 전 과정 관리, 전략적 투자와 인력 확보가 시급하다.