AI와 자동화 기술이 확산되면서 기업의 운영 체계는 수백, 수천 개의 API(Application Programming Interface)로 연결된 복합 네트워크로 진화하고 있다. API는 서비스 간 데이터를 실시간으로 교환하며 AI 에이전트가 의사결정과 실행을 수행하는 핵심 통로가 되었다. 그러나 이러한 연결성의 확장은 새로운 공격면을 만들고 있으며, 인증 누락·권한 오용·데이터 노출 등 API 보안 취약점이 급증하고 있다. 특히 생성AI가 API 개발 과정에 활용되면서 자동화된 코드 생성이 예기치 못한 보안 위험을 불러일으키고 있다.

API 보안 기업 솔트 시큐리티(Salt Security)가 AI 기반 디지털 전환 시대에 기업이 직면한 위험, 보안 전략의 변화, 예산 및 인력 제약, 기술 성숙도를 분석한 ‘2025년 하반기 API 보안 현황 보고서(State of API Security Report)’를 발표했다. 이 보고서는 금융, 제조, 헬스케어, 기술 등 산업별 API 보안 담당자 386명을 대상으로 조사해 작성되었다.

보고서는 AI와 자동화 기술의 빠른 확산이 보안 사각지대를 확대하고 있다고 지적하며, API 보안 역량이 향후 AI 혁신의 지속 가능성을 결정짓는 핵심 요소임을 강조했다.

보고서에 따르면, 응답 기업의 80%가 실시간 API 모니터링이 부족하며 33%는 지난 1년간 API 보안 사고를 경험했다. 또 절반 이상(50%)은 보안 문제로 인해 애플리케이션 출시를 연기해야 했다. API가 AI와 자동화를 연결하는 핵심 동맥인 만큼, 관리 실패는 곧 시스템 전반의 위험으로 이어지고 있다.

API를 통제하지 못하면 AI도 통제할 수 없다

솔트 시큐리티의 사이버 보안 전략 책임자 에릭 슈바케(Eric Schwake)는 “API는 디지털 혁신의 혈관이지만, 여전히 보안 통제는 반응적이고 일관성이 부족하다”고 경고했다. 그는 “API 보안이 없는 AI는 눈가리개를 하고 운전하는 것과 같다. API를 통제할 수 없다면 AI도 통제할 수 없다”고 강조했다.

보고서에 따르면 API 인벤토리의 정확성에 확신이 있는 조직은 19%에 불과했으며, 54%는 여전히 개발자 문서에 의존해 민감한 데이터 노출을 탐지하고 있었다. 이는 기업 내부에서조차 API 자산 현황을 정확히 파악하지 못한 채 AI 워크플로가 운영되고 있음을 의미한다.

생성AI, 보안 복잡성의 새로운 진원지

보고서는 생성AI(Generative AI)가 API 보안 체계를 더욱 복잡하게 만들고 있다고 경고했다. 62%의 조직이 API 개발에 생성AI를 활용, 59%는 보안 운영(SecOps)에 생성AI를 도입하고 있지만, 56%는 AI 생성 코드가 보안 취약점을 만든다고 인식했다.

AI가 스스로 코드를 생성하고 실행하면서, 의도치 않은 API 노출·권한 오류·데이터 과다 공유 등 새로운 리스크가 등장하고 있다. 생성AI가 개발과 방어의 양측에서 모두 활용되면서 ‘공격-방어의 역학 관계’가 동시에 작동하는 환경이 형성되고 있다는 분석이다.

조사 결과, 41%의 조직이 API가 51~100% 증가했다고 응답했고, 13%는 101~200% 증가, 6%는 301% 이상 급증했다고 답했다. 현재 42%의 기업이 100~500개 API를 관리, 14%는 1,000개 이상을 운영하고 있다.

API는 클라우드, 모바일, 온프레미스 시스템을 연결하는 핵심 인프라지만, 인증 불일치·권한 남용·로그 부재 같은 구조적 취약점이 누적되면 공격자는 단 하나의 엔드포인트만으로 전체 AI 시스템에 접근할 수 있다.

보안 투자 확대에도 성숙도는 여전히 낮다

조직의 80%가 API 보안 예산을 증액했지만 대부분 15% 미만에 머물렀다. 예산 부족(25%), 인력 부족(16%), 런타임 보안 부재(15%), 관리 복잡성(14%), 사전 프로덕션 보안 미비(12%)가 주요 과제로 꼽혔다.

이는 API 보안이 탐지 중심의 초기 단계에 머물러 있음을 보여준다. 슈바케는 “기존 보안 도구로는 API 실행 계층을 완전히 보호할 수 없으며, 단 하나의 취약점이 AI 에이전트 전체를 위험에 빠뜨릴 수 있다”고 밝혔다.

솔트 시큐리티는 기업들이 단편적 방어에서 벗어나 지속적 API 탐지·런타임 보호·거버넌스 강화·생성AI 전용 보안 프레임워크 구축으로 나아가야 한다고 제안했다.

AI 기반 코드 생성 환경에서는 AI가 스스로 보안 정책을 위반하지 않도록 AI 인식형 API(AI-aware API)보안 관제 체계가 필요하며, 이를 통해 기업은 API 호출과 데이터 접근을 실시간으로 분석해야 한다고 강조했다.

국내 기업들도 빠르게 늘어나는 AI 에이전트와 API 통합 환경에 대비해야 한다. 우선 API 자산 관리 체계(API Inventory Management)를 구축해 모든 엔드포인트를 식별하고 취약성 맵을 주기적으로 갱신해야 한다. 또한 국내 개인정보보호법(PIPA)과 국제 표준인 OWASP API Security Top 10을 결합한 보안 거버넌스 프레임워크를 마련하는 것이 중요하다.

AI 개발 단계부터 보안 검증을 통합하는 ‘시프트 레프트(Shift-Left)’ 접근법을 도입하고, API 실행 로그를 클라우드 SIEM과 연동해 이상 행위를 실시간 탐지할 수 있는 구조를 만들어야 한다. 특히 중견·중소기업은 SaaS형 API 보안 솔루션을 활용해 초기 비용을 줄이면서도 AI 프로젝트의 신뢰성과 복원력을 확보하는 전략이 요구된다.