기업은 API를 이용해 서비스를 연결하고 데이터를 전송한다. API가 손상, 노출 또는 해킹되면 주요 데이터 보안 유출 사고의 원인이 될 수 있고 이로 인해 민감한 의료, 금융 및 개인 정보가 노출된다. 

최근 보안에 취약한 API 사용이 급증함에 따라 이에 대한 보안대책이 시급한 상황이다. S&P 글로벌 산하 451리서치가 발표한 자료에 따르면 최근 글로벌 인터넷 트래픽 중 83%정도가 API 콜에 의해 발생하고 있으며 평균 API 사용율이 매년 200%정도 증가하고 있다. 그런데 사용중인 API 현황파악을 거의 하지 못하고 있고 약26% 정도만 수동으로 관리하고 있는 실정이며 전체 보안사고 중 약 41%가 API 관련 보안 사고이며 이중 63%는 침해 및 데이터 소실 관련 사고로 나타났다.

가트너에서도 마이크로 서비스, 디지털전환 및 클라우드 서비스 확대에 따라 급증하고 있는 API가 가장 빈번하고 손쉬운 해킹표적이 될 수 있으며 API 보안 이슈로 인해 전체 프로젝트의 약 35%가 개발 지연되고 있다고 밝혔다. 

아이씨넷(사장 강종철)은 최근 보안시장에서 급부상하고 있는 API 자산관리 및 통합보안솔루션 전문기업 노네임시큐리티와 파트너십을 체결했다고 밝혔다.

미국 실리콘밸리리에 본사를 둔 노네임시큐리티는 2020년에 설립되어 불과 2년만에 포춘지 선정 500대 기업의 20%이상 그리고 스타벅스외 다수의 유명 글로벌기업들을 고객으로 확보하며 급성장하고 있다. 세계 최대 보안 컨퍼런스인 RSAC 2022에서는 22년 최고의 혁신보안기업, 가장 주목받는 클라우드 보안기업으로 선정되는 등 뛰어난 기술력 및 제품 완성도를 갖춘 API 보안전문기업이다. 

양사는 이번 파트너십을 통해 마이크로 서비스, 마이데이터, 디지털전환 그리고 클라우드 시장의 급성장과 함께 API의 관리 및 보안의 중요성이 높아지고 있는 국내 시장을 본격적으로 공략할 방침이다.

노네임시큐리티의 API 보안 통합 플랫폼은 AI/머신러닝 기반의 플랫폼으로 API 보안문제들을 해결하기 위해 API 자산현황관리, API 런타임 보안, 해커의 공격에 필요한 정보 사전차단 기능, API 개발단계에서의 테스트 등이 제공된다.

이 플랫폼은 OWASP에서 제시하는 API 보안 TOP10 리스크의 모든 보안취약점에 대해 탐지 분석할 수 있으며 RESTful API를 포함한다. 뿐만 아니라 GraphQL, gRPC, JSON-RPC 등 현존하는 모든 API와 API 게이트웨이에서 관리하지 못하는 로그(Rouge) API, Shadow API 등 기업에서 사용중인 전체 API에 대해 개발단계부터 운영까지 전반적인 API 관리 및 통합보안 기능을 제공한다.

주요한 핵심 기능으로는 API 형상관리(API Posture Management), API 런타임 보안(API Runtime Security), 리콘(Recon), 액티브 API 테스트(Active API Testing) 등이 있다.

API 형상관리 기능은 사용중인 모든 API의 인벤토리를 파악 분석할 수 있고 각 API에 대한 구성 및 변경사항, API에 접속하는 데이터 타입, 사용자 수 등 세부적인 내용을 정교하게 파악 분석해준다. 또한 개인정보 등 민감한 데이터들을 식별할 수 있어 어떤 API들이 어떤 형태로, 어떤 사용자가 민감한 정보가 포함되어 있는 API에 접속하고 있는지 파악하여 관련정보를 관리자에게 제공해줄 수 있다. 

API 런타임 보안 기능은 자동화된 AI/머신러닝 기반의 플랫폼을 기반으로 실시간 트래픽을 분석해 API 보안 취약점을 탐지한다. 데이터의 유출, 조작, 정책 충돌, 이상 징후 및 기타 API 취약점 공격들에 대해 실시간으로 세밀한 내용파악 및 분석을 통해 조치를 할 수 있다. WAF, 방화벽 등 다양한 보안솔루션과의 통합으로 관련 위협을 즉시 차단할 수 있다. 또한 동일한 보안 위협 탐지시에는 자동적으로 차단할 수 있다.

리콘 기능은 사이버 킬 체인의 선제적 대응을 위해 해커의 행동 양식을 기반으로 해커가 악용할 수 있는 공격경로를 파악하기 위해 주기적으로 API 최상위(Root Level), 하위 도메인을 수집하고 공개소스저장소 등을 사전 수집 탐색한다. API 인터페이스의 인터넷 공개여부, API 키 및 기타 기밀사항 유출 그리고 WAF, CDN 바이패스 여부등의 이슈를 사전에 파악하여 API공격 사각지대를 사전에 제거할 수 있다.

액티브 API 테스트 기능은 데브옵스와 결합해 개발단계에서부터 API 보안테스트를 해 사전에 보안취약점을 탐지, 분석을 할 수 있으며 각 개발단계마다 온디멘드(On-Demand)로 적용할 수 있다. CI/CD 파이프라인과 통합할 수 있어 “Shift Left’ 구현이 용이하다. 또한 프로그램 인프라 변경없이 보안 취약점을 파악하고 API 적용전에 빠르게 리스크를 발견, 제거할 수 있어 전체 개발시간을 단축하고 비용을 절감할 수 있으며 보안 위험도를 제거한 보다 안전한 소스코드를 사용할 수 있다. 

노네임시큐리티 플랫폼은 아웃오브밴드 방식으로 구축하기 때문에 기존 인프라 변경없이 손쉽게 구현할 수 있으며 온프레미스 뿐만 아니라 SaaS 형태의 클라우드 또는 하이브리드 등 다양한 환경에서 구축 운영이 가능하다.

아이씨티넷 강종철사장은 “많은 기업들이 서비스를 개발하고 개선하기 위해 AI 활용이 증가하고 있는 가운데 이에 대한 보안도 중요해졌다”라며 “이번 파트너십으로 국내에서 본격적인 보안사업을 확장해 나갈 예정이다. 일부 기업과는 관련 미팅을 이미 진행중에 있으며 최대한 빠른 시간내에 고객을 확보하면서 시장을 확대시켜 가겠다”고 자신했다.