API 보안 기업 트레이서블AI(Traceable AI)가 RSA Conference 2023에서 실시한 설문조사 연구 보고서를 발표했다. 보고서에 따르면 API 보안은 올해 최고의 사이버 보안 문제로 남아 있지만 대부분의 기업에서는 여전히 구현이 부족한 것으로 나타났다. 또한 기업들이 확인되지 않은 API 스프롤, API 보안 소유자에 대한 명확성 부족, 보안 기능의 일부로 기본 동작을 지정하지 않는 문제로 어려움을 겪고 있는 것으로 나타났다.

이 보고서는 100명 이상의 사이버 보안 전문가로부터 얻은 통찰력을 기반으로 했다. 보고서에서 조직의 69%가 사이버 보안 전략에 API를 고려한다고 주장하지만 회사의 40%는 API 보안을 위한 전담 전문가나 팀이 없으며 응답자의 23%는 모른다고 답했다.

조직에 전용 API 보안이 있는 경우의 조사에서도 많은 조직(61%)이 지난 12개월 동안 API 공격을 경험한 적이 없다고 생각하지만 놀랍게도 36%의 응답자는 확실하지 않다고 했다. 기업의 37%만이 API 보안 전담 팀을 보유하고 있는 것으로 나타났다.

설문 조사의 주요 결과를 살펴보면 40%의 조직에는 전담 API 보안 전문가 또는 팀이 없다. API 보안 소유권은 서로 다른 팀 간에 파편화되어 있으며, 응답자의 38%는 CISO가 소유하고 있다고 주장하는 반면 25%는 개발 또는 데브섹옵스(DevOps)가 소유권을 갖는다고 주장한다. 응답자의 24%는 모른다고 답했다.

응답자의 대다수(66%)는 API 스프롤 현상으로 어려움을 겪고 있거나 회사에서 API 스프롤 현상을 효과적으로 관리하고 있는지 모르고 있었다. 사이버 보안 전문가 회사의 40%는 API 보안 솔루션이 없으며 29%는 조직이 API를 전혀 보호하고 있는지 확신하지 못했다.

API 보안 도구를 채택한 전문가 솔루션의 25%는 API 동작의 기준을 정할 수 없고 잠재적으로 API 공격을 나타내는 비정상적인 활동을 식별할 수 없다. 무려 50%의 응답자가 API 보안 솔루션에 이러한 기능이 있는지 확신하지 못했다.

리처드 버드(Richard Bird) 트레이서블AI 최고 보안 책임자는 "API가 보편적인 공격 벡터이고 최근 몇 년 동안 가장 큰 데이터 유출의 원인인 상황에서 조직의 40%가 이 문제를 해결할 전담 API 보안 전문가나 팀이 없다는 사실은 매우 우려된다. 이와 함께 조직의 40%가 API 보안 솔루션을 갖추고 있지 않다는 것도 심각한 일이다."라며 "과거에는 해커가 데이터를 찾고 시스템을 방해하기 위해 기존 방어를 우회하는 전략을 고안해야 했다. 이제는 보안 스택의 다른 솔루션을 악용하지 않고도 API를 악용하고 민감한 데이터에 대한 액세스 권한을 얻을 수 있다. 이것이 바로 더 많은 조직이 API 보안을 진지하게 받아들이고 이를 광범위한 사이버 보안 전략의 필수 요소로 만들어야 하는 이유이다."고 강조했다.