클라우드플레어가 ‘API 보안·관리 보고서’를 내고 광범위하게 활용되는 API 전반에서 보안 취약성 해소가 시급한 과제로 떠올랐다고 경고했다.

11일 클라우드플레어의 조사결과에 따르면, AI는 가장 널리 사용되는 사이트와 앱의 기반이 되는 기술로 각광받고 있지만 이전보다 더 많은 온라인 위협에 노출되는 모습을 나타냈다.

관리되지 않거나 안전하지 않은 API가 잠재적으로 민감한 정보를 유출할 수 있는 통로로 작동할 수 있는 것이다.  

실제로 API는 휴대폰, 스마트워치, 뱅킹 시스템, 쇼핑 사이트 등 모든 디지털 기기 간의 통신을 지원하고 있다. e커머스(전자상거래) 사이트에서 결제를 수락하고, 의료 시스템에서 환자 데이터를 안전하게 공유하며, 택시와 대중교통에서 실시간 교통 데이터에 액세스하는 데 API가 활용되고 있는 것이다. 

그렇지만, HTTP 이상 공격 등 API를 겨냥한 다수의 사이버공격 사례가 확인되고 있으며, 기업의 IT 운영팀이 파악하지 못한 API(섀도우 API)도 다수 존재하는 것으로 나타났다. 이는 API가 사이버범죄자들에게 금광이 될 수 있음을 의미한다. 

보고서에 따르면 IoT, 철도, 버스 및 택시 서비스, 법률 서비스, 멀티미디어·게임, 물류·공급망 등 대부분의 산업에서 API 트래픽이 가장 높은 비중을 차지했으며, API 트래픽이 전세계 동적 인터넷 트래픽의 과반(57%)을 차지하는 등 활용이 급증하고 있다. 

API에 대한 공격도 증가하고 있다. 클라우드플레어가 지난해 가장 많이 차단한 API 공격 유형은 HTTP 이상 공격, 인젝션 공격, 파일 인클루젼 등이었으며, API가 소프트웨어 프로그램과 연결되는 API REST 엔드포인트는 고객이 제공한 식별자에 보다 31% 더 많이 발견됐다. 

멜린다 막스 엔터프라이즈스트레티지그룹 사이버보안 책임자는 "API는 개발자가 모든 기능을 갖춘 복잡한 애플리케이션을 만들어 서비스를 제공할 수 있는 강력한 도구이지만, 각 API는 보안이 필요한 잠재적인 공격 표면이 되고 있다”며 “조직에게는 API 보안을 해결하기 위한 보다 효과적인 방법이 필요하다”고 조언했다.

매튜 프린스 클라우드플레어 CEO 겸 공동창업자는 “API는 애플리케이션과 웹사이트가 작동하는 방식에 핵심적인 역할을 하는 만큼 해커들의 새로운 표적이 되고 있다”며 “기업이 데이터 유출을 방지하고 비즈니스를 보호하려면 모든 API를 식별하고 보호하는 것이 중요하다”고 말했다.