특히 보안 업계에서는 ‘쉐도우 API(Shadow API)’를 주요 위협 요인으로 지목한다. 쉐도우 API란 보안 담당자가 인지하지 못한 채 운영되는 API를 뜻한다. 개발 과정에서 생성된 테스트용 API나 더 이상 사용되지 않는 레거시 API가 삭제되지 않고 방치되면서 공격 표면을 넓히는 것이다. 이러한 API는 인증 절차가 미흡하거나 보안 정책이 적용되지 않은 경우가 많아 고객 정보나 기업 기밀 데이터 유출의 주요 원인이 되고 있다.
기존 웹 방화벽(WAF)의 한계도 문제로 지적된다. 전통적인 WAF는 JSON, XML 등 API 구조와 비즈니스 로직을 충분히 이해하지 못해 정상 요청으로 위장한 공격을 탐지하는 데 어려움이 있다. 이에 Imperva 국내 총판사인 (주)롤텍은 급증하는 API 공격에 대응하기 위해 ‘Imperva API Security’를 통한 가시성 확보의 중요성을 강조한다.
Imperva API Security는 ‘탐지-분류-보호’의 3단계 접근 방식을 제안한다. 첫 번째 단계인 ‘자동 탐지 및 가시성 확보(Discovery)’에서는 네트워크 트래픽을 분석해 현재 운영 중인 모든 API를 자동으로 식별하며, 관리되지 않던 쉐도우 API까지 찾아내 목록화한다.
두 번째 ‘지속적인 위험 평가(Classification)’ 단계에서는 각 API가 처리하는 데이터를 분석해 개인정보(PII)나 금융 데이터 등 민감 정보를 다루는 API를 우선 분류해 관리한다. 마지막 ‘포지티브 보안 모델 기반 보호(Protection)’ 단계에서는 정상적인 API 호출 패턴을 학습해 스키마 위반이나 비정상적인 데이터 요청을 실시간으로 탐지·차단한다.
전문가들은 API 보안이 단순 솔루션 도입만으로 해결되지 않는다고 강조한다. 기업별 API 구조에 맞춘 정교한 정책 설정과 개발과 보안의 협업 체계 구축이 필수적이라는 설명이다. (주)롤텍은 기업 환경에 최적화된 화이트리스트 기반 정책 수립을 지원하고, DevSecOps 환경에서 API 보안이 자연스럽게 통합될 수 있도록 기술 컨설팅도 제공하고 있다.
업계 관계자는 “자사 API의 위치와 규모, 취약점을 파악하지 못한다면 보안은 시작조차 할 수 없다”며 “보이지 않는 위협을 가시화하고 관리 가능한 영역으로 전환하는 것이 무엇보다 중요하다”고 강조했다.
이번 Imperva API Security 도입은 기업들이 점점 복잡해지는 API 환경에서 보안 위협을 효과적으로 관리하고, 데이터 유출 사고를 예방하는 데 중요한 역할을 할 것으로 기대된다.
