API 경제에서 금융 기관의 사이버보안 전략

최근 몇 년간 기업은 프로세스를 간소화하고 혁신을 강화하는 등 다양한 혜택을 경험하며 API도입을 더욱 확대하고 있다. 특히 금융 서비스 기업은 API의 다양한 기능을 통해 새로운 서비스와 고객이 온라인에서 자금을 활용하고 사용할 수 있는 훨씬 더 개인화된 경험을 제공할 수 있게 되면서 API 경제의 빠른 성장에 일조하고 있다.

하지만 금융 서비스 업계에서 디지털 서비스와 API 사용이 증가하면서 사이버 공격자의 진입 지점이 늘어나, 공격자가 악용할 수 있는 잠재적 취약점도 많아졌다. 2024년 9월 발표된 아카마이의 인터넷 현황 보고서(State of the Internet, SOTI) ‘높은 파고를 헤쳐 나가는 방법: 금융 서비스 업계의 공격 트렌드(Navigating the Rising Tide: Attack Trends in Financial Services)’에 따르면, API를 통해 애플리케이션을 표적으로 한 레이어 7 DDoS 공격이 급증했다. 가장 우려되는 부분은 문서화되지 않은 섀도우 API(shadow API)로, 정보보안팀이 섀도우 API를 인지하지 못해 방어에 실패하는 경우가 많았다. 공격자는 API를 악용해 데이터를 유출하거나 인증 제어를 우회하는 등 각종 공격을 감행할 수 있다.

악의적인 사이버 공격으로부터 금융 기관 보호

API 남용은 금융 기관에 웹 애플리케이션 및 API 보호(Web Application and API Protection, WAAP)를 넘어서는 문제를 야기한다. 이런 이유로 국제 웹 보안 분야 비영리 재단 OWASP(The Open Web Application Security Project)는 2019년 처음 발표한 API 보안 위협 상위 10가지를 2023년 업데이트했다. 금융 업계가 당면한 과제는 API 생태계에 대한 가시성 부족과 전사적 API 인벤토리 부재다. 주로 권한 부여, 인증 및 속도 제한을 위해 설계된 API 게이트웨이는 보안 탐지 기능이 부족한 경우가 많다.

금융 기관은 일반적으로 데이터센터와 데이터센터 네트워크 외부의 위치 간에 이동하는 클라이언트-서버 간 트래픽, 즉 노스-사우스(north-south) 트래픽을 보호하는 데 중점을 둔다. 그러나 API는 이와 달리 핵심 비즈니스 기능을 외부에 노출시켜 기존의 노스-사우스 보안 설정을 우회한다. 따라서 이러한 새로운 포털을 보호하려면 추가적인 조치가 필요하다. 겉보기에는 완벽한 API도 새로운 계정 자격 증명을 사용해 사기 계정을 만들거나 무료 크레딧 토큰에 무단으로 액세스하는 등의 방식으로 악용될 수 있기 때문이다.

아카마이는 금융 업계를 보호하기 위해 글로벌 및 각국 규제당국과 긴밀히 협력하며 API 보안뿐만 아니라 클라우드 보안 및 DNS의 중요성을 강조하고 있다. 이러한 노력의 일환으로 아카마이코리아는 지난해 클라우드 보안 및 DNS 솔루션에 대한 금융보안원의 CSP (Cloud Service Providers) 안전성 평가를 성공적으로 완료한 바 있다.

금융 기관을 위한 API 보안 전략과 피해야 할 함정

금융 기관이 API 보안의 복잡한 문제를 해결하기 위해서는 구체적인 대책을 마련하는 것이 중요하다. 여기서는 성숙한 API 보안 전략을 개발하기 위해 고려해야 할 점과 피해야 할 함정을 제시한다.

API 가시성 확보하기

완전한 API 가시성 확보는 섀도우 API나 좀비 API와 같은 위협으로부터 기관을 보호하는 데 도움이 된다. 이런 위협은 데이터 스크래핑을 위해 저속 공격 기술을 사용하는 회피형 API 데이터 유출과 관련이 있다.

클라우드에 대한 두려움 떨쳐내기

클라우드 기반 API 보안은 실질적인 행동 분석에 필수적인 확장성을 제공할 뿐만 아니라 긴 배포 주기를 피하고자 하는 기업에 더 빠른 가치 실현 시간을 제공한다. 또한 클라우드 기반 API 보안 플랫폼은 데이터가 외부로 유출되기 전에 API 데이터 암호화 및 토큰화 서비스를 제공하여 데이터 기밀성 및 컴플라이언스를 보장한다. 제품 배포가 길어지면 보안팀의 리소스에 부담을 주어 업무 진행에 지장을 줄 수 있다. API의 도입이 확산함에 따라 앞으로는 클라우드 기반 플랫폼으로 전환이 API 보안 전략에 필수적인 요소가 될 것이다. 클라우드 기반 API 보안 플랫폼은 온프레미스로도 배포할 수 있으며, 국내 여러 금융 기관이 해당 플랫폼을 사용하고 있다.

비즈니스 맥락을 전략의 중심에 두기

각 기관은 파트너사의 API 자격 증명이 도용된 것을 탐지하고, 데이터 스크래핑 활동을 파악하고, 계정 데이터 도용을 위한 인보이스 API(Invoicing API) 남용을 식별할 수 있어야 한다. 공격자의 악의적인 사이버 공격은 탐지를 우회하는 경향이 있고, 겉으로는 합법적으로 보일 수 있기 때문에 강력한 탐지 체계를 구축하려면 예상되는 행동에서 벗어나는 패턴을 발견하는 것이 핵심이다. 따라서 비즈니스 맥락을 이해하는 것은 합법적인 API 접근을 악용한 승인되지 않은 행동을 인지하는 데 중요한 요소다.

데이터를 일방향 소통으로 취급하지 않기

기관이 흔히 저지르는 실수 중 하나는 알림을 일방향 커뮤니케이션으로 보는 것이다. API 사용에 대한 행동 분석은 몇 주에 걸쳐 이루어져야만 느린 공격을 정확하게 감지하고, 알림에 맥락을 추가할 수 있다. 이를 통해 데브옵스팀에 식별된 취약점을 알리거나 WAF(Web Application Firewall)에서 차단 조치를 자동화하여 위협이 API에 도달하지 못하도록 하는 등 맥락 기반 대응이 가능하다.

부서 간 협업 중요시하기

API 보안을 극대화하려면 설계, 개발 및 배포 전반에 걸쳐 취약점을 사전에 방지해야 하므로 여러 부서 간 협업이 필요하다. 프로세스 초기에 보안 중심 문화를 조성하기 위해 API팀에 실제 API 사용에 대한 가시성을 제공하는 것부터 시작하는 것을 추천한다. 또한 핵심 보안 기능과 함께 비보안(non-security) 혜택이 부서의 효율성을 향상시킬 수 있도록 해야 한다.

서드파티 API 간과하지 않기

API 보안 전략에서 기관이 흔히 저지르는 실수 중 하나는 자체 API만 보호해야 한다고 생각하는 것이다. 중앙 집중식 API 게이트웨이는 포괄적으로 보일 수 있지만, 섀도우 API나 서드파티 API의 취약점을 고려하지 못할 수 있다. API 게이트웨이는 보안을 목적으로 설계되지 않았다는 점을 간과하면 안 된다. 강력한 보호를 위해서는 API 보안 전략을 API 게이트웨이와 같은 주요 기술과 통합하고 네트워크 장치, 클라우드 플랫폼 및 마이크로서비스 오케스트레이션 도구 등 다양한 소스에서 정보를 수집해야 한다.

알림 대응을 넘어 선제적으로 위협 탐지하기

알림에 즉각적으로 대응하는 것도 중요하지만, 사전 위협 탐지를 통해 알림 자체를 방지하는 것도 좋은 전략이다. 효과적인 API 보안을 제공하는 파트너는 데이터 레이크에 과거 데이터를 저장하여 심층 조사를 위한 액세스 권한을 제공한다. 팀이 API 트래픽 전반에 숨겨진 위협이나 이상한 점을 미리 찾을 수 있도록 강력한 쿼리 기능을 제공하는 것도 이상적이다.

지속적인 라이프사이클로 접근하기

API 테스트를 API 라이프사이클에 통합하면 잘못 구성되거나 취약한 API가 프로덕션에 도달하는 것을 방지하여 골치 아픈 문제를 줄이고 시간과 비용을 절약할 수 있다. 데브옵스팀과 보안팀은 섀도우 API, 좀비 API 등과 같은 문제를 해결하기 위해 지속적으로 API를 발견하고 모니터링하여 API 인벤토리를 관리해야 한다. API는 배포 후 취약점을 찾아서 수정하는 것이 아니라 개발 단계에서 제대로 설계되어야 한다는 점을 명심해야 한다.

API 경제가 빠르게 확장함에 따라 오늘날 금융 기관은 사이버 위협에 효과적으로 대응하기 위해 API 보안 전략을 강화해야 하는 시점에 있다. 이를 위해 완전한 가시성 확보, 클라우드 기반 보안 활용, 비즈니스 맥락 중심의 보안 전략 수립, 부서 간 협업 강화 등의 접근 방식이 필수적이다.

아카마이는 API 보안 강화를 위한 혁신적인 기술과 전략적 협업을 통해 금융 업계의 사이버 보안을 지속적으로 지원할 것이다.

*한준형 상무는 아카마이코리아의 시니어 솔루션 엔지니어링 매니저다.
dl-itworldkorea@foundryco.com

No Author editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지