API 보안전략

 

 

<API 보안전략> 콜린 도모니, 류광, 정보문화사


이 책은 현재 소프트웨어 개발의 핵심 역할을 하고 있는 API에 대해 보안 측면에서 공격과 방어에 대한 다양한 내용을 다루고 있다.

API는 원래 응용 프로그래밍 인터페이스(Application Programming Interface)의 약자로 어플리케이션에서 외부와 연동하는 기능적인 인터페이스였다.

그러던 것이 어플리케이션이 웹 기반으로 개발 되고 클라우드에서 마이크로서비스 아키텍처로 운영되는 경우가 늘어나면서 현재 API 기술은 백엔드 기술의 총아처럼 여겨지고 있다.

과거 윈도우 어플리케이션에서 다루던 API보다 더 체계적이고 인증부터 복잡한 서비스 아키텍처에 대한 이해가 필요한 것이 현재의 API 체계이다.

그만큼 보안에 대한 위협요소도 넓어지고 있고 기존의 보안도구에서 다루지 않던 부분들을 다루는 영역이 발생하게 되어 새로운 보안전략을 필요로 하게 되었다.

책에서는 크게 API 보안 기초로 API 보안이 가지는 특성이 무엇이고 어떤 프로토콜과 아키텍처에 기반해 운용되는 것인지 설명하고 있으며 흔히 발견되는 API 취약점들이 무엇인지 그리고 그 사례가 무엇이 있는 지 먼저 설명한다.

그리고 두 번째로 API 공격을 위한 기본 실습환경과 공격에 필요한 도구와 실제 취약점을 발견하기 위한 인증공격, 권한 부여 공격,데이터 공격, 주입 공격 및 다양한 공격에 대한 실습 방법을 알려주고 있다. 이 책에서 알려준 취약점에 대한 사례는 꽤나 놀랍고도 위험이 느껴졌고 최근 뉴스에 RF기술을 사용한 호텔 도어락에 대한 보안 취약점이 알려진 것과 비슷한 경우가 보여 심각성이 더 크게 다가왔다.

마지막으로 세 번째 파트에서는 API 방어 측면에서 중 취약점을 방어하기 위해 실제 개발에서 유의해야할 점이 무엇인지 살펴보고 실행시점에서 바라봐야할 API 게이트웨이 관리 기법이나 마이크로서비스 환경에서 필요한 아키텍처 차원의 보안전략까지 꼼꼼하게 다루고 있어 현업에서 많은 참고가 될 것이라고 생각된다.

실제로 마이크로서비스 환경으로 API 서비스를 사용하는 입장에서 많이 간과하고 넘어가던 부분들을 알 수 있었고 취약점 관리 목록에서 CVE, CWE, OWASP 10은 알고 있었지만 API 부분만 따로 매년 10대 취약점을 발표한다는 사실은 이번에 새롭게 알게 되었다.

그만큼 보안에서 중요한 지점이 되었고 세밀하게 보안을 다룰 필요성이 생겼다는 의미라고 여겨진다.

이 책에서 다룬 방어 전략 이라도 잘 시행할 수 있게 좀 더 세밀하게 읽고 숙지해 두어야겠다.