서로 다른 프로그램 간의 메신저 역할을 하는 애플리케이션 프로그래밍 인터페이스인 API는 매일 수십억 명의 사람들이 자신도 모르는 사이에 사용하고 있다.
하지만 그 이면에는 웹, 클라우드, 엣지, 모바일 등의 프로그램, 앱, 시스템을 구동하는 글로벌 API 인프라가 인공지능 시대에 적응해야 하는 과제를 안고 있다.
AI 시스템은 AI 모델과 액세스해야 하는 데이터 또는 서비스 사이의 다리 역할을 하는 등 다양한 프로세스에서 API를 사용한다. 간단히 말해, AI API의 효율성은 AI 혁명의 기본이다.
그러나 사이버 범죄자들도 이 새로운 혁신 기술을 활용하여 AI 기반 사이버 공격을 감행하고 있다.
테코피디아는 API 전문가들과 함께 현대 시대에 API의 역할, API 개발자가 적응하는 방법, 그리고 리더인 개발자가 고려해야 할 새로운 도구와 모범 사례에 관한 이야기를 나눴다.
API와 AI: 점점 더 커지는 범죄의 표적
체크포인트 리서치(Checkpoint Research) 보고서 ‘2024년 그림자 위협: 웹 API 사이버 공격의 증가‘에 따르면 2024년 API 공격이 가속화되고 있으며, 2024년 첫 달 동안 매주 전 세계 조직 4.6개 중 1개가 API 공격의 영향을 받은 것으로 나타났다.
이 수치는 2023년 같은 달에 비해 20% 증가한 수치다. 체크포인트 리서치는 API가 “사이버 공격자의 중심“이 되었다고 결론지었다.
기업이 소프트웨어 개발 수명 주기 전반에 걸쳐 효율성을 간소화할 수 있도록 지원하는 블룸필터(Bloomfilter)의 설립자 겸 CEO인 에릭 세버링하우스(Erik Severinghaus)는 오늘날 API를 보호하지 않고 유지하는 것의 위험에 대해 경고했다.
“API가 디지털 혁신의 비결인 세상에서 API를 보호하지 않고 방치하는 것은 참견하는 형제자매들로 가득한 집에 일기장을 잠그는 것을 잊어버리는 것과 같다.”
“저는 제 인생의 상당 부분을 API와 AI에 얽매여 보냈다. 기술 업계에 대해 잘 알고 있다면 API가 모든 디지털 기기와 서비스가 함께 잘 작동하도록 하는 보이지 않는 영웅이라는 것을 알고 있을 것이다“라고 세버링하우스는 말했다.
“하지만 큰 힘에는 큰 책임이 따르며, 특히 보안과 관련해서는 더욱 그렇다.”
세버링하우스는 스마트폰 날씨 앱 구동부터 결제 처리까지 API는 어디에나 존재한다고 설명다.
“우리가 API에 더 많이 의존할수록 더 큰 공격 대상이 된다.”
수동으로 API를 보호하던 시대는 지났다
API 보안 플랫폼인 솔트 시큐리티(Salt Security)의 사이버 보안 전략 디렉터인 에릭 슈웨이크(Eric Schwake)는 새로운 기술 때문에 API의 세계가 어떻게 변화하고 있는지 설명했다.
“API 보안을 위한 수동 접근 방식은 거의 불가능 해졌기 때문에 보안팀은 AI와 머신러닝(ML)을 통해 위험을 더 빠르게 판단하고 API 사용 증가와 관련된 공격 표면을 낮출 수 있다.”
그는 API 보안을 고려할 때 AI-ML 기반 보안 도구가 중요한 이유에 대해 “단순히 조직에서 API가 차지하는 중요성의 범위 때문“이라고 설명했다.
또한, 그는 새로운 디지털 시대에서 API의 중요성에 대해서도 강조했다.
“API는 오늘날 현대 디지털 트랜스포메이션의 생명선이다.
“API는 프라이빗 및 퍼블릭 애플리케이션 간의 모든 트랜잭션을 담당한다. 따라서 API의 보안뿐만 아니라 API 태세 거버넌스 구현도 고려하는 것이 중요하다“라고 슈웨이크는 언급다.
API 및 앱 과잉으로 인한 디지털 공격 표면 확대 및 위험 발생
아카마이(Akamai)의 그림자 속에 숨어있는 공격: 공격 트렌드를 통해 본 API 위협의 실체 인터넷 보고에서 따르면2023년 12월까지 12개월 동안 웹 공격의 29%가 API를 표적으로 삼는다는 놀라운 통계도 공개되었다.
아카아미의 애플리케이션 보안 담당 수석 부사장 겸 총괄 매니저인 루페시 초크시(Rupesh Chokshi)는 테코피디아와의 인터뷰에서 보고서의 연구 결과와 현대에서 API의 중요성에 대해 설명했다.
“이는 API가 사이버 범죄자들이 집중하는 영역이라는 것을 나타낸다. API 환경을 방어하기 위해 사전 예방적 모드로 전환해야 한다는 것은 분명하다.”
“우리는 기업들이 수요를 지원하는 데 필요한 인프라를 따라잡기 위해 1,000개 이상의 앱을 보유하고 있는 경우가 많다는 사실을 발견했다. 기업이 파트너, 공급업체, 고객과 연결하기 위해 API를 점점 더 많이 사용함에 따라 API 자산이 확장되면서 위험에 노출되고 있다.”
API AI 보안의 혁신
더 포스트맨(The Postman)의 2023 API 현황 보고서(영문 보고서)에 따르면 기업들이 API에 막대한 투자를 하고 있는 것으로 나타났다.
응답자의 92%는 향후 12개월 동안 API에 대한 기업의 시간과 리소스 투자가 증가하거나 동일하게 유지될 것이라고 답했다.
CEO는 개발자보다 더 낙관적인 것으로 나타났는데, 53%는 내년에 API 투자가 증가할 것이라고 답하였지만, 개발자는 44%가 같은 답변을 했다.
그러나 API가 계속 확장되는 가운데 앱과 소프트웨어 출시가 증가함에 따라 제로데이 익스플로잇이 증가하면서 이 분야는 도전에 직면해 있다. 또한, 품질 검사가 제대로 이루어지지 않은 채 출시되는 API인 ‘섀도우 API’와 사용 중단되었지만 비활성화되지 않은 ‘좀비 API’는 AI 봇, AI 인젝션, 인증 공격과 같은 새로운 공격과 함께 업계에 영향을 미치고 있다.
당연히 AI 공격에 대응하기 위해 API 개발자들은 새로운 방식으로 AI와 머신러닝을 통합하기 시작했다.
솔트 시큐리티(Salt Security)의 슈웨이크(Schwake)는 테코피디아에 새로 발표한 AI 기반 지식 기반 어시스턴트 페퍼(Pepper)의 내부 작동 방식을 소개했다. 페퍼를 통해 개발자의 역량을 강화하고 AI 어시스턴트 기능을 갖춘 API를 구축할 수 있도록 지원하는 AI를 제공한다.
개발자는 “새 포스처 규칙을 추가하려면 어떻게 해야 하나?”와 같은 질문을 페퍼에게 하면 페퍼가 거의 즉시 유익한 단계로 응답하여 지식 베이스(KB)을 검색하는 데 시간이 많이 소요되는 프로세스를 줄여준다. 페퍼는 API 보안 및 규정 준수에 대한 모든 것을 알고 있는 개인 비서로 사용할 수 있다.
슈웨이크는 “페퍼는 솔트 사용자에게 자연어 검색을 통해 플랫폼 사용 방법에 대한 실행 가능한 정보를 더 쉽게 찾을 수 있는 방법을 제공한다”라고 언급했다.
“원하는 정보를 찾기 위해 하나 이상의 전체 KB 기사를 샅샅이 뒤져야 했던 과거의 KB와는 다르다.”
AI는 속도, 자동화 가능성, 인적 오류 제거 능력, 대규모 데이터베이스 검색 능력, 민첩하고 정확하게 응답을 생성하는 능력으로 찬사를 받고 있다. 하지만 슈웨이크는 AI가 API의 생산 속도를 높여주지만, 공격 표면도 증가한다는 점을 이해하는 것이 중요하다고 경고한다.
“보안 리더와 개발자는 API 개발의 보안을 보장하기 위한 정책을 개발하고 앞서 언급했듯이 생태계 전반에 걸쳐 API 포스처 거버넌스 전략을 통합해야 한다.”
AI API 보안 모범 사례 및 기술
블룸필터의 세베링하우스는 API의 AI가 매우 중요하다고 말다.
“기존의 보안 도구는 사이버 범죄자들이 체스를 두는 동안 체커를 두는 것처럼 따라잡을 수 없다. AI를 도입함으로써 우리는 단순히 따라잡는 것이 아니라 몇 수 앞서는 것을 목표로 하고 있다.”
“API를 개발할 때는 보안을 마지막이 아니라 가장 먼저 생각해야 한다. 첫 단계부터 AI 보안 툴을 API의 구조에 통합하는 것은 모래가 아닌 단단한 바위 위에 집을 짓는 것과 같다.”
아카마이의 초크시(Chokshi)는 패턴 인식과 데이터 분석이 가장 일반적인 API 취약점을 방지하는 데 핵심이라고 말했다. 이 두 가지 영역은 AI의 강력한 지원을 받을 수 있다고 언급했다.
또한, “API를 보호할 때 시그니처만 살펴보는 것이 아니라 위협을 나타낼 수 있는 불규칙한 API 활동을 포착하기 위해 행동도 살펴보고 있다“라고 초크시는 언급했다.
더불어 초코시는 “또한, 데이터 레이크에서 데이터를 수집하여 장기간에 걸친 패턴을 분석하여 향후 악용될 수 있는 문제를 파악할 수 있도록 하고 있다“라고 언급했다.
초크시는 AI 보안 도구가 각 프로젝트의 시작 단계부터 개발자를 중요한 방식으로 지원하여 API가 프로덕션을 위해 목적에 맞게 구축되도록 할 수 있다고 설명다.
“API 테스트 자동화부터 표적 문제 해결 지원까지, AI 보안 툴을 사용하면 개발자, 앱 보안팀, 보안 운영팀은 수동으로 중간 단계를 거치지 않고도 혁신을 빠르게 추진할 수 있다.”
아카마이는 최근 Apiiro와 기술 제휴를 맺고 코드부터 런타임까지 보호 기능을 제공할 수 있게 됐다. 초크시는 이 기술을 다음과 같이 간단히 설명했다.
“아카마이의 API 보안 경고가 API에서 발생하면 Apiiro의 플랫폼이 자동으로 경고를 유발한 정확한 문제를 식별하고 담당 개발자에게 연락하여 팀이 문제와 담당자를 추적하는 시간을 절약할 수 있다.”
리더를 위한 실전 윤리적 해킹 조언
사이버 보안 및 AI 박사 학위를 취득하고 현재 트레이서블AI(Traceable AI)의 기술 마케팅 매니저로 재직 중인 API 윤리적 해커인 케이티 팩스턴-피이어 박사(Dr. Katie Paxton-Fear)도 테코피디아와의 인터뷰에서 API 보안에 대해 이야기했다.
“안타깝게도 API는 백엔드에 있기 때문에 개발자가 직접 API를 만들고 온라인에서 API를 사용할 수 있는 경우 누구나 액세스할 수 있다는 사실을 잊어버리는 경우가 많다.”
팩스턴–피어 박사는 API 보안 도구를 활용하면 조직이 개발자의 기억에 덜 의존하고 영리한 도구와 기술을 사용하여 API의 보안이 부족한 부분을 찾아낼 수 있다고 말했다.
“영리한 도구와 기법에 의존하는 대신 AI를 사용하면 실제 데이터, 실제 공격, 실제 API 데이터를 살펴보고 여기서 얻은 교훈을 새로운 API에 적용할 수 있다. 마치 API 보안 전문가를 곁에 두고 API를 통과하는 모든 데이터를 살펴보는 것과 같다.”
팩스턴–피어 박사는 개발자를 포함한 모든 사람이 AI로 생산성을 높이는 방법을 찾고 있지만, 차세대 AI 기반 소프트웨어의 활성화와 보안 사이에 균형을 이루어야 한다고 말했다.
팩스턴–피어 박사는 취약점 스캔, 데이터, 자산 인벤토리와 같은 윤리적 해킹 및 모의 침투 테스트 도구의 기본과 조직의 디지털 아키텍처를 파악하는 것이 AI를 사용하는 것보다 더 중요하다고 주장했다. 또한, 팩스턴-피어 박사는 다음과 같이 설명했다.
“기본부터 시작하자. 공격 표면을 확실히 알고 있는지? 모든 API 배포에 대해 알고 있는지? 어떤 도구나 라이브러리가 API에 사용되고 있는지 알고 있는지? 이러한 근본적인 질문에 대한 답을 모른다면 AI와 새로운 기술을 서둘러 도입할 수 없으며, 이를 구축해야 한다.”
결론
AI의 빠른 속도와 영향력에도 불구하고 API 개발자는 기존의 API 보안, 지속적인 모니터링, AI 및 ML 규칙, 실시간 통계 및 대응, 모의 침투 테스트와 같은 보다 실질적인 방법을 사용하여 API를 보호할 수 있다.
세버링하우스 언급했듯이 “API 보안에 AI를 통합하는 것은 단순한 트렌드가 아니라 더 안전한 디지털 미래로 가는 길이다.”
“API는 오늘날 대부분 디지털 혁신의 핵심이므로 로열티 사기, 남용, 인증 및 카딩 공격과 같은 업계 트렌드와 관련 사용 사례를 이해하는 것이 가장 중요하다“라고 초크시는 결론을 내렸다.
“보이지 않는 것을 방어할 수는 없다. 비즈니스 리더와 개발자는 API를 지속적으로 검색 및 모니터링하고, API 활동의 전체 범위를 이해하며, 행동 분석을 활용하여 정교한 위협을 식별하고 완화하는 데 집중해야 한다.”
전 세계적으로 AI API 전환이 이루어지면서 보안과 규정 준수를 자동화하고 개발자를 지원하기 위한 새로운 API 보안 기술이 계속 개발될 것이다. 점점 더 많은 공격을 받고 있는 AI API 보안은 혁신과 변화를 통해 방어력을 높여야만 앞서 나갈 수 있다.