점점 다가오는 API 보안 규제의 압박, 쉽게 혹은 어렵게?
- API는 현대 기술, 그걸 보호하는 보안은 구식 기술
- API 보호 위한 현대 기술 도입 필요
- 보다 적극적인 보안 인식 제고와 태도도 중요
소프트웨어 시대가 되면서 API의 활용도가 높아졌다. 그에 따라 API를 통한 보안 사고도 잦아지고 있다. 보안 업체 라이디엄(Raidiam)은 최근 ‘API 보안의 전환점(API Security at a Turning Point)’이라는 보고서를 발표하며, “각 조직의 CISO들이 API에 좀 더 주의를 기울여야 할 때”라고 주장했다.
“대다수의 기업들이 정적 API 키나 그에 준하는 중요한 비밀들을 제대로 보호하지 않고 있습니다. 아주 기본적인 수준에 불과한 보안 장치에만 의존한 채 그런 정보들을 관리하고 있지요. 아직 커다란 사건만 없을 뿐, 현재 기업들 대부분은 데이터 침해 및 무단 접근의 위험에 상당히 실질적으로 노출돼 있습니다.” 라이디엄의 경고다.
라이디엄은 보고서를 통해 “80% 이상의 기업들이 긴급한 대응을 필요로 하는 지점에 이르렀다”고 밝혔다. ‘그냥 저냥 위험할 수 있다’는 수준을 훨씬 넘어서는 기업들이 대다수라는 뜻. “이들 기업들은 민감한 데이터를 API를 통해 처리하고 있으면서도 보안 장치는 제대로 마련하고 있지 않았습니다. API를 사용하지 않던가, 보호 장치를 보다 확실하게 마련하던가, 둘 중 하나를 해야 합니다.”
보안 장치가 제대로 마련되어 있지 않다는 건 무슨 의미일까? “정적 API 키 사용, 유효 토큰의 장기 사용, 비밀 공유 등이 만연해 있습니다. 클라이언트 인증서 인증이나 송신자 제약 토큰, 상호 TLS 등의 현대 보안 스택을 사용하고 있는 경우는 거의 없었습니다. 이번 조사에서는 딱 한 회사만 그런 현대적 보안 장치들을 갖추고 있었습니다.”
라이디엄은 “오래된 기술로 새로운 기술을 보호하려다 보니 생기는 격차가 지나치게 크다는 게 API 보안 문제의 핵심”이라고 짚는다. “API는 비교적 새로운 기술입니다. 정보와 기능을 편리하게 교류시켜주는, 신기술이죠. 그런데 그 신기술을 오래된 보안 기술로 보호하고 있는 게 현실입니다.” API를 통해 거래되는 각종 데이터가 위험할 수밖에 없다는 것.
“그 격차를 좁히지 않는다면, 기업은 어느 순간 데이터에 대한 무단 접근과 보안 사고를 허용하게 될 겁니다. 그것 자체로도 손해이지만, 그 사고를 통해 기업의 신뢰도가 낮아지고, 각종 규제에 의거한 처벌을 받을 수도 있게 됩니다. 지금은 데이터 유출 사고로 인해 기업의 손해가 눈덩이처럼 불어나는 시대라는 걸 감안해야 할 겁니다.”
라이디엄은 “보안 기술의 현대화가 반드시 필요하다”고 강조한다. “클라이언트 인증서, 송신자 제약 토큰, mTLS와 같은 강력한 보안 기술들을 도입할 필요가 있습니다. 또 API 보안은 기술 문제이기도 하지만 경영과 운영의 문제이기도 하다는 걸 기억해야 합니다. 즉 경영진에서 이 문제를 보다 깊이 있게 들여다봐야 합니다. 능동적 취약점 해결, 신기술의 안전한 구축, 데이터 활용에서의 조심스러운 태도 등 전반적인 ‘보안 개념’이 잡혀 있어야 API 보안을 빠르게 강화할 수 있습니다.”
하지만...
하지만 ‘자력 갱생’이나 ‘자율 보안’과 같은 개념은 보안 업계에 있어서 오랜 시간 ‘허상’이나 다름 없음이 꾸준히 입증되어 왔다. 이번 라이디엄 보고서가 다소 힘이 빠지는 건 결론에서 “경영진의 보안 관심 및 인지 제고”를 해답으로 제시했기 때문이다. 즉 기업들이 자율적으로 보안 문화를 정착시키고 보안 기술을 도입해 보안 마인드로 일해야 한다는 건데, 이는 여러 번 시도해 실패했던 방법이다.
많은 경우 일은 다음과 같은 방식으로 진행되어 왔다.
1) 보안 문제가 반복적으로 불거진다
2) 보안 업계에서 경고와 자정의 목소리를 거듭 낸다
3) 아무도 듣지 않고, 아무런 개선이 없다
4) 보안 문제가 불거지다가 큰 사고가 난다
5) 정책 입안자들이 나서서 새로운 규정을 만든다
6) 그 규정은 사용자와 보안 전문가 모두에게 더한 압박을 가한다
대부분의 보안 전문가들은 API 보안도 이런 식으로 ‘규제화’ 될 것을 예상하고 있다. 그렇다면 API를 활용하는 게 지금보다 덜 자유롭고, 더 까다로워질 수 있다는 의미가 된다. API가 주는 혜택과 편리를 보다 마음껏 누리려면, 자율적인 ‘보안 마인드 탑재’가 선행되어야 한다.
보안 업체 위즈(Wiz)는 “API는 현대 소프트웨어 개발에 있어 가장 중요한 요소라고 해도 무방하다”고 설명하며 “그렇기 때문에 강력한 보안 규제가 뒤따를 가능성이 높다”고 자사 웹사이트를 통해 강조한 바 있다. 그러면서도 “API의 특성상 단일 보안 소프트웨어 하나로 보호하기는 힘들고, 총체적인 보안 문화와 인식 제고가 뒷받침 되는 게 중요하다”고 강조해 라이디엄과 같은 결론을 내리고 있다.
결국 앞서거니 뒤서거니 해도 법과 문화 모두가 정착해야 API를 제대로 보호할 수 있다는 게 보안 업계의 일반론이라고 할 수 있다. 다만 문화가 정착하기 전에 규제부터 만들어지면 사용하는 입장에서 적응하기가 조금 더 힘들 수 있다. 문화가 정착하고 난 후, 그걸 정리해주는 차원에서 만들어지는 규제가 좀 더 많은 이들에게 수월하게 느껴질 것이다. 어렵게 가느냐 쉽게 가느냐의 문제다.
