실시간 뉴스



'차세대 해킹 공격 통로될라' API 보안 절실


API 통한 다양한 앱 서비스 봇물, API 보안 위협도 증가

[김관용기자] "향후 API(Application Program Interface) 보안 위협이 화두가 될 것이다"

지난 2011년 서비스를 시작한 '스냅챗(Snapchat)'은 수신인이 메시지를 확인하고 나면 10초 후 내용이 사라지기 때문에 일명 '단명 메시지'로 불리우는 모바일 메신저 서비스다.

이 스냅챗은 사생활 노출을 꺼리는 미국 젋은층 사이에서 폭발적인 인기를 누리고 있다. 하루 이용자가 2억명에 달하며 3억 5천만장의 사진이 공유되고 있다. 지난 해에는 페이스북의 30억 달러(약 3조3천억원) 인수 제안을 거절하면서 전 세계의 이목을 집중시키기도 했다.

하지만 스냅챗은 최근 '스냅챗디비(SnapchatDB)'라는 해커로부터 해킹을 당했다. API 취약점을 활용한 해킹 공격으로 스냅챗 전체 사용자 900만명 중 460만 사용자의 아이디(ID)와 휴대전화 번호가 유출된 사고였다.

API는 이용자가 웹을 통해 정보를 제공받는데 그치지 않고 응용프로그램(애플리케이션)과 서비스 등 다양한 콘텐츠를 직접 개발할 수 있도록 하는 정보 공개 방식이다.

공간정보 앱이나 여행 관련 앱, 버스정보 앱, 날씨 관련 앱 등의 서비스가 가능한 것은 API 때문에 가능해졌다. 해당 정보를 갖고 있는 기관 및 기업이 제공하는 API를 이용해 앱 구동을 위한 정보를 제공받을 수 있게 됐다.

현 정부의 공공 정보 개방 정책에 따라 공공기관들은 민간에서 누구나 앱 개발 등에 공공 정보를 이용할 수 있도록 API를 제공하고 있다. 공공정보를 제공하는 '공공데이터 포털'은 현재 629개의 API를 공개하고 있다.

대표적인 모바일 서비스 플랫폼인 '카카오톡'이나 '라인'에 올라가는 게임 등 각종 콘텐츠와 쇼핑몰 서비스들은 API를 통해 제공되는 것들이다. 페이스북, 링크드인, 빅데이터 서비스, 사물인터넷 등의 근간에는 API 기술이 존재한다.

이처럼 API는 내부 자산을 외부에 공개해 새로운 서비스를 개발하고 사업 기회를 찾을 수 있도록 하는 핵심 방법론으로 각광받고 있지만 스냅챗의 해킹 사례처럼 보안의 위험성을 갖고 있다.

특히 디도스(DDOS)처럼 방대한 양의 트래픽을 집중시켜 웹서비스를 중단시키는 공격은 API를 통해 서비스되는 애플리케이션 환경에서도 똑같이 발생할 수 있다. 웹서비스 중심의 비즈니스 환경에서와 마찬가지로 API에 대한 관리와 보안성 제고 노력이 필요한 것이다.

한국CA테크놀로지스 조상원 부장은 "비즈니스 환경이 웹 중심에서 애플리케이션 중심으로 변화하고 있어 API 관리가 매우 중요한 이슈로 부상했다"면서 "외부 서비스와 사내 시스템을 연동시키거나 협력사와 협업을 위해 내부와 외부를 연결하는 사례들이 많아지면서 API는 보안의 핵심 이슈가 될 것"이라고 강조했다.

통신서비스 기업이나 모바일 플랫폼 기업들이 공개하는 API는 공공기관의 '오픈API'와는 다르게 제휴를 맺은 협력사나 개발자들에게 제한적으로 공개된다. 하지만 스냅챗 사례는 오픈API를 사용하지 않았는데도 해킹을 당했다. 최근 카드사 정보유출 또한 협력사 직원 관리 부실때문에 발생했다는 점에서 제한적인 API 공개에도 보안을 고려해야 한다.

조상원 부장은 "아직 국내 기업들의 경우 API 보안을 심각하게 생각하지 않고 있다"면서 "내부 서비스가 외부로 노출됐을 때 보안을 보장하면서도 권한있는 사용자가 편리하게 사용하도록 하는 API 관리 솔루션 도입이 시급하다"고 강조했다.

김관용기자 kky1441@inews24.com






alert

댓글 쓰기 제목 '차세대 해킹 공격 통로될라' API 보안 절실

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스