해외 온라인 매체 블리핑컴퓨터가 사이버 보안 기업 솔트 시큐리티(Salt Security)의 신규 보고서를 인용, 지난 1년간 API 공격이 급격히 증가한 사실을 보도했다.

솔트 시큐리티는 여러 업계의 사이버 보안 담당 직원 250명을 대상으로 진행한 설문 조사를 바탕으로 지난해 API 공격 트래픽이 681% 증가했다고 발표하며, 사이버 보안 연구원과 기업의 API 솔루션 마련이 시급하다고 경고했다.

API 공격은 API 규격을 악용한 데이터 탈취와 디도스(DDoS), SQL 주입, 중간자 공격, 악성프로그램 유포, 사용자 인증 허용 등의 형태로 발생한다.

솔트 시큐리티는 사전 프로덕션 API 보안에 지나치게 의존하고 개발 단계에서 보안 문제를 파악하는 데 초점을 맞춘 것을 문제의 원인으로 지적했다. 실제로 대다수 API 공격은 애플리케이션이 실행 단계로 진입할 때만 명백해지는 논리 결함을 이용한다.

그러나 솔트 시큐리티가 조사한 기업 4곳 중 1곳은 최종 단계에서만 전문 보안 인력을 고용하는 것으로 확인됐다. 또, 기업 34%는 API 보안 전략이 부족해, API 솔루션 공급사에만 의존할 뿐 별도의 보안 조치를 취하지 않는 것으로 드러났다.

이외에도 62%는 지난해 API 문제 때문에 애플리케이션 구축을 지연한 적이 있다고 밝혔다. 응답자 83%는 기업의 보안 관련 인벤토리와 문서화가 기존의 모든 API 기능을 반영한다는 점을 확신하지 못한다고 인정했다.

API 기능이 오래되어 앱에서 더는 활성화되지 않는 것을 인지하고도 방치하여 보안 위험성을 지닌 기업도 무려 43%로 집계됐다.

한편, 솔트 시큐리티는 API 공격 예방을 위해 API 전체 주기에 따른 보안 전략을 확보하고, 최신 API 디자인과 기존 제어 및 접근의 위험 수준을 꾸준히 파악할 것을 조언했다. 또한, 클라우드 데이터를 활용한 악성 공격 행위 감지와 사전 대응도 가능하다고 덧붙였다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]