안전한 마이데이터 서비스를 위한 API 보안

마이데이터 서비스를 이용한 시장은 안정적으로 자리를 잡아가며 성장 하고 있습니다.

안정적으로 가용성이 확보된 IT 서비스의 다음 과제는 기밀성과 무결성을 확보하는 것 입니다. 즉 서비스 수준을 유지하면서 보안을 강화해야 하는 단계이며 특히 마이데이터 서비스는 개인정보를 다루기 때문에 보안에 대한 중요성이 다른 IT 서비스들보다 강조됩니다.

보안 강화를 위해서는 제도적 보안과 기술적 보안이 필요합니다.

제도적 보안은 법적으로 서비스 제공자나 사용자의 부정적인 행위를 제한하거나, 보안을 위한 특정 기술 또는 정책 적용을 의무화하는 보안 개념입니다.
마이데이터 서비스를 본다면 '금융분야 마이데이터 기술 가이드라인'에 명시된 보안 조치들을 들 수 있습니다. 기술적 보안은 보안 사고 예방을 위해 정보보호 장비 도입 등 선제적인 보안 체계를 갖추는 개념입니다.

그렇다면 마이데이터 서비스의 보안 강화를 위한 기술적 보안조치는 어떤 것이 있을까요?

마이데이터 서비스의 기술적 특징을 생각한다면 가장 강조되는 부분은 역시 API에 대한 보안일 것 입니다. 실제로 마이데이터 사업자들은 '금융분야 마이데이터 기술 가이드라인'에 명시된 양방향 TLS 등 API와 관련된 보안조치를 시행 중에 있으며 그 밖에도 API 보안을 위한 보안 장비에 관심을 보이고 있습니다.

물론 아직은 과도한 보안 조치로 인한 서비스 품질 저하 등의 이슈를 우선적으로 고려 하여야 하는 시기이기 때문에 선뜻 보안 장비를 도입하긴 어려울 수 있습니다. 그러나 글로벌 시장의 API 보안에 대한 분위기와 API와 관련된 CVE 취약점 등이 증가하는 것을 고려하면 멀지 않은 시 일에 API 보안과 관련해 더 많은 기술들이 제도적으로 요구될 것 입니다.

API 사용이 일반화 되는 미래 웹 환경

NTF, 블록체인, 가상화폐 최근 이슈가 되는 이 기술들이 공통적으로 갖는 기술적 특징은 탈중앙화 입니다.

탈중앙화는 간단히 말하면 데이터를 중앙 서버에 저장하여 관리하는 것이 아닌 각 데이터에 대한 권리를 가지고 있는 기관 및 기업의 서버, 또는 각 클라이언트들이 데이터를 소유하는 개념입니다. 즉 특정 기관과 기업에서의 데이터 독점이 아닌 각각의 데이터에 대한 소유권을 인정해 주는 것 입니다.

웹 공간은 탈중앙화 기술을 바탕으로 실현되고 있으며, 이런 웹 환경을 두고 우리는 웹 3.0이라는 표현으로 새로운 웹 환경을 준비하고 있습니다. 물론 웹 3.0에 대해 정의하거나 어떤 모습과 기능으로 우리에게 다가올 것이라 말할 수는 없지만 웹 2.0이 그랬던 것 처럼 서서히 우리 곁에 녹아들 것입니다.

그렇다면 탈중앙화가 API와 어떤 관련이 있을까요?

탈중앙화 이전의 환경에서는 필요한 데이터가 있으면 포털사이트에 검색해 해당 포털에 연결된 서버에서 데이터를 가져오는 방법이었습니다. 하지만 탈중앙화 환경에서는 전용 검색엔진을 통해 검색을 하면 분산된 각각의 서버 및 클라이언트들에게 데이터를 요청하고, 요청에 대한 응답으로 해당 데이터를 제공받게 됩니다. 그리고 이 과정에서 데이터에 대한 요청과 제공이 모두 API로 이뤄지게 되며 각각의 클라이언트들까지 API를 통한 데이터 공유가 기본인 환경이 되는 것 입니다. 이미 전세계적으로 본다면 이런 환경은 빠르게 조성 중에 있으며, 이런 환경에서의 위협들도 확인되어 대응책이 마련되고 있는 단계 입니다. 특히 2019 OWASP API Top 10 취약점 중 상위에 랭크 된 취약점들은 API의 사용이 일반화 된 탈중앙화 웹 환경을 고려하여 작성된 것입니다.

WAAP(Web Application and API Protection)의 등장

최근 API 보안과 관련하여 다양한 제품들이 등장하고 있으며, 많은 기업들이 이런 API보안 제품에 관심을 보이고 있습니다. 다만 한 가지 의아한 것은 국내 시장에서 인기를 끄는 제품들은 대부분 글로벌 IT 시장 기준으로 API 관리 시스템으로 구분되는 제품들입니다.

API 관리 시스템은 시스템의 내부에서 발생하는 이상에 대해 모니터링하고 탐지하여 줄 수는 있지만 외부에서 들어오는 트래픽들에 대해서는 보안기능을 제공 할 수 없습니다. 그렇기 때문에 OWASP에서 정의하는 취약점들 처럼 클라이언트나 외부에서 시도하는 위협들에 대해서는 대응이 불가능합니다.

그렇다면 외부로부터 시작되는 API에 대한위협은 어떤 장비로 대응이 가능 할까요?

이 질문에 대해 가트너는 2019년 API보안 솔루션을 정의하였습니다.
가트너가 정의한 API보안 솔루션은 웹 애플리케이션 보호, DDoS방어, 봇 관리, API 보호와 같이 4가지 핵심 기능을 갖춘 WAAP(Web Application and API Protection)입니다. 이름에서도 보여주듯 웹방화벽에 API보안 기능이 추가된 개념의 제품입니다.

왜 API 보안 기능을 웹방화벽에 추가하였는지는 API의 기술적 특징을 보면 간단히 알 수 있습니다.

우선 API는 기본적으로 동작 환경이 웹이라는 카테고리 안에 존재합니다. 특히 대부분의 API는 HTTP 프로토콜을 기반으로 동작하며, 데이터 전송 형태도 웹 애플리케이션에서 사용하는 JSON이 나 XML을 사용합니다. 한마디로 API 보안의 기본은 API까지 고려한 웹 애플리케이션 보안을 수행 하는 것 입니다. 이런 기술적인 특징들만 보더라도 API 보안은 웹방화벽에서 구현하는 것이 적절합니다. 그리고 이미 대부분의 글로벌 웹방화벽 기업들은 WAAP라는 이름의 장비들과 솔루션을 내놓으며 API 보안 을 위한 대표적인 장비로 WAAP 시장을 형성하였습니다.

한 가지 확실한 것은 이미 글로벌 시장에서는 API 보안을 위한 장비로 WAAP를 도입하고 있으며, 그 주요 기능으로는 앞서 가트너가 정의한 4가지 핵심 기술과 OWASP에서 정리한 API 10대 취약점에 대한 대응 기능이 핵심이라는 것 입니다. 안전한 마이데이터 서비스 구축과 앞으로 다가올 웹 3.0시대를 대비해 API 보안은 필수적인 요소 라고 생각됩니다. 그렇기 때문에 파이오링크는 API 보안에 대해 고민하는 많은 분들께 조금이라도 도움이 되고자 글로벌 트렌드를 분석하고, 다양한 루트를 통해 수집된 정보를 활용하여 보다 나은 API 보안 기술 개발을 위해 연구하고 있습니다.