1. 공격자보다 한발 앞서라: 사이버 위협 헌팅의 새로운 패러다임

- Threat Hunting

> Red, Blue, Puple Team 구성이 필수적

> 각 보안 솔루션을 개별적이 아닌 상호 연관적으로 운용해야 함

2. AI 혁신의 기회와 위험 관리의 균형 사이, 사이버 보안의 미래는?

- AI를 사용해 공격자들이 더 설득력 있는 피싱 메시지를 작성할 수 있음

> 잘못된 절차, 어색한 문법 등이 줄어들어 직원들이 피싱 메일로 판단/식별하기 어려워짐

> XDR을 활용해 의심스러운 송신자, 헤더와 콘텐츠 등을 분석 및 탐지할 수 있도록하고, 직원 교육 강화

 

- AI를 사용해 오디오/비디오로 직원을 속일 수 있는 딥페이크를 만들 수 있음

> 오디오/비디오를 활용해 사기, 계정탈취, 데이터 유출 등이 이루어질 수 있음

> 임원들의 비정상 지시에 대해 직원이 검증할 수 있는 권한을 부여하거나, 딥페이크를 탐지하는 기술 등이 필요

 

- AI를 사용데이터 유출 위험이 발생할 수 있음

 

- AI 혁신과 AI 이니셔티브 보안의 적절한 균형이 필요

> AI를 활용한 오용 및 사기에 대해 미리 대비, 솔루션 활용, 위험 평가, 지속적 모니터링 등

AI 혁신 AI 이니셔티브 보안
- 지능형 데이터 분석 및 인사이트
- 자동화된 사기 탐지 및 예방
- 스마트 공공 서비스 등		 - 민감 데이터 보호
- 공공 신뢰 유지 및 규제 준수
- 사이버 공격 및 제로데이 취약점으로 부터 인프라 보호 등

3. 해커들의 새로운 타겟–귀사의 API는 안전하십니까?

- API 보안이 중요한 이유

> 웹 트래픽의 83%는 Digital Transformation을 주도하는데 중요한 API에 기인

> 기업의 72%는 API 인증/인가와 관련된 문제로 인해 새로운 앱 및 서비스 개선사항의 출시가 지연되는 것을 경험

> 기업의 44%는 내/외부 API에서 개인정보 보호 및 데이터 유출과 관련된 보안문제를 경험

> API와 웹 애플리케이션을 대상으로 한 악성 요청의 비율2022년 54%에서 2023년 70%로 16% 증가

4. 새로운 패러다임에 대응하는 시스템 보안

- 시스템 접근제어의 시작 : 시스템 접속 권한을 가진 내/외부 사용자에 의한 보안사고가 빈번하게 발생

> 등장 전 : 시스템별로 다양한 사용자가 접근해 접속 이력과 로그 분산, 실수로 인한 시스템 장애, 주요 데이터 유출 등의 가능성이 높았음

> 초기 Gateway 모델 : 모든 시스템에 접속하기 위한 단일 게이트웨이를 구축해 접근 경로를 단일화하고, 로그 통합 관리, 실수로 인한 장애 가능성 최소화, 데이터 보호 등 관리 효율성을 마련

 

- 패러다임 변화와 개인정보 및 기밀정보 유출 방지를 위해 시스템 접근제어에서 바뀌어야 할 핵심 요소

보안 아키텍처 변화 이슈
암묵적 신뢰 -> 비신뢰
(Zero Trust 보안 환경)		 클라우드 전환 시 주요 이슈
On-Premise -> Cloud
(TCO 비용 절감과 호환성)		 위협 대응 주요 이슈
Rule -> 행위 기반
(예측 기반 사전 대응 체계)
- ID 기반 접근 제어
- MFA
- 리소스별 보안 환경
- 최소 권한 및 세분화
- 지속적인 감시 및 검증		 - 도입, 전환, 운영 비용절감
- 클라우드 전환 용이성
- 클라우드 보안 책임 이슈		 - 실시간 분석 대응시간 단축
- 위협 예측 사전 대응

5. 사이버 위협 대응 관점에서 바라보는 개인정보 유출 사고 방지 방안

- 경계 중심 보안에서 복원을 위해 중요자산을 보호하는 대응중심으로 IT 환경 변화

- 이기종 보안 솔루션 운영

 

- XDR(eXtended Detection & Rseponse)

> 위협 이벤트를 자동으로 수집하고 상호 연결하는 탐지 & 대응 플랫폼

> 분리되어 있던 위험 인자를 단일 플랫폼으로 통합 및 연결

> 복수의 알림을 하나의 침해로 도출

> 자동화된 대응을 바탕으로 보안의 효율성과 생산성 개선

> EDR, 네트워크 탐지, 위협 인텔리전스로 구성

6. 트랜잭션 및 실시간 수집 데이터의 비식별처리 기술

- 트랜잭션 데이터 : 일종의 반정형 데이터로 하나의 데이터 셀 내에 여러 아이템들이 집합으로 구성되어 있는 비정형 데이터

- 실시간 수집 데이터 : 송신 모듈을 통해 즉시 전달되어 지속적으로 생성/수집되는 데이터

구분 설명
삭제기술 삭제
(Suppression)		 - 원본 데이터에서 식별자 컬럼을 단순 삭제하는 기법으로, 원본데이터에서 식별자 또는 민감정보를 삭제
- 남아있는 정보 그 자체로도 분석의 유효성을 가져야 함과 동시에 개인을 식별할 수 없어야 하며, 인터넷 등에 공개되어 있는 정보 등과 결합하였을 경우에도 개인을 식별할 수 없어야 함
마스킹
(Masking)		 - 특정 항목의 일부 또는 전부를 공백 또는 문자(*) 등이나 전각 기호로 대체 처리 하는 기법
암호화 양방향 암호화
(Two-way encryption)		 - 특정 정보에 대해 암호화와 암호화된 정보에 대한 복호화가 가능한 암호화 기법
- 암호화 및 복호화에 동일 비밀키로 암호화하는 대칭키 방식을 이용
- 알고리즘 : AES, ARIA, SEED 등
일방향 암호화-암호학적 해시함수
(One-way encryptionCryptographic hash function)		 - 원문에 대한 암호화의 적용만 가능하고, 암호문에 대한 복호화 적용이 불가능한 암호화 기법 (해시값으로부터 원래의 입력값을 찾기가 어려운 성질을 갖는 암호 화)
- 암호화 해시처리된 값에 대한 복호화가 불가능하고, 동일한 해시 값과 매핑되는 2개의 고유한 서로 다른 입력값을 찾는 것이 계산상 불가능하여 충돌가능성이 매우 적음
- 알고리즘 : SHA, HMAC 등
무작위화 기술 
및 차분 프라이버시		 순열(치환) 
(Permutation)		 - 분석시 가치가 적고 식별성이 높은 열 항목에 대해 대상 열 항목의 모든 값을 열 항목 내에서 무작위로 개인정보를 다른 행 항목의 정보와 무작위로 순서를 변경 하여 전체정보에 대한 변경없이 특정 정보가 해당 개인과 순서를 변경하여 식별 성을 낮추는 기법
차분 프라이버시
(Differential privacy)		 - 프라이버시를 정량적으로 모델화하여 프라이버시 보호 정도를 측정할 수 있는 기술 또는 방법론으로 데이터의 분포 특성을 유지하여 데이터의 유용성은 유지 하면서도 개인정보를 보호하기 위해 잡음을 추가하는 기법
- 프라이버시를 일부 희생하면서 원본 데이터와 마찬가지로 높은 정확성을 갖는 특성을 갖도록 데이터를 익명화시키는 것이 중요

7. 공격표면관리(ASM)와 위협인텔리전스(TI)

- 공격표면관리 (ASM, Attack Surface Management)

> 전 세계 모든 IP에 접속하여 기업의 자산을 탐지하는 사전 예방 목적

> 수집된 자산들이 어떤 취약점, 보안문제를 가지고 있는지 분류, 탐지

> Gartner : AMS은 조직이 인식하지 못할 수 있는 인터넷 연결 자산 및 시스템에서 오는 위험을 식별하는데 도움을 주는 새로운 솔루션이다. 최근 기업에 대한 성공적인 공격의 1/3 이상이 외부와 연결된 자산으로부터 시작되며 ASM은 CIO. CISO에게 필수의 과제가 될 것이다.

> FORRESTER : 조직은 ASM을 통해 평균적으로 30% 이상의 아려지지 않은 외부 자산을 발견한다. 일부는 알려진 자산의 몇 배나 더 많은 자산을 발견하기도 한다.

 

- 위협 인텔리전스 (TI, Threat Intelligence)

> 공격에 사용된 IP/URL 등에 대한 관련 정보(과거 공격 이력 또는 연관성 등)를 제공하는 대응 목적

8. 생성형 AI 보안 위협과 안전한 생성형AI 운용 방안

- Deepfake, 아동 성 학대 사진 생성/유포 등 생성형 AI를 사용한 새로운 위협이 등장

- OWASP Top 10 for LLM Appliocations 2025

> LLM01 2025:Prompt Injection : 사용자입력(프롬프트)을 악의적으로 조작하여 LLM의 행동이나 출력 결과를 의도와 다르게 변경하는 취약점

> LLM02 2025:Sensitive Information Disclosure : LLM이 민감한 개인 정보, 기밀 데이터 또는 독점 알고리즘 정보를 의도치 않게 노출하는 취약점

> LLM03 2025:Supply Chain : LLM 개발 및 운영에 사용되는 서드파티 구성 요소, 데이터셋 및 사전 학습 모델에서 발생하는 공급망 취약점

> LLM04 2025:Data and Model Poisoning : 학습 데이터나 모델 파라미터를 악의적으로 변조하여 취약점을 주입하는 공격

> LLM05 2025:Improper Output Handling : LLM의 출력이 충분히 검증, 정제, Sandboxing 되지 않을 경우 발생하는 문제

> LLM06 2025:Excessive Agency : LLM이 지나치게 자율적인 행동을 수행하도록 허용. 인간의 직접적인 통제 없이 예기치 않은 결과나 악의적 행동 발생

> LLM07 2025:System Prompt Leakage : LLM이 내부 지시사항이나 운영 설정 정보를 의도치 않게 외부에 공개하는 취약점

> LLM08 2025:Vector and Embedding Weaknesses : Retrieval-Augmented Generation(RAG) 시스템에서 사용되는 벡터 표현 및 임베딩 기법의 결함으로 인한 문제. 부정확한 검색 결과, 조작된 문맥, 또는 민감 데이터 노출 발생

> LLM09 2025:Misinformation : LLM이사실과다른,또는왜곡된정보를생성하여잘못된결정을유도하는취약점 환각(hallucination)및학습데이터의편향등이주요원인으로작용하며,법적,평판,안전문제를야기

> LLM10 2025:Unbounded Consumption : LLM이과도하고통제되지않은요청을처리함으로써시스템자원(메모리,CPU,비용등)이고갈되는취약점

 

- 가장 중요하게 뵈야할 문제 : LLM01 2025:Prompt Injection

> AI에 악의적인 프롬프트를 주입하여 공격자가 의도하는 동작으로 유도

> Direct Injection (생성형 AI에 공격자가 직접 프롬프트 주입) or Indirect Injection (공격자가 데이터에 프롬프트 주입하여 접근하는 AI감염)

> 멀웨어 생성 및 개선, 유해 컨텐츠 생성, 데이터 유출, 모욕, 시스템 프롬프트 유출 등이 발생할 수 있음

공격 유형 설명 예시
Content Manipulation Attacks
(콘텐츠 조작 공격)		 프롬프트의 텍스트를 조작하여 모델의 응답을 조종하거나 톤을 변경 단어 대체/삽입/삭제, 문법 및 철자 수정, 공격적인 문구 추가
Context Manipulation Attacks
(맥락 조작 공격)		 대화 또는 상황적 맥락을 조작하여 모델의 응답을 유도 대화 가로채기, 사용자 사칭, 모델의 가정된 맥락 변경
Code/Command Injection
(코드/명령어 삽입 공격)		 실행 가능한 코드 또는 명령어를 프롬프트에 삽입하여 모델 및 상호 작용하는 시스템을 손상 코드 스니펫 삽입, API 호출, 시스템/쉘 명령 실행
Data Exfiltration
(데이터 유출 공격)		 민감한 데이터(개인 정보, API 키, 패스워드 등)를 유출시키는 프롬프트 제작 모델이 훈련된 데이터를 유추하여 반환하도록 유도
Obfuscation
(난독화 공격)		 필터링 및 보안 장치를 우회하기 위해 복잡한 난독화 기법 활용 동형문자(Homoglyphs), 유니코드 트릭, 보이지 않는 문자 삽입
Logic Corruption
(논리 훼손 공격)		 논리적 모순이나 오류를 삽입하여 모델이 잘못된 출력을 생성유도 논리적 역설, 거짓 전제, 통계적 오류 삽입

 

- 대부분은 Prompt Injection은 Jailbreaking 기법을 사용

> AI의 제한(가드레일)이나 안전 필터를 우회 하거나 완화하기 위한 방법

> Context Ignoring, 참조 usal Suppression, Style Injection, Virtualization, Obfuscation 등의 패턴

9. 제로트러스트 가이드라인 2.0 주요 내용 및 향후 방향

- 제로트러스트 도입 과정을 보다 구체화하고 도입 수준을 분석할 수 있는 방안 제시

> 미국 CISA, NSA 등 문서 발간에 맞추어 성숙도 모델을 4단계 수준으로 정의 및 성숙도를 토대로 체크리스트 구현

> 도입 절차에 대한 방향성 구체화 및 조직 내 역할 및 목표 설정 방안 제시

> 보안 수준 평가 방법 제공

 

- 향후방향

> 각 산업 분야 및 기업 도메인 특성을 반영한 맞춤형 도입 전략 및 로드맵 제시 필요

> 우리나라에서도 글로벌 제로트러스트 도입 흐름을 적극 반영하여, ZT 아키텍처 도입 정책을 수립하고 관련 기술 개발 가속화 필요

> 제로트러스트 도입 후 발생하는 문제를 해결하기 위한 방안 마련과 지속적인 연구가 필요

> NIST 1800-35, 800-53, ISMS-P, 금융보안원 취약점 점검 리스트를 토대로 새로운 형태의 체크리스트 구현 중

'대외활동' 카테고리의 다른 글

PASCON 2024  (1) 2024.09.11
코리아 핀테크 위크 2024  (5) 2024.09.01
제13회 정보보호의 날 기념식  (0) 2024.07.11
RSAC2024 글로벌보안트렌드  (0) 2024.06.13
2024 상반기 침해사고 정보공유 세미나  (0) 2024.06.11

1. WAAP (Web Application and API Protection)

웹 애플리케이션과 API에 대한 보안을 통합적으로 관리 [1][2]

구분 설명
웹 애플리케이션 방화벽
(WAF, Web Application Firewall)		 - 웹 공격 대응, 정보 유출 방지, 부정 접근 방지, 웹 위변조 방지 등 웹 애플리케이션 계층에 대한 공격 탐지 및 차단 수행
API 보안 - 웹 애플리케이션 상의 API 통신을 보호하기 위해, 다양한 API 데이터형식의 구문 확인 및 유효성 검사를 하는 등 탐지 및 차단 수행
- API 트래픽 모니터링: API 트래픽을 모니터링하여 비정상적인 활동 탐지
- API 인증 및 권한 관리: API 사용자의 인증과 권한 관리 지원
- API 취약점 관리: API의 알려진 취약점 관리 및 패치 지원
Bot 완화 - Brute force attack, Fingerprinting, Credential stuffing, Scraping 등 웹 애플리케이션을 공격하는 악성 봇을 식별하고 애플리케이션에 액세스하지 못하도록 차단​
DDoS(분산 서비스 거부) 방어 - 애플리케이션 레이어 DoS 방어 기술을 통해 대부분 디도스 공격 방어

 

2. mTLS (Mutual TLS)

서버에 대한 인증(기존 TLS)에 더해 클라이언트에 대한 인증을 추가한 전송 계층 보안프로토콜 [3][4]
> 인증서에는 TLS/SSL 버전 정보, 발급 및 만료 날짜, Cipher Suits, 세션 ID 등이 포함
> 민감한 정보를 제공하는 API 환경에서 유용하며, 제로트러스트 보안 모델을 충족
> 중간자 공격, 스푸핑, 비밀번호 관련 공격, 악성 API 요청에 대응 가능

장점 - 서버와 클라이언트가 상호 인증을 수행하여 TLS 보다 안전
- 데이터 암호화 및 전송 중 무결성 제공
- 인증서 기반 인증을 사용하므로 비밀번호에 대한 의존도를 줄임
- 민감한 데이터와 서비에 대한 클라이언트 접근 통제 강화
단점 - 클라이언트와 서버 모두 인증서를 관리해야 하므로 관리 부담 발생(운영 복잡성, 확장성 문제, 구현 비용 증가 등)
- TLS 대비 느린 속도
- 인증서 유효 기간 문제 또는 손상 등 장애 발생 시 복구 및 장애 처리 복잡

 

[사진 1] mTLS

3. 식별정보 클로킹

API 요청에 포함된 식별정보가 외부에 노출될 경우, 권한을 침해하는 손상된 개체 수준 권한(BOLA) 취약점 발생 가능
> 손상된 객체 수준 권한(Broken Object Level Authorization, BOLA) : 특정 데이터 객체에 액세스하기 위한 사용자 인증을 적절하게 확인하지 못할 때 발생하는 중요한 보안 취약점

 

- 식별정보 암호화 또는 마스킹 처리를 통해 권한 오용 차단
> 안전한 암호화 알고리즘 및 키 길이 사용 [5]
> 공격자가 권한 범위를 초과한 데이터를 조호화지 못하도록 BOLA 방지
> 요청에 포함된 민감 정보의 노출 방지

 

4. API 토큰 인증 및 무결성 검사

- JSON을 사용하는 경우가 많은 API는 주로 JWT(JSON Web Token)를 사용해 사용자의 인증과 권한 관리 [6][7][8]
> JWT의 각 값은 .(dot)으로 구분

JWT 구조
Header - 서명 시 사용하는 키(kid), 사용할 타입(typ), 서명 암호화 알고리즘(alg)의 정보를 저장
Payload - 토큰에서 사용할 정보의 조각들인 Key/Value 형태의 클레임(Claim) 저장
Signature - Header+Payload를 서버의 개인키 및 헤더에서 정의한 알고리즘으로 해시 생성
- 서버는 Signature를 검증하여 위·변조 여부 확인

 

[사진 2] JWT 구조

- JWT 토큰을 검증해 위조·탈취·만료된 토큰 차단
> 손상된 사용자 인증(Broken Authentication) 및 세션 하이재킹 방지

5. API별 허용 임계치 및 메소드 제한

과도한 API 요청은 서버 자원 고갈로 이어져 서비스 거부 공격을 초래할 수 있음
> API 트랜잭션별 허용 임계치 제한과 목적에 맞는 HTTP 메소드 제한이 필요
> 자원 낭비 최소화 및 서비스 안정성 확보

6. JSON 응답 클로킹

- API는 구현 형태에 따라 의도와 다르게 과도한 정보가 제공될 수 있음
> 과도한 데이터 노출(Excessive Data Exposure), 대량 할당(Mass Assignment) 취약점 발생 가능

 

- 클라이언트 요청의 JSON 응답 필드를 클로킹(비노출) 처리
> 데이터 노출 방지를 위해 JSON 컨텐츠 타입에 대한 제어 기능이 필수적
> JSON 응답에서 불필요한 데이터를 클로킹하여 불필요한 정보 노출 방지

7. JSON 요청 필드 검사

클라이언트 요청 필드를 검사해 정당성 여부 판단
> JSON 요청 필드를 확인해 Injection 방지

참고

[1] https://blog.naver.com/pentamkt/223047110284
[2] https://www.datanet.co.kr/news/articleView.html?idxno=188058
[3] https://www.cloudflare.com/ko-kr/learning/access-management/what-is-mutual-tls/
[4] https://www.cloudflare.com/ko-kr/learning/access-management/what-is-mutual-tls/
[5] https://csrc.nist.gov/pubs/sp/800/131/a/r3/ipd?source=post_page-----a346d0ccaefd--------------------------------
[6] https://puleugo.tistory.com/138
[7] https://blog.bizspring.co.kr/%ED%85%8C%ED%81%AC/jwt-json-web-token-%EA%B5%AC%EC%A1%B0-%EC%82%AC%EC%9A%A9/
[8] https://velog.io/@vamos_eon/JWT%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9D%B8%EA%B0%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-%EC%96%B4%EB%96%BB%EA%B2%8C-%EC%82%AC%EC%9A%A9%ED%95%98%EB%8A%94%EA%B0%80-%EB%B3%B4%EC%95%883
[9] https://www.boannews.com/media/view.asp?idx=135182&page=1&kind=5

'취약점 > API' 카테고리의 다른 글

API 보안 #1 기본  (1) 2024.09.20

- API(Application Programming Interface)

> 여러 프로그램들과 데이터베이스, 그리고 기능들의 상호 통신 방법을 규정하고 도와주는 매개체

 

API 유형
REST API
(REpresentational State Transfer)		 - HTTP로 하이퍼 미디어 콘텐츠를 전송하기 위한 하나의 아키텍처 스타일
- 6가지 원칙: 통일된 인터페이스, 클라이언트-서버 구조, 상태 없음(Stateless), 캐시 가능(Cacheable), 계층화 시스템, 주문형 코드
- 단순하기 때문에 현재 가장 널리 쓰이는 API
- 단일한 표준 REST 구조 없음, 큰 페이로드, 데이터 과다/과소 가져오기 등 단점
- 데이터 지향형
GraphQL API - 데이터 처리 부담을 서버로 옮김으로써 REST QPI의 데이터 과다/과소 가져오기 문제를 해결
- 장점: 정교한 질의 가능, 중첩, 강 타입 적용, 발견성
- 단점: DoS에 취약, 필요 이상의 많은 데이터 노출
- 데이터 지향형
RPC API
(Remote Procedure Call)		 - 클라이언트는 Stub 라이브러리를 이용해 네트워크로 전송되며, 서버는 호출 정보를 복원한 후 서버 쪽 Stub에서 프로시저 실행 및 결과 반환
- 특정 작업을 원격으로 실행해야 하는 명령 지향적 응용 프로그램들에서 주로 쓰임
- 동작 지향형
SOAP API
(Simple Object Access Protocol)		 - 서비스 지향적인 XML 기반 웹 통신 프로토콜로, 표준화되어 있음
- 뛰어난 확장성
- 복잡한 구현과 큰 데이터 페이로드
WebSocket API - 웹 소켓 통신 프로토콜에 기반한 API

 

API 데이터 형식
XML
(eXtensible Markup Language)		 - 자료형(데이터 타입)과 독립적
- 내용과 표현을 분리하도록 설계
- 확장성
- 복잡성과 큰 용량 문제로  많이 쓰이지는 않음
JSON
(JavaScript Object Notation)		 - 데이터는 키-값 쌍들로 표현
- 키는 항상 문자열이므로 큰따옴표로 감싸야 하며, 값은 정수, 부울형, 문자열 또는 널 값
YAML
(YAML Ain't Markup Language)		 - JSON의 불편함(주석 지원 X, 유연하지 않은 문법 등)을 해소하기 위해 만들어짐
OAS
(Open API Specification-명세)		 - API의 행동을 정의하기 위한, 사람이 읽기 쉬운 표준 규격으로, 개방형 표준
- OAS에 따라 API를 정의할 때는 YAML, JSON 모두 사용가능
- OAS 정의서부터 만든 후 API 개발 및 운영을 진행하는 방식을 설계 우선 접근 방식

 

- API는 데이터 접속의 표준화 및 편의성, 자동화와 확장성 등 많은 장점을 제공

- 그러나, API는 공격자에게도 인기가 많음

타 시스템과의 상호 연결을 위해 공용 네트워크에 노출된 경우가 많아 공격자 발견 및 접근에 용이

개발 및 통합을 위해 문서화가 잘 되어있어 공격자가 API 작동 방식을 파악하는데 용이

스크립트나 전용 도구를 이용해서 손쉽게 공격을 자동화할 수 있음

API핵심 데이터 자산에 대한 접근을 제공하기 위한 것으로, 공격자의 관심을 끌 수 있는 데이터

⑤ 기존 보안 도구들은 API 보안에 적합하지 않음

 

- OWASP 2019 API Top 10을 공개 후 2023년 목록을 갱신 [1]

OWASP API Security Top10 2023
API1:2023 - Broken Object Level Authorization - API는 개체 식별자를 처리하는 엔드포인트를 노출시키는 경향이 있어 개체 수준 액세스 제어 문제의 광범위한 공격 표면 생성
- 사용자의 ID를 사용하여 데이터 소스에 액세스하는 모든 기능에서 객체 권한 수준을 확인해야 함
API2:2023 - Broken Authentication - 인증 메커니즘은 종종 잘못 구현되어 공격자가 인증 토큰을 훼손하거나 구현 결함을 악용하여 일시적 또는 영구적으로 다른 사용자의 ID를 탈취할 수 있음
- 클라이언트/사용자를 식별하는 시스템의 기능을 훼손하면 전반적인 API 보안이 손상됨
API3:2023 - Broken Object Property Level Authorization - API3:2019 과도한 데이터 노출 및 API6:2019 대량 할당을 결합
- 근본 원인인 개체 속성 수준에서 권한 부여 유효성 검사가 부족하거나 부적절한 취약점
- 이에 따라 권한 없는 사람이 정보를 노출하거나 조작할 수 있음
API4:2023 - Unrestricted Resource Consumption - API 요청을 충족하려면 네트워크 대역폭, CPU, 메모리 및 스토리지와 같은 리소스가 필요
- 이메일/SMS/전화 통화 또는 생체 인식 유효성 검사와 같은 기타 리소스는 API 통합을 통해 서비스 공급자가 사용할 수 있으며 요청량에 따라 비용이 빌생
- 이에 따른 서비스 거부 또는 운영 비용이 증가 가능
API5:2023 - Broken Function Level Authorization - 계층, 그룹 및 역할이 다르고 관리 기능과 일반 기능이 명확하지 않은 복잡한 액세스 제어 정책은 권한 부여 문제가 될 수 있음
- 이를 악용해 다른 사용자의 리소스 및/또는 관리 기능에 액세스할 수 있음
API6:2023 - Unrestricted Access to Sensitive Business Flows - 취약한 API는 기능이 자동화된 방식으로 과도하게 사용되면 비즈니스 흐름을 노출
API7:2023 - Server Side Request Forgery - SSRF 결함은 API가 사용자 제공 URI의 유효성을 검사하지 않고 원격 리소스를 가져올 때 발생할 수 있음
- 이를 통해 방화벽이나 VPN으로 보호될 때에도 응용 프로그램이 예기치 않은 대상으로 제작된 요청을 보낼 수 있음
API8:2023 - Security Misconfiguration - API와 이를 지원하는 시스템은 API를 보다 사용자 정의할 수 있도록 하기 위한 복잡한 구성을 포함
- 잘못된 구성을 하여 다양한 유형의 공격 표면을 노출할 수 있음
API9:2023 - Improper Inventory Management - API는 기존 웹 애플리케이션보다 더 많은 엔드포인트를 노출하고 있어 적절한 명세가 업데이트 되어야 함
- 더 이상 사용되지 않는 API 버전 및 노출된 디버그 엔드포인트가 생기지 않도록 문서가 관리 및 갱신되어야 함
API10:2023 - Unsafe Consumption of APIs - 개발자는 사용자 입력보다 서드 파티 API에서 받은 데이터를 더 신뢰하는 경향이 있으므로 더 취약한 보안 표준이 적용될 수 있음

 

- API 보안 목표

> 오용(Misuse), 남용(Abuse)에 대한 고려-자동화된 스크립팅, 봇, 스크래핑 등-정상적인 사용자 활동과 구별이 어려움

> 데이터거버넌스: 통일적인 API 보안 전략에서 꼭 고려할 사항

> 양성 보안 모델: 허용 목록에 미리 등록해둔 정상적 행위자만 API 백엔드에 접근 가능

> 위험 기반 방법론: 위험도 분석에 기반한 API 보안 우선순위 결정

> 접근제어: API에 접근하는 것이 누구인지 확인하는 인증과 누가 API에 접근할 수 있는지를 결정하는 권한 부여

'취약점 > API' 카테고리의 다른 글

API 보안 기술  (0) 2024.12.19

+ Recent posts

티스토리툴바