파이오링크가 마이데이터 사업으로 부상한 애플리케이션 프로그래밍 인터페이스(API) 보안 백서를 발간했다고 7일 밝혔다.
API란 각기 다른 애플리케이션을 표준화된 규격으로 정보를 주고받도록 만든 인터페이스다. 필요한 데이터를 웹 서비스 형태로 제공받기 때문에 빠르고 간편하게 애플리케이션 개발을 할 수 있다. 암호화 통신(SSL)으로 보안도 우수해 대부분 웹 서비스에 적용됐다. 올해 초부터 금융권에서도 개인정보와 관련된 서비스는 반드시 API로 제공할 것을 의무화했다.
파이오링크는 API 보안 백서를 통해 글로벌 IT시장 조사기관 가트너와 국제 웹 보안 표준기구(OWASP)에서 제시한 API 보안 개념을 짚어보고, 웹방화벽의 진화된 모델인 WAAP(Web Application and API Protection) 개념과 웹방화벽이 WAAP로 가기 위해 필요한 API 보안 핵심 기술 여섯 가지에 대해 소개했다.
API 보안 기술로는 △양방향 TLS, △식별정보 클로깅, △API 토큰 인증 및 무결성 검사, △API 별 허용 임계치 및 메소드 제한, △JSON 응답 클로킹, △JSON 요청 필드 검사 등이 포함돼 있으며, 취약점에 대한 대응법도 정리했다.
백서에서는 API 역시 웹이고, 웹 애플리케이션을 구성하는 기능이기 때문에 자사의 웹방화벽을 포함해 웹방화벽의 고도화된 기능으로도 API 보안을 충분히 구현할 수 있다고 언급했다. 그리고 API 보안은 이제 필수라는 것을 강조하면서, API 보안을 준비하는 기업이라면 무작정 API 보안 솔루션을 도입하기 전에 이미 사용하고 있는 웹방화벽에서 위 여섯 가지 기술을 지원하는지 확인해 볼 것을 조언했다.
최호기자 snoop@etnews.com
