[인터뷰] 중요 정보 오가는 API에 대한 관리와 보안의 필요성 강조하는 강종철 ICTNET 사장
API(Application Programming Interface)는 애플리케이션과 애플리케이션을 서로 연결하는 소프트웨어 인터페이스로, 서로 다른 애플리케이션 사이에서 데이터와 정보를 주고받기 위한 용도로 사용된다.
이런 API는 웹이나 클라우드 환경, 특히 클라우드 네이티브와 같은 MSA(MicroService Architecture)에서 각각의 마이크로서비스를 서로 연결하는 용도로도 사용되기 때문에 기업 환경에서 API의 활용이 급격하게 증가하고 있는 상황이다.
문제는 이런 API가 보안 취약점을 갖고 있거나 잘못 설정됐을 때는 대규모의 정보 유출과 같은 사고가 발생할 수 있다는 것이다. 더구나 급격하게 증가하고 있는 API 환경에서 문제가 발생하더라도 어디서 어떤 문제가 발생했는지 찾고 대응하는 것도 쉬운 일은 아니다. 그리고 이런 문제가 해결될 때까지 기업의 서비스는 중단을 피할 수 없으며, 문제를 해결하기 위해서는 API 개발부터 새로 시작해야 하기 때문에 문제를 확인한 이후에서 정상적으로 서비스를 되돌리기 위해서는 많은 시간이 소요될 수 있다.
점점 중요해지고 있는 API의 관리와 보안을 위한 'API 보안'이 아직 국내에서는 그다지 활성화돼 있지 않지만 이미 이에 대한 필요성을 느끼고 있는 경우가 많으며, 클라우드 환경과 각종 플랫폼 서비스의 활성화, 마이데이터나 공공 데이터 분야에서 API의 수와 활용이 급격하게 증가하고 있어, 곧 많은 수요가 예측되고 있다.
이런 API 보안 분야에 남들보다 한 발 앞서 시장 개척에 나서고 있는 강종철 아이씨티넷 사장을 만나 국내 API 보안 현황과 아이씨티넷이 국내에 공급하고 있는 노네임시큐리티의 API 보안 솔루션에 대해 들어봤다.
현재 API를 통해 기업의 중요 데이터가 오가고 있다. 이런 상황에서 만약 API에 보안 취약점이 있다면, 권한 없는 사용자 혹은 외부 공격자가 기업 내부의 주요 데이터에 대한 접근 권한을 갖는 것이나 마찬가지다.
특히 이런 API를 통해 오가는 데이터는 사용자의 개인정보일 수도 혹은 기업의 거래 트랜잭션 데이터일 수도 있다. API에 대한 보안 사고는 기업의 중요 데이터가 탈취당할 수 있다는 것을 의미하기에 API 보안은 매우 중요하다.
API의 수는 현재 전세계적으로 매년 약 200%씩 증가하고 있으며, 전체 트래픽의 83%를 차지하고 있다는 연구결과도 있다. 이는 클라우드와 같은 환경이 증가하고 있다는 것도 이유의 하나가 될 수 있을 것이다.
문제는 이처럼 API의 사용이 급격히 증가하고 있음에도 API에 대해 제대로 파악하고 관리하는 조직은 20% 수준에 머무르고 있으며, API 보안이 현실적으로 그리 쉬운 문제가 아니라는 것에 있다. API를 개발해 서비스에 적용한 이후, 문제가 발생할 경우, 처음 개발단계까지 되돌아가야 하며, 그동안의 서비스 중단은 피할 수 없는 상황이 되고 만다.
국내에서는 API 보안에 대한 관심이 조금 늦게 시작돼, 아직 API 보안 시장 자체가 형성이 안돼 있는 상황이다. 다만 시장에서 충분이 수요는 있으며, 많은 조직들이 API 보안의 필요성에 대해서는 실감하고 있다.
API 보안은 보안 영역과 개발 영역이 겹쳐지는 부분에 존재한다. 따라서 개발 조직과 IT 조직 사이의 모호한 경계에 위치해, CIO와 CISO가 겹치는 영역에 존재함에 따라 도입이나 관리 주체에 대한 미묘한 입장차이가 시장 형성을 더욱 저해하고 있기도 하다.
그럼에도 불구하고 현재 기업들이 만들고 운영하는 수많은 서비스와 애플리케이션에는 점점 더 많은 API가 사용되고 있다. 그런데 API를 많이 사용한다는 것은 알고 있지만, 얼마나 많은 API를 사용하고 있는지에 대해서는 기업 내 담당자조차 잘 모르고 있는 경우가 많다. 다시 말해 필요에 의해 API를 개발하고 사용하고 있지만, 이런 API에 대한 관리가 제대로 이뤄지지 않고 있다는 것이다.
노네임시큐리티는 2020년에 설립된 신생기업임에도 스타벅스를 포함한 포춘 500대 기업의 약 30%가 노네임시큐리티의 API 보안 솔루션을 사용할 정도로 빠른 성장세를 보이고 있다.
노네임시큐리티의 API 보안 솔루션은 가시성을 확보하고 대시보드 형태로 API 현황을 관리할 수 있도록 하는 솔루션 모듈과 런타임 보안 이슈 모니터링 모듈, 그리고 API 개발 단계에서 테스트를 통해 보안 취약점을 확인하는 모듈 등으로 구성돼 있다.
이를 통해 개발팀, 그리고 IT 팀에서 요구하는 API 관련 보안 강화 방안을 모두 제공한다. 예를 들면 개발 단계에서의 테스트는 개발팀에, 그리고 가시성과 런타임 보안 모니터링과 같은 기능은 보안팀에서 필요로 하는 기능이다.
노네임시큐리티의 API 보안 솔루션은 보안뿐 아니라 개발과 관리까지 가능한 API 관련 토털 솔루션이라고 해도 과언이 아니다. 그리고 개발과 관리와 보안이 각각 개별적인 영역이 아닌, 서로가 서로를 보완하는 관계라는 점을 이해하고 이를 지원하는 것에 초점을 맞춘 솔루션이다.
API 보안 전문 솔루션 업체는 아직 국내에 진출하지 않고 있으며, 일부 API 보안을 얘기하고 있는 업체들은 전체 솔루션의 일부 기능으로 API 보안을 제공하는 수준이다. 국내에 진출한 API 보안 전문업체는 노네임시큐리티가 유일하다.
또한 노네임시큐리티의 API 보안 솔루션은 API 가시성 측면에서 경쟁 업체에 비해 더 깊이 있는 분석을 제공하며, 보안 취약점을 탐지하는 것에 그치지 않고 차단까지 가능하다.
이는 WAF나 방화벽, 혹은 인증 플랫폼, 보안 로그 분석 플랫폼 등과 같은 보안 솔루션과 연동이 가능하기 때문이다. 현재 노네임시큐리티의 마켓플레이스를 통해 주요 보안 솔루션에 대한 연동이 가능한 파트너사 제품과의 연결을 위한 커넥터를 제공하고 있다.
따라서 국내 고객들이 기존 사용 중인 보안 솔루션과 연동시키기 위해 별도로 개발할 필요없이 간편하게 설정할 수 있다. 또한 마켓플레이스에 올라와 있지 않은 보안 솔루션과의 연동 또한 요청시 빠르게 커넥터를 개발해 제공하고 있다.
최근 IT 인프라의 복잡성이 급격하게 증가하면서 보안, 관리 측면에서 가시성에 대한 요구가 급격하게 증가하고 있다.
조직들은 어떤 API를 갖고 있고, 어떤 API에서 사고가 발생했으며, 어떤 형태의 사고인지, 그리고 이 API를 어떻게 수정해야 하는지에 대한 명확한 지침을 얻고자 한다. 그리고 이에 대한 조치는 보안 팀에서 할 수 있는 것이 아닌 개발팀과의 협력을 통해 작업해야 하는 것이기에 가시성의 확보는 API 보안에서 매우 중요한 문제다.
API를 통해 개인정보는 물론 기업의 민감한 정보가 오가기 때문에 이에 대한 보안 대책을 마련하기 위해서라도 API에 대한 가시성 확보는 가장 기본적인 요구사항이 될 수밖에 없다.
API는 현재 영역을 가리지 않고 광범위하게 사용되고 있기 때문에 많은 분야에서 활용될 수 있다. 일단 마이데이터 관련 부분은 전부 API 보안의 주요 타깃 시장이며, 이외에도 공공 데이터 분야도 여러 가지 민감한 정보를 다루기에 API 보안이 중요한 역할을 할 수 있다. 이외에도 인터넷 서비스나 모바일 서비스를 제공하는 플랫폼 업체들도 API 보안의 주요 수요처가 될 수 있으며, 금융이나 핀테크 업체들도 API 보안의 주요 고객이다.
현재 1차적인 시장 공략 대상은 플랫폼 서비스 업체, 클라우드 업체 등이며, 이외에 은행이나 증권 등 금융 시장을 대상으로 진출을 타진하고 있다. 또한 이를 위해 CSP나 MSP 등과의 제휴도 추진하고 있다. 특히 이들 업체와는 현재 아이씨티넷에서 자체적으로 개발 중인 웹 취약점 분석 솔루션과 함께 제안하고 있는 중이다.
아이씨티넷은 지금까지 SI/NI 사업을 중심으로 해 왔으며 매출의 대부분이 프로젝트 수주와 함께 유지보수 서비스를 통해 올려왔으나, 이를 통한 성장에는 한계가 있다고 느껴 새로운 활로를 찾기 시작했다.
그래서 지난 2022년부터 시작한 것이 아직 국내에 알려지지 않은 새로운 솔루션을 국내에서 소개하고 유통하는 비즈니스를 시작했다. 경쟁이 치열하지 않고 향후 성장 가능성이 높은 초기 기술 솔루션에 투자하는 방식으로, 지금은 우선 노네임시큐리티에 집중하고, 향후 이와 비슷한 새로운 솔루션을 지속적으로 확보해 나갈 예정이다.
이외에도 곧 출시 예정인 웹 취약점 분석 솔루션 또한 보안 분야에 대한 솔루션 포트폴리오의 하나로 자리잡을 예정이다. 현재 개발 마무리 작업중인 이 솔루션은 초기 온프레미스 솔루션 판매로 시작할 예정이지만, 향후 SaaS 기반의 서비스 형태로 발전시켜 나갈 계획이다. 특히 웹 개발 과정에서부터 활용할 수 있도록 개발의 각 단계별로 취약점을 확인할 수 있도록 구성해, 잦은 서비스 변경이 이뤄지고 있는 최근의 웹 서비스 환경에 적합한 방식으로 제공될 예정이다.
이런 계획이 완료되면, 아이씨티넷은 향후 보안과 클라우드 분야에 집중하는 비즈니스 형태가 될 것이다.
우선은 노네임시큐리티와 관련된 API 보안 시장 형성을 위해 노력할 예정이다. 우선 시장을 개척하고 선점함으로써 SI/NI뿐 아니라 보안에도 강점을 갖는 기술업체라는 것을 먼저 알리는 것이 급선무라고 생각하고 있다.
API 보안에 있어서 조만간 노네임시큐리티 외에 다른 기업들도 곧 국내 시장에 진출을 시도할 것으로 예상되기 때문에, 아이씨티넷은 시장을 선도하는 입장에서 경쟁력을 확보하기 위해 고객 확보는 물론이고 지원 능력 강화를 위해 직원 교육 등에도 주력할 예정이다.
특히 API 보안은 보안과 개발을 모두 알아야 하기 때문에 관련된 기술 교육이 매우 중요하다. 따라서 경쟁 업체가 들어오더라도 진입 장벽이 있기에 직원 교육을 통해 기술 지원 인력을 양성한다면 충분한 경쟁력을 확보할 수 있을 것으로 기대하고 있다.
전자신문인터넷 유은정 기자 judy6956@etnews.com