안녕하세요,
네트워크·보안 전문 기업 파이오링크입니다😄
아래 영상은 이번 콘텐츠 내용의 핵심인
OWASP에서 지정한 API 보안 위협 10개 항목에 완벽하게 대응하는 파이오링크 WAAP API보안 기능 설정 영상입니다.
애플리케이션 개발의 혁신과 안정성을 위해
대부분의 많은 기업들이 MSA(MicroService Architecture) 형태로 개발을 하고 있습니다.
우리가 요즘 흔히 부르는 모던앱, 클라우드네이티브 서비스, IoT 장비 등도 모두
MSA 방식으로 개발 되고 있습니다.
이들을 연결하는 데에는 API(Application Programming Interface)가
핵심적인 역할을 합니다🙂
API는 서로 다른 애플리케이션들을 통합하고
상호작용할 수 있도록
인터페이스를 제공합니다.
그러나 이러한 편리함과 혁신성은 동시에
보안 취약점을 가질 수 있음을 의미합니다🤢
특히 금융 분야에서의 API 사용의 증가와
마이데이터의 의무화로 인해
API 보안의 중요성은
한층 더 높아지고 있는데요,
따라서 기업들은 API 보안 취약점에 대비하여 시스템을 안전하게 운영하기 위해
노력해야 합니다🧐
| API 보안의 취약점과 OWASP API Security TOP 10 |
OWASP는 웹 애플리케이션의 보안 취약점을
분석하여 발표 하고 있는 기관입니다🏢
그리고 2023년 최신 취약점이 공개되었는데요,
2019년과 비교하여 어떤 것들이 변경 됐는지
파이오링크가 분석해 보았습니다📋
|
OWASP API 2019 TOP 10
|
OWASP API 2023 TOP 10
|
비교 결과
|
||||||
|
A01
|
Broken Object Level Authorization
(손상된 개체 수준 인증)
|
A01
|
손상된 개체 수준 인증
(Broken Object Level Authorization)
|
같음
|
||||
|
A02
|
취약한 사용자 인증
(Broken User Authentication)
|
A02
|
취약한 인증
(Broken Authentication)
|
같음, 네이밍 업데이트
|
||||
|
A03
|
과다한 데이터 노출
(Excessive Data Exposure)
|
A03
|
손상된 개체 속성 수준 권한 부여
(Broken Object Property Level Authorization)
|
A6->A3,
네이밍 업데이트
|
||||
|
A04
|
리소스 부족 및 속도 제한
(Lack of Resources&Rate Limiting)
|
A04
|
무제한 자원 소비
(Unrestrictd Resource Consumption)
|
같음, 네이밍 업데이트
|
||||
|
A05
|
손상된 기능 수준 인증
(Broken Function Level Authorization)
|
A05
|
손상된 기능 수준 인증
(Broken Function Level Authorization)
|
같음
|
||||
|
A06
|
대량 할당
(Mass Assignment)
|
A06
|
민감한 비즈니스 흐름에 대한 제한 없는 엑세스
(Unrestricted Access to Sensitive Business Flows)
|
신규
|
||||
|
A07
|
보안 오류 구성
(Security Misconfiguration)
|
A07
|
서버 사이드 요청 변조
(Server Side Request Forgery)
|
신규
|
||||
|
A08
|
인젝션
(Injection)
|
A08
|
보안 오류 구성
(Security Misconfiguration)
|
A7->A8
|
||||
|
A09
|
부적절한 자산 관리
(Improper Assets Management)
|
A09
|
부적절한 재고 관리
(Improper Inventory Management)
|
같음, 네이밍 업데이트
|
||||
|
A10
|
로깅 및 모니터링 부족
(Insufficient Logging&Monitoring)
|
A10
|
안전하지 않은 API 사용
(Unsafe Consumption of APIs)
|
신규
|
||||
A06, A07, A10이 신규 항목으로 추가되었고
나머지 항목은 같거나 이름이 바뀌었습니다.
2023년 OWASP API 보안 항목들은 파이오링크 웹방화벽 제품인
WEBFRONT-K/KS로 방어 할 수 있습니다.
WEBFRONT-K/KS가 OWASP API에
어떻게 대응을 할까요?
다음 챕터에서 여섯가지 보안 핵심기술을 소개하겠습니다🔒
| API 보안을 위한 WEBFRONT-K/KS 핵심기술 6가지 |
WEBFRONT-K/KS는 API 보안을
강화하는데 도움이 되는
다양한 기능들을 제공합니다.
다음은 WEBFRONT-K/KS가 제공하는 주요 기능과
API 보안의 핵심 기술들에 대한 설명입니다🙂
mTLS(Mutual TLS): 서버와 클라이언트 간 상호 인증을 통해 보안 연결을 구축합니다. 서버와 클라이언트 양쪽에서 인증서를 확인하여 안전한 통신을 보장합니다.
식별정보 클로킹: 민감한 정보를 암호화하거나 마스킹하여 노출을 방지합니다. API 엔드포인트에 포함된 식별정보를 보호하여 보안을 강화합니다.
API 토큰 인증 및 무결성 검사: JWT와 같은 토큰을 사용하여 인증 정보를 관리하고 무결성을 검증합니다. 유효하지 않은 토큰을 걸러내고 안전한 인증을 제공합니다.
API별 허용 임계치 및 메소드 제한: API 트래픽을 제한하여 DoS/DDoS 공격으로부터 보호합니다. 특정 API에 대해 허용되는 요청 수를 제한하고, 허용되지 않는 메소드 요청을 차단합니다.
JSON 응답 클로킹: 불필요한 정보를 클로킹하여 민감한 정보 노출을 방지합니다. API 응답에 포함된 민감한 데이터를 숨기고 필요한 정보만을 제공합니다.
JSON 요청 필드 검사: 요청 필드를 검사하여 정당 요청인지 확인합니다. 악의적인 요청을 차단하고 유효하지 않은 입력값을 처리합니다.
| API 보안은 선택이 아닌 필수 |
API 보안은 이미 기업들이
웹 애플리케이션 보안 중요성을
인지한 상태에서 더욱 확대된 영역입니다.
특히 금융, 통신, 의료 분야 등에서
마이데이터의 의무화로 인해
API 보안이 더욱 중요해지고 있습니다.
하지만 이번에 설명해드린 것과 같이
OWASP 취약점을 중심으로
하나씩 대응해 나가면
어려움이 크게 없는 보안영역 입니다.
정확하고 강력한 API 보안 정책을 수립하고,
WEBFRONT-K/KS와 같은
보안 솔루션을 활용하여
취약점에 대응하면서 혁신적이고 안전한 애플리케이션을 개발하는 것이
기업들의 핵심 과제가 될 것입니다👍
'제품·서비스 > 웹방화벽(WAAP)' 카테고리의 다른 글
| API 보안과 파이오링크 WAAP / 2023 OWASP Security API top 10 (0) | 2023.08.25 |
|---|---|
| 웹·API보안 / WAAP 네이버클라우드 웨비나 신청하세요! (0) | 2023.08.16 |
| 'JSON 인젝션(Injection) 공격'까지 효과적으로 방어하는 파이오링크 웹방화벽 (0) | 2023.04.13 |
| 네이버 클라우드 플랫폼 I 클라우드 웹방화벽 'WEBFRONT-KS' (0) | 2023.01.05 |
| [웨비나]API 보호를 위한 웹방화벽/WAAP (9/22)(파이오링크-토크아이티) (0) | 2022.09.16 |
