[영상]'API 보안' 부스 세미나(2편) I API 주요 공격 형태

 

 

지난 4월 개최된
eGISEC 2022 전시회에서
파이오링크는 API 보안을 주제로
부스 세미나를 진행했습니다.

기본적인 API의 정의에서부터
주된 API 공격 유형 및
이에 대한 대응기술까지
함께 살펴보았는데요.

API 보안에 대해
한 걸음 더 가까워질 수 있었던 시간 !
😀
​
유익했던 강연 현장을
생생한 영상으로 만나보세요 :)

---

📣
영상은 총 3편으로 나누어
제공될 예정입니다.

이번 2편에서는
API 주요 공격 형태에 대한
내용이 포함되어 있습니다.

 

 

 

 

[영상 내용]
API의 주요 공격 형태, 대표적으로 4가지로 정리해서 이야기하고 있어요.

​첫 번째는 '서비스 거부 공격'입니다. 예를 들면 그런 거에요. 어떤 이미지를 API 형태로 전달받으면 애플리케이션 서버가 썸네일 이미지를 추출하는 기능이 있다라고 가정해보겠습니다. 이미지에 대한 실제 콘텐츠 확인, 데이터 사이즈에 대한 제한이 걸려있지 않다면 악의적인 사용자들은 엄청나게 큰 이미지를 API를 통해서 업로드 할 겁니다. 

그러면 서버는 그 큰 이미지에서 썸네일 이미지를 추출하기 위해서 엄청나게 많은 리소스를 사용하게 됩니다. 이런 경우가 1건 2건 3건 반복되면 서버의 리소스는 과부하가 걸리고, 그 이후에 들어오는 요청들은 거부가 되면서 결국 서비스를 제공하지 못하게 되는 서비스 불능 상태에 빠질 수 있습니다.

API 통신이 암호화되어 있지 않으면 중간자 공격을 통해서, API 구조가 그대로 노출되게 되겠죠. 전달받은 데이터도 볼 수 있게 되어 replay 공격에 악용되거나 민감한 개인정보가 유출될 수 있습니다. HTTP 프로토콜은 Stateless 프로토콜입니다. 그래서 사용자의 모든 상태 정보, 권한 상태 정보를 그대로 넘겨줄 수가 없습니다. 그래서 웹에서는 그걸 쿠키를 이용하죠. API에서는 JWT 토큰(JSON Web Token)을 이용하고 있습니다.

그런데 이것을 중간에 탈취한다던지 악의적인 사용자가 그 내용을 변경한다면, 사용자의 권한 및 인증을 우회할 수 있어서 심각한 피해를 초래할 수 있습니다. 

마지막으로 API 파라미터 위변조인데요. API URL 엔드포인트로 클라이언트가 전달하는 데이터 형태가 있을텐데요. 그게 취약하게 되어있으면 SQL 인젝션이나 커맨드 인젝션은 당연히 피해를 받을 수 있습니다. 웹 애플리케이션과 똑같이 API로도 SQL 인젝션을 통해서 정보들이 유출될 수 있구요. 커맨드 인젝션을 통해서 서버에 악의적인 명령어가 실행될 수 있습니다.

여러분들 어떠신가요? API 주요 공격 형태라고 되어있는데 생소한 용어들은 없죠. 이미 우리가 웹 애플리케이션에서 웹 해커들이 주요 많이 사용하던 공격 방식들입니다. 

정리하면, 웹과 API는 HTTP 프로토콜을 기반으로 하고 있습니다. 웹을 보안하는 것이 API를 보안하는 것이고, API를 잘 보안하면 웹을 보안할 수 있다는 의미가 되겠구요. 그러면 API 보안을 훌륭하게 잘 수행하는 제품이 무엇일까요?

HTTP 프로토콜을 가장 잘 분석하고, 웹 취약점을 가장 잘 대응하는 제품이 무엇인가요? 웹 취약점을 가장 잘 대응할 수 있는 현재 시장에서 플레이되고 있는 제품, 바로 '웹방화벽'입니다. 웹방화벽만이 웹 취약점을 완벽하게 대응할 수 있고, 웹방화벽만이 API를 완벽하게 대응할 수 있다는 의미가 됩니다.