본문 바로가기
제품·서비스/웹방화벽(WAAP)

< 한눈에 보는 API> 애니메이션 I API 활용 I API 보안 I WAAP

PIOLINK 2022. 7. 13. 08:56

 

​안녕하세요 파이오링크입니다! 
무더위 장마가 다시 시작되네요,


여름 더위와 습함도

직장인의 주말처럼

순식간에 지나갔으면 하는 마음으로 
오늘 포스팅을 시작하겠습니다 :)

최근 국내 보안과 관련된 이슈 중
최근 WAAP에 대한 관심이 높아지고 있습니다.


WAAP는 Web Application and API Protection의 약자로 
기존의 웹 방화벽 본연의 기능인

웹 애플리케이션 보호에 
 API까지 보호할 수 있는 제품입니다.

파이오링크 역시 빠르게 변화하는
보안 시장에 발맞추어 
WEBFRONT-K가 WAAP 솔루션으로
진화하였습니다! (깨알 홍보) 

 

 

여기에서 보호한다는 API는 무엇이고
왜 보호해야 할까요? 😶
API의 정의부터 말씀드리겠습니다.

API란?
Application Programming Interface
(애플리케이션 프로그래밍 인터페이스)의

줄임말입니다.
 
애플리케이션(응용 프로그램)은
운영체제를 제외한

고유한 기능을 가진
모든 소프트웨어 프로그램을 말합니다.

예를 들면,

컴퓨터에 설치되어 있는 계산기 기능부터
쇼핑몰의 전자 결제처럼

인터넷 서비스도 있습니다.
모바일 어플/앱만 애플리케이션은 아니랍니다.
 
인터페이스는 두 애플리케이션 프로그램 간의
서비스 계약이라고 할 수 있습니다.

이 계약은 요청과 응답을 사용하여
두 애플리케이션이 서로 통신하는 방법을
정의합니다.

쉽게 말해 API는
애플리케이션과 애플리케이션 사이의
정보를 전달하는 역할입니다.

더 쉽게 이야기를 해드리기 위해
영상과 이미지를 만들었습니다 ! 😆
어설프지만 한 땀 한 땀 배워가면서 만들었으니
잘 봐주셨으면 좋겠습니다 :)

 

 

* 영상에 대한 설명입니다 *

 


개발자가 포털사이트를 만든다고

가정해 보겠습니다.
포털사이트에 날씨, 주가, 지도의 정보가

필요합니다.

하지만 이런 정보는

실시간으로 업데이트되어야 하고 
개인이 알 수 없는 방대한 양의 정보입니다.

이럴 때 API를 사용해

기상청, 증권사, 네이버 지도나 T맵 등에서
실시간으로 정보를 받아올 수 있습니다. 👍

 

 

API는 날씨 지도뿐만 아니라
개인 정보도 주고받을 수 있습니다.

예를 들어, 오픈뱅킹 서비스는
은행의 모바일 앱,
핀테크 기업의 금융서비스 앱 등 
하나의 앱에서 여러 은행의 계좌를 조회하고,
결제∙송금 등을 할 수 있는 서비스입니다.


API를 통해

은행과 핀테크 기업은 같은 금융망을
사용할 수 있게 된 것이죠.

요즘에는 모바일로
개인신용대출 신청까지 가능합니다.

 

마이데이터는 은행, 핀테크 기업뿐만 아니라
증권사, 보험사, 부동산, 공공기관 등

모든 정보를 연결할 수 있어 오픈뱅킹보다

효율적으로 자산관리를 할 수 있습니다.


예전처럼 대출을 위해

관공서에서 서류를 떼어서 
직접 은행까지 갈 필요가 없어진 것입니다.

이것 또한 은행과 카드사 관공서에서 API로 
개인 정보를 받아오기 때문에 가능합니다.

사용하면 매우 편리하지만
이런 중요한 정보가 탈취당한다면

큰 문제가 됩니다. 😨😧

이러한 정보는
악용될 소지가 있기 때문에

서버 인증, 클라이언트 인증을 통하여
믿을 만한 사이트인지
mTLS로 검증을 진행 후 API 이용이
가능하게 됩니다.

이러한 mTLS 검증을 하는 것이
WAAP 필수 기능 중 하나입니다.

 

 


또 하나의 API 사용을
예시를 알려드릴게요!

요즘 새로운 앱이나 사이트를 가입할 때 
네이버로 가입하기, 카카오로 로그인하기가

자주 보입니다.

여기에도 API가 사용됩니다 ! 👀
해당 정보를 가진 기업에서

누구나 사용할 수 있도록
오픈해 놓은 정보를 API로 가져갈 수 있게

만들어둔 것입니다.

다른 사이트에서

네이버로 회원가입을 하기 위해서는 
네이버에 있는 개인 정보를 가지고 와야 합니다.

이때 네이버에서 해당 사이트로

개인 정보를 가지고 와서 
회원가입을 할 수 있게 만든 것이 API입니다 !

 


API 안에 개인 정보는

토큰 형태로 암호화되어 있습니다.


하지만 
해커들은 이런 토큰을 탈취해

위변조하여 사이트를 공격하고,

금전적 이득을 취할 수 있습니다. 😈

편리한 서비스를 위해서는

API 사용은 필수이지만,
사용이 늘어날수록 해커들의 입장에서는
새로운 공격 경로가 늘어나는 것입니다.

이런 일을 사전에 차단하기 위하여

API 보호는 반드시 필요합니다.

 

 


요즘 왜 그렇게 WAAP가 뜨고 있는지 
API가 어떻게 사용되고 왜 보호해야 하는지 
조금이나마 설명이 되었으면 합니다:) 

편리함을 위해서

API 사용이 급속도로 늘어나고 있습니다. 
빠르게 정보를 주고받을 수 있는 기술과 함께 
그것을 보호하는 WAAP 역시 매우 중요합니다. 

파이오링크는 빠르게 변화하는 시대에
더 진화한 보안 서비스를 제공하도록

노력하겠습니다.


읽어주셔서 감사합니다 :) 

저작자표시 비영리 변경금지

'제품·서비스 > 웹방화벽(WAAP)' 카테고리의 다른 글

파이오링크, 'API 보안백서 3편' 발간 I 마이데이터 서비스와 mTLS  (0) 2022.08.24
웹·API 보안, '웹프론트-K' I 2022 상반기 인기상품 선정 I 웹방화벽  (0) 2022.07.14
[영상]'API 보안' 부스 세미나(3편) I API 보안을 위한 핵심기술  (0) 2022.06.15
[영상]'API 보안' 부스 세미나(2편) I API 주요 공격 형태  (0) 2022.06.07
[영상]'API 보안' 부스 세미나 (1편) I API 정의, OWASP API TOP 10  (0) 2022.06.07

'제품·서비스/웹방화벽(WAAP)' Related Articles

티스토리툴바