-- 조직이 API 자산을 효과적으로 관리하고 위험을 최소화할 수 있도록 설계된 종합적인 API 보안 솔루션
노이다, 인도, 2025년 4월 23일 /PRNewswire/ -- 연합뉴스/ -- 기업용 소프트웨어 솔루션 분야의 글로벌 선도기업인 HCL소프트웨어(HCLSoftware)가 4월 23일 솔트 시큐리티(Salt Security)와 손잡고 HCL AppScan API Security 출시를 발표했다. 이 종합적인 API 보안 프로그램은 조직이 API 자산을 효과적으로 관리하고, 위험 수준을 높이지 않으면서 높은 비즈니스 가치를 지속적으로 제공할 수 있도록 지원한다.
HCL AppScan API Security는 전문가가 교육한 AI 기반 탐지 플랫폼을 통해 모든 API 자산을 발견해 목록화하고, 프로그램 실행 시간과 개발 단계에서 기업의 API 표준을 준수할 수 있게 보장한다. 또한 취약점을 정확히 찾아내어 수정할 수 있게 동적 분석 기능과 원활하게 통합된다.
응용 프로그램 인터페이스(Application Programing Interfaces), 즉 API가 디지털 환경을 급속히 변혁시키고 있는 가운데 현재 웹 트래픽의 50% 이상을 API가 차지하고 있다. API는 응용 프로그램 사이에 원활한 통신을 촉진하며, 클라우드 서비스, 모바일 앱, 사물인터넷(IoT) 기기 등의 구동을 지원하는 핵심 요소로 자리 잡았다. 그러나 이런 모든 트래픽은 동시에 API를 악의적인 공격자가 악용할 수 있는 주요 공격 벡터(attack vector)로 만들어버려 조직은 새로운 보안상 도전 과제에 직면하고 있다.
라제시 아이어(Rajesh Iyer) HCL소프트웨어 부사장은 "API에 대한 의존이 심화함에 따라 강력한 API 보안은 이제 기업 이사회 수준에서 논의돼야 할 중요한 이슈로 부상했다"면서 "우리는 고객 모두가 보안 태세를 강화하고 디지털 생태계를 보호할 수 있는 방안을 모색하고 있다"고 강조했다.
2023년에는 전체 API 공격 건수와 API 취약점과 연관된 데이터 유출 사고 비율이 모두 이전 연도보다 크게 늘어났고, 이러한 추세는 이후로도 이어지고 있다. 2024년 솔트 시큐리티가 발표한 'API 보안 현황(State of API Security)' 보고서에 따르면 조사 대상 조직의 37%가 API 관련 보안 사고를 경험한 적이 있다고 보고했다. 이 같은 비율은 전년 대비 두 배 올라간 것이다. 2024년 상반기에만 소셜 미디어와 파일 공유 플랫폼, 기술 기업, 전자상거래 사이트 등 다양한 산업 분야에서 대규모 API 관련 공격이 일어나 수백만 명의 사용자 데이터가 유출됐다.
API가 이제 너무 광범위하게 사용되다 보니 자신이 사용하고 있는 API 수가 몇 개인지조차 모르는 기업이 많다. 이런 중견 및 대기업 수만 해도 족히 수백 곳에 달할 수 있다. API는 이제 모든 산업에서 다양한 역할을 수행하며, 온라인 쇼핑, 미디어 전송, 결제 게이트웨이, 워크플로 자동화, 마이크로서비스, 소프트웨어 개발 등 수많은 분야와 이와 관련된 기능에서 API의 역할이 특히 두드러진다. 따라서 API 보안을 강화하기 위한 첫 번째 단계는 사용 중인 모든 API 목록을 제대로 정확하게 작성하는 것이다.
콜린 벨(Colin Bell) HCL 앱스캔(HCL AppScan) 최고기술책임자(CTO)는 "HCL AppScan API Security의 핵심 기능 중 하나는 조직의 전체 API를 지속적으로 찾아내 목록에 기록할 수 있는 능력"이라며 "그래야 보안 팀은 전체 보안 상태에 대한 통찰력을 얻을 수 있다"고 말했다.
API 공격이 증가 추세를 보이자 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project•OWASP)는 특히 API 보안과 관련된 가장 중요한 보안 위험을 정리해 'OWASP API 보안 10대 위험(OWASP API Security Top 10)' 목록을 작성했다. 조직이 API 취약성과 관련된 위험을 이해하고 완화하는 데 도움을 주는 게 목적이다. 목록에는 조직이 API 보안을 강화할 때 집중해야 할 핵심 영역이 포함되어 있다. 몇 가지만 예를 들자면, 손상된 객체 수준 권한 부여(Broken Object Level Authorization•BOLA), 과도한 데이터 노출, 보안 구성 오류 등이 그런 영역들이다. 솔트 시큐리티가 2024년 발표한 'API 보안 현황' 보고서에 따르면 공격 시도 중 80%가 OWASP API 보안 10 대 위험에 해당하는 방법 중 한 가지 이상을 사용한다. 하지만 조사 대상 응답자의 약 58%만이 이 목록을 중심으로 보안 강화 노력을 집중하고 있는 것으로 드러났다.
마이클 니코시아(Michael Nicosia) 솔트 시큐리티 최고운영책임자(COO) 겸 공동 창업자는 "API 보안 사고와 규제 감독이 증가함에 따라 조직은 API 생태계 전반에 걸쳐 지속적으로 규정을 준수해야 한다"면서 "우리는 HCL 앱스캔의 강력한 스캐닝 기능과 솔트 시큐리티의 실시간 거버넌스 및 공격 표면 가시화 기술(문서화되지 않은 API와 섀도 API에 대한 탐지 포함)을 결합해 조직 전반의 API 환경에서 통합된 인사이트와 더 심층적인 가시성을 제공한다"고 말했다. 그는 "이는 조직이 API 라이프사이클 내내 위험을 선제적으로 찾아내고 PCI DSS, GDPR, HIPAA와 같은 필수 표준을 계속 준수할 수 있게 해준다"고 덧붙였다.
HCL AppScan API Security는 OWASP API 보안 10대 위험에 대한 100% 보안을 보장하면서 조직이 API 보안을 더욱 강화할 수 있게 다음과 같은 다양한 기능을 제공한다:
- 전문가 교육을 받은 AI 기반 API 탐색 플랫폼을 통해 보안 취약점 축소
- 섀도 API와 좀비 API까지 포함해 모든 API를 탐색하고 목록화
- 전송 중인 민감한 데이터를 정확히 찾아내고, 관련 규정(예: GDPR, HIPAA, PCI DSS) 준수를 보장
- API를 담당 소유자와 관련 기능에 연계
- 전체 API 환경의 보안 상태에 대한 인사이트 확보
- 가장 위험한 API 자산을 평가하고 우선순위화하는 AI 기반 인사이트를 통해 실행 시간 및 개발 단계에서 기업 API 표준을 준수하도록 보장
- 사전에 구축된 정책 템플릿과 광범위한 API 정책 라이브러리를 활용해 최고의 산업 표준을 채택
- API 전용 DAST 취약점 테스트를 통합하고, 최신 사양과 비즈니스 로직 및 API 구성 데이터를 기반으로 정확도를 개선
https://www.hcl-software.com/appscan에서 HCL AppScan API Security에 대한 자세한 정보를 확인할 수 있다.
HCL소프트웨어 소개
HCL테크(HCL Tech)의 소프트웨어 부문인 HCL소프트웨어는 전 세계적으로 소프트웨어 혁신을 선도하는 기업이다. HCL소프트웨어는 비즈니스와 산업, 지능형 운영, 총체적 경험, 데이터 관리와 분석, 사이버 보안 등 다양한 산업 분야에서 혁신적인 솔루션을 개발, 마케팅, 판매, 지원한다. 고객의 성공을 위한 헌신과 정직함, 포용성, 가치 창조, 사람 중심 사고, 사회적 책임 등의 핵심 가치관은 모두 HCL소프트웨어가 조직이 목표를 달성할 수 있도록 지원하는 동급 최고 수준의 소프트웨어 제품을 제공하게 만드는 원동력 역할을 하고 있다. HCL소프트웨어는 풍부한 혁신적 정신의 유산을 바탕으로 포춘 100대 기업 대부분과 포춘 500대 기업 약 절반을 포함해 총 2만여 개 조직에 서비스를 제공하고 있다. www.hcl-software.com를 방문하면 여러분이 목표를 달성하는 데 HCL소프트웨어가 어떤 도움을 줄 수 있는지 확인할 수 있다.
