[정보통신신문=박광하기자]
파이오링크(대표 조영철)가 마이데이터 사업으로 부상한 애플리케이션 프로그래밍 인터페이스(API)와 API 보안에 대응하는 핵심 기술을 소개하는 'API 보안 백서'를 발간했다고 최근 밝혔다.
API란 각기 다른 애플리케이션을 표준화된 규격으로 정보를 주고 받을 수 있게 해주는 인터페이스다.
필요한 데이터를 웹 서비스 형태로 제공받기 때문에 애플리케이션을 빠르고 간편하게 개발할 수 있고, 암호화 통신(SSL)을 지원하는 등 보안성이 우수해 오늘날 대부분의 웹 서비스에 적용돼 있다.
올해 초부터 금융권에서도 개인정보와 관련된 서비스는 반드시 API로 제공할 것을 의무화했다.
파이오링크는 API 사용이 늘어난 만큼 취약점을 노린 공격이 증가하고 있다며 API 보안 백서를 통해 글로벌 IT시장 조사기관 가트너와 국제 웹 보안 표준기구(OWASP)에서 제시한 API 보안 개념을 짚어봤다.
또한, 웹방화벽의 진화된 모델인 WAAP(Web Application and API Protection)의 개념과 웹방화벽이 WAAP로 가기 위해 필요한 API 보안 핵심 기술 여섯가지에 대해 소개했다.
백서에는 API 보안 기술로 △양방향 TLS △식별정보 클로깅 △API 토큰 인증 및 무결성 검사 △API별 허용 임계치 및 메소드 제한 △JSON 응답 클로킹 △JSON 요청 필드 검사 등이 다뤄져 있으며, 취약점에 대한 대응법도 정리돼 있다.
백서에서는 API 역시 웹 기반으로 작동하며, 웹 애플리케이션을 구성하는 기능이기 때문에 자사의 웹방화벽을 포함해 웹방화벽의 고도화된 기능으로도 API 보안을 충분히 구현할 수 있다고 언급했다.
아울러 API 보안은 이제 필수라는 것을 강조하면서, API 보안을 준비하는 기업이라면 무작정 API 보안 솔루션을 도입하기 전에 이미 사용하고 있는 웹방화벽에서 여섯가지 API 보안 핵심 기술을 지원하는지 확인해 볼 것을 조언했다.
백서 전문은 파이오링크 웹사이트에서 확인할 수 있다.