한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지침해 방지를 위한 API 잠금
웹 및 모바일 애플리케이션 개발자는 클라우드 및 모바일 서비스를 손상시키기 위해 웹 API(애플리케이션 프로그래밍 인터페이스)를 점점 더 테스트하고 있으므로 보안 애플리케이션을 만드는 데 더 많은 주의를 기울여야 합니다.
호주 신호국(Australian Signals Directorate)의 호주 사이버 보안 센터(Australian Signals Directorate's Australian Cyber Security Center)는 안전하지 않은 IDOR(직접 개체 참조)로 알려진 특정 유형의 일반적인 API 취약점이 "개발 프로세스 외부에서는 예방하기 어렵고 규모에 따라 남용될 수 있기 때문에" 특히 위험하다고 밝혔습니다. (ACSC), 미국 사이버보안 및 인프라 보안국(CISA), 미국 국가안보국(NSA)이 7월 말 공동 자문을 진행했습니다. IDOR 취약점은 애플리케이션이 키나 식별자를 사용하여 정보나 웹 리소스에 액세스하도록 허용하지만 인증이나 권한 부여를 제대로 확인하지 않을 때 발생합니다.
합동 정부 권고에서는 API 취약점이 악용되기 쉬운 경우가 많으며 대규모 자동화를 통해 공격을 받을 수 있다고 강조했습니다.
"이러한 취약점은 일반적이며 각 사용 사례가 고유하고 간단한 라이브러리나 보안 기능으로는 완화할 수 없기 때문에 개발 프로세스 외부에서 예방하기 어렵습니다."라고 정부 권고는 밝혔습니다. "또한 악의적인 행위자는 자동화된 도구를 사용하여 이를 대규모로 탐지하고 악용할 수 있습니다. 이러한 요인으로 인해 최종 사용자 조직은 정보가 의도치 않게 노출되는 데이터 유출 위험 또는 악의적인 행위자가 노출된 민감한 정보를 획득하는 대규모 데이터 침해 위험에 놓이게 됩니다. ."
기업들은 이미 웹 애플리케이션의 보안이 허술한 상황에 빠졌습니다. 2021년에는 스토커웨어라고도 불리는 하나 이상의 인기 모니터링 애플리케이션에 대한 API의 취약점으로 인해 통화 기록, 메시지, 사진 및 기타 기록이 노출되었습니다. 같은 해 Pen Test Partners의 연구원들은 Peloton 피트니스 장비용 API에 인증되지 않은 공격자가 구독자에 대한 정보를 수집하는 데 사용할 수 있는 엔드포인트가 있다는 사실을 발견했습니다. 유명한 멤버 중 하나는 미국 대통령 Joe Biden입니다.
이 문제는 새로운 것은 아니지만 API가 인터넷 전체뿐만 아니라 사물 인터넷(IoT) 장치, 자동차 및 차량에 연결하는 방법으로 광범위하게 배포되었기 때문에 점점 더 중요해지고 있다고 해커인 Jason Kent는 말합니다. API 보안 회사인 Cequence Security의 대규모 회사입니다.
"지난 몇 년 동안 API가 빠르게 채택된 것은 이것이 이제 인터넷의 기초라는 사실을 실제로 보여줍니다."라고 그는 말합니다. "우리는 이러한 것들이 작동하고 서로 대화하면서 텔레매틱스 데이터를 사방으로 보내고 있습니다. 우리는 세상을 지탱하는 API 백본을 구축하고 있으며, 이에 대한 보안은 앞으로 매우 중요할 것입니다."
안전하지 않은 웹 API로 인한 손실은 급증했으며, Marsh McLennan의 분석에 따르면 미국 기업은 2022년 API 손상으로 인해 120억~230억 달러의 손실을 입을 것으로 추산됩니다.
OWASP(Open Worldwide Application Security Project)는 7월 초 업데이트된 API 보안 문제 상위 10개 목록을 발표했는데, BOLA(Broken Object Level Authorization) 결함이라고 불리는 IDOR 취약점이 목록의 1위를 차지했습니다. OWASP API 보안 프로젝트의 공동 리더인 파울로 실바(Paulo Silva)는 API 취약점 종류가 주요 서비스의 데이터를 기반으로 일반적인 버그 바운티 참여에서 발견된 취약점의 약 4분의 1을 차지한다고 말했습니다.
"윤리적인 해커이자 펜 테스터로서의 내 경험을 토대로 볼 때 대부분의 BOLA 사례에는 인증이 적용되어 있다고 말하고 싶습니다. BOLA 문제를 악용하려면 유효한 사용자 계정이 필요합니다."라고 그는 말합니다. "인증이 올바르게 구현되었다고 가정하면 침입 후 피해자가 허용된 리소스에만 액세스할 수 있어야 합니다."
많은 애플리케이션은 키와 식별자를 무작위로 지정하여 경로와 엔드포인트(애플리케이션 리소스의 주소)를 추측하기 어렵게 만들려고 시도하지만 이는 모호함을 통한 보안일 뿐입니다. 트래픽 모니터링이나 다른 접근 방식을 통해 API 주소를 캡처할 수 있는 공격자는 API가 암호학적으로 강력한 임의 값을 사용한다는 이유만으로 심각하거나 불쾌한 영향을 미칠 것이라고 Silva는 말합니다.