파이오링크(대표 조영철)는 최근 마이데이터 서비스가 본격화됨에 따라, 애플리케이션 프로그래밍 인터페이스(API) 보안의 중요성을 상기하고자 'API 보안 백서'를 발간했다고 7일 밝혔다.
API는 각기 다른 애플리케이션을 표준화된 규격으로 정보를 주고받도록 만든 인터페이스다. 올해 초부터 금융권에서도 개인정보와 관련된 서비스는 반드시 API로 제공할 것을 의무화했다.
파이오링크는 이번 백서에서 글로벌 IT시장 조사기관 가트너와 국제 웹 보안 표준기구(OWASP)에서 제시한 API 보안 개념을 짚고, 웹방화벽의 진화된 모델인 웹애플리케이션 및 API 보호(WAAP)의 개념과 웹방화벽이 WAAP로 가기 위해 필요한 API 보안 핵심 기술 여섯 가지에 대해 소개했다.
관련기사
- 파이오링크, 지난해 매출 500억 돌파...전년比 36% ↑2022.02.23
- 파이오링크 "웹방화벽으로 '로그4j' 취약점 공격 보호"2021.12.15
- 파이오링크, '오피스' 보안관제 서비스 출시2021.12.09
- 파이오링크, 3Q 영업이익 37억…전년比 153%↑2021.11.08
백서에서 소개된 API 보안 핵심 기술로은 ▲양방향 TLS ▲식별정보 클로깅 ▲API 토큰 인증 및 무결성 검사 ▲API 별 허용 임계치 및 메소드 제한 ▲JSON 응답 클로킹 ▲JSON 요청 필드 검사 등이다. 백서에는 취약점에 대한 대응법도 정리돼 있다.
파이오링크 관계자는 "API 역시 웹이고, 웹 애플리케이션을 구성하는 기능이기 때문에 자사의 웹방화벽을 포함해 웹방화벽의 고도화된 기능으로도 API 보안을 충분히 구현할 수 있다"며 "API 보안을 준비하는 기업이라면 무작정 API 보안 솔루션을 도입하기 전에 이미 사용하고 있는 웹방화벽에서 위 여섯 가지 기술을 지원하는지 확인해 봐야한다"고 조언했다.
