2025 Global State of API Security

"2년간 절반이 뚫렸다"...API 보안 위협의 실태

트레이서블(Traceable)의 '2025 글로벌 API 보안 현황 보고서'가 보안 위협의 심각성을 경고했다. 지난 2년간 기업의 57%가 API 관련 데이터 유출을 경험했으며, 이 중 73%는 3회 이상의 유출 사고를 겪었다. 기업들은 자사 API의 38%만을 취약점 테스트하고 있으며, API 관련 공격의 24%만을 방어할 수 있다고 평가했다. 더욱 우려되는 점은 기업의 61%가 향후 12-24개월 동안 API 보안 위험이 더욱 증가할 것으로 예상한다는 점이다.

DDoS와 부정 행위가 API 악용의 주요 방법으로 나타났으며, 알려진 공격(29%), 무차별 대입 공격(23%), 비즈니스 로직 공격(23%)이 그 뒤를 이었다. 특히 기업들의 취약점 테스트 범위가 제한적이라는 점이 데이터 유출의 주요 원인으로 지적됐다.

"API 500개 이상" 보유 기업 55%...보안 관리는 '허술'

기업의 54%가 API 확산을 관리하고 통제하는 데 어려움을 겪고 있다고 응답했다. 55% 이상의 조직이 500개 이상의 API를 보유하고 있으며, 16%는 2,500개 이상의 API를 운영하고 있다. API가 보안 위험이 되는 주요 원인으로는 기술 계층 전반의 공격 표면 확장(58%), 기존 보안 솔루션의 한계(57%), API 볼륨으로 인한 공격 방지의 어려움(56%)이 지적됐다.

기업 규모별로는 75,000명 이상의 대기업부터 1,000명 규모의 기업까지 다양한 조직에서 API 관리의 어려움을 호소했다. 특히 API 취약점의 성장을 막는 것과 개선이 필요한 API의 우선순위를 정하는 것이 주요 과제로 나타났다.

평균 131개 외부 연결..."제3자 API가 새로운 보안 구멍"

평균 131개의 써드파티가 조직의 API에 연결되어 있어 보안 위험이 가중되고 있다. 전문가들은 써드파티 API 인벤토리 구축, 정기적인 위험 평가와 실사 수행, 지속적인 모니터링 체계 구축을 권장하고 있다.

써드파티 API의 보안 위험을 줄이기 위해서는 구성 오류와 취약점에 대한 지속적인 분석이 필요하다. 특히 API 엔드포인트에서 적절한 인증 없이 민감한 데이터를 처리하는 경우를 식별하는 것이 중요한 것으로 나타났다.

생성형 AI 도입 러시에 숨겨진 위험..."보안 전문가도, 가이드라인도 없다"

기업의 67%가 생성형 AI를 도입했거나(21%), 도입 중(30%)이거나, 향후 1년 내 도입 예정(16%)이다. 주요 보안 우려사항으로는 API 통합 증가로 인한 공격 표면 확대, 민감 데이터 무단 접근, API 호출을 통한 데이터 유출이 각각 60%로 나타났다. 특히 66%의 기업이 생성형 AI API 보안을 위한 사내 전문 인력이 부족하다고 응답했으며, 보안 모범 사례의 부재와 빠른 기술 발전 속도도 주요 과제로 지적됐다.

생성형 AI API 보안을 위한 최우선 과제로는 트래픽의 실시간 모니터링과 분석, 강력한 인증 및 권한 부여 체계 구축, 생성형 AI API 통합의 포괄적 발견 및 목록화가 꼽혔다. 또한 응답자들은 생성형 AI 관련 거버넌스와 통제의 부재를 주요 우려사항으로 지적했다.

기업 53% "봇 공격 당했다"...방어 능력은 '바닥'

기업의 53%가 API 관련 봇 공격을 경험했으며, 44%는 이를 주요 보안 장애물로 인식하고 있다. 그러나 봇 트래픽 완화 능력을 "높음"으로 평가한 조직은 21%에 불과했다. 현재 기업들은 웹 애플리케이션 방화벽(52%), 콘텐츠 전송 네트워크(49%), API 엔드포인트 모니터링(48%) 등으로 대응하고 있다.

특히 악성 봇의 영향이 API 보안에 심각한 위협이 되고 있다. 일부 봇 트래픽은 정상적인 것이지만, 악성 봇은 API에 큰 부정적 영향을 미치는 것으로 나타났다. 기업들은 이에 대응하여 적극적인 차단 정책과 봇 트래픽 분석을 강화하고 있다.

"책임자가 없다" 13%...API 보안 투자는 '산발적'

API 보안 관리는 CIO/CTO(21%), 소프트웨어 개발 책임자(21%), CISO/CSO(17%) 등으로 분산되어 있으며, 13%는 명확한 책임자가 없는 상태다. 기업들은 생성형 AI 기반 애플리케이션과 API 보안에 투자를 확대하고 있으며, 주요 투자 목적으로는 민감 데이터 보호, 효율성 향상, 실시간 위협 탐지 등이 있다. 보안 예산 결정의 주요 동인은 규정 준수(52%), 투자수익(49%), 보안 위험 감소(49%), 비용 절감(45%) 순이다.

특히 생성형 AI 기반 애플리케이션의 경우, LLM API 트래픽에 대한 실시간 모니터링과 분석을 통해 새로운 위협을 신속히 탐지하고 대응하는 것이 중요한 투자 영역으로 부상했다. 또한 기업들은 API 보안 인력의 전문성 향상을 위한 교육 투자도 확대하고 있다.

"AI 시대의 새로운 위협"...전문가들이 제시하는 해법은?

현재 기업들은 암호화 및 서명(60%), 취약점 식별(52%), 기본 인증(52%) 등 다양한 보안 솔루션을 도입하고 있으나, 19%만이 이를 "매우 효과적"이라고 평가했다. 전문가들은 API 보안 강화를 위해 통합적인 보안 전략 수립, 전문 인력 확보, 지속적인 모니터링 체계 구축을 권장하고 있다. 특히 생성형 AI 도입이 가속화되는 상황에서, API 보안은 더 이상 선택이 아닌 필수 과제로 인식되어야 한다고 강조했다.

보고서는 특히 API 보안을 위한 통합적 접근 방식의 중요성을 강조했다. 여기에는 API 수명주기 전반에 걸친 보안 관리, 위험 기반의 우선순위 설정, 자동화된 보안 테스트 등이 포함된다. 또한 AI와 머신러닝을 활용한 보안 솔루션의 도입이 증가할 것으로 전망됐다.


해당 리포트의 원문은 링크에서 확인할 수 있다.

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.