✅ 1. API Security란?
**API Security(응용 프로그램 인터페이스 보안)**는
애플리케이션 간 통신에 사용되는 API를 외부 공격으로부터 보호하고,
인증, 권한 관리, 데이터 보호, 비정상 요청 탐지 등을 통해
API를 안전하게 운영하는 기술과 전략을 말합니다.
✅ 2. 왜 중요한가?
🔸 API가 점점 많아지는 이유
- 웹/모바일 앱, 클라우드 서비스, IoT까지 모두 API 중심 아키텍처
- 특히 RESTful API는 단순하고 접근이 쉬워서 공격 대상이 되기 쉬움
🔸 공격받기 쉬운 이유
- 외부 공개가 필수 (ex: 클라이언트 앱과 서버 통신)
- 인증 미흡, 과도한 응답 정보, 개발자 실수 등 취약점 노출 가능성 多
✅ 3. 대표적인 API 공격 유형 (OWASP API Top 10 중 일부)
| Broken Object Level Authorization (BOLA) | 인증은 되었지만 권한 없는 리소스 접근 |
| Broken User Authentication | 인증 우회, 세션 탈취 등 |
| Excessive Data Exposure | 응답에 불필요한 민감 정보 포함 |
| Mass Assignment | JSON 요청 시 의도하지 않은 속성 조작 |
| Injection (SQL/Command) | 입력값 필터링 없이 실행됨 |
| Rate Limiting 없음 | 봇 공격, API abuse에 취약 |
✅ 4. API Security의 구성 요소
| 인증(Authentication) | OAuth2.0, JWT 등으로 사용자의 신원 확인 |
| 인가(Authorization) | RBAC, ABAC 기반으로 리소스 접근 권한 부여 |
| 속도 제한(Rate Limiting) | 사용자당 요청 수 제한, DoS 방지 |
| 입력 검증(Input Validation) | 악의적 파라미터 차단 (SQL Injection 등) |
| 암호화 | HTTPS 통신 필수, 민감 데이터 암호화 저장 |
| 로깅 & 모니터링 | 이상 트래픽 탐지, 감사 로그 기록 |
| API Gateway | 인증, 트래픽 제어, 정책 관리 담당 |
✅ 5. 인증 방식 요약
| API Key | 간단하지만 취약함, 권장되지 않음 |
| OAuth 2.0 | 토큰 기반 인증, 3rd-party 서비스에 적합 |
| JWT (JSON Web Token) | 토큰 자체에 인증 정보 포함. 서버 세션 유지 불필요 |
| Mutual TLS | 양방향 인증. 서버-클라이언트 모두 인증서 필요 |
✅ 6. API Gateway란?
API Gateway는 모든 API 트래픽이 지나가는 중앙 보안/제어 지점입니다.
역할:
- 인증/인가
- Rate limiting
- CORS 설정
- 로깅
- 캐싱
예시: Kong, AWS API Gateway, NGINX, Apigee, Istio
✅ 7. 실무 예시
- 로그인 API에 JWT 기반 인증 적용 + Rate Limiting 설정
- 결제 API는 Mutual TLS로 강화
- 고객 정보 조회 API는 응답에 필요한 데이터만 반환하고 나머지는 마스킹
- API Gateway 통해 OAuth 인증 + 이상 요청 탐지
✅ 8. 면접용 요약 멘트 예시
“API Security는 단순히 키를 발급해서 쓰는 게 아니라, 인증/인가, 입력 검증, Rate Limiting, 그리고 Gateway를 통한 접근 제어 등 다양한 보안 요소를 종합적으로 적용해야 합니다. 특히 OWASP API Top 10의 주요 공격 벡터에 대한 이해가 중요하며, 저는 JWT 기반 인증과 Gateway를 통한 제어 흐름에 대해 학습 중입니다.”
'보안' 카테고리의 다른 글
| NAC, MFA (1) | 2025.05.11 |
|---|---|
| Zero Trust (0) | 2025.05.10 |
| SSL VPN (0) | 2025.05.10 |
| VPN 종류 (0) | 2025.05.10 |
| SSL VPN, Zero Trust, API Security (0) | 2025.05.10 |