"기업 API 보안, 계정·개발자 관리 필수"

해외서는 구글, 아마존 등 인터넷기업들이 활용해 온 API가 일반 기업들에게까지 적용되는 사례들이 늘고 있다.

기업들이 가진 DB 중 일부를 임직원들이나 협력사와 공유하는 용도로 API를 활용한 애플리케이션을 만드는 경우가 많아지고 있기 때문이다. 생명보험사 직원들이 태블릿을 활용해 고객들에게 보험상품을 설명하고, 직접 가입까지 할 수 있게 한 것이 대표적이다. 이전과는 달리 스마트폰과 태블릿 등을 통해 업무를 볼 수 있는 환경에서는 API의 필요성이 더 강조될 것이란 전망도 있다. 이에 따라 API는 보안 관점에서도 관전 포인트가 됐다.

최근 서울 삼성동에서 만난 스티브 파이어스톤 CA테크놀로지스 보안담당 총괄책임자는 API가 확대될 수록 API에 대한 보안은 비즈니스 보호를 넘어 비즈니스를 촉진하는 역할을 하게될 것이라고 밝혔다.CA에 따르면 API는 크게 3가지로 구분된다. 먼저 오픈API는 해당 기업 내 개발자는 물론, 외부에도 공개되는 애플리케이션 개발을 위한 도구다. 스마트폰의 경우 네이버, 다음, 구글이 제공하는 지도 서비스를 여러 앱에서 구동하는 것도 모두 DB를 연동할 수 있는 오픈API가 제공되고 있다.

기업의 경우 협력사들에게 기업 내 재고정보 등 일부 협력에 필요한 내용들만 공유하는 '파트너 API'와 함께 기업 내 여러 부서들이 중요한 내부 데이터에 접근할 수 있는 채널을 '프라이빗 API(Private API)'를 통해 구축하는 경우도 있다. 이를 테면 대기업에서 다루는 고객/상품정보와 같은 기본데이터에 접근할 수 있는 프라이빗 API를 만들어 타부서들이 활용할 수 있게 한 것이다.

파이어스톤 보안담당 총괄은 적절한 보안이 유지된 API를 배포하면 조직 내 여러 곳에서 더 빠르게 필요한 애플리케이션을 개발해 활용할 수 있다는 점에서 비즈니스에도 도움을 줄 수 있다고 밝혔다.

CA는 지난해 3분기 시장조사업체 포레스터 웨이브가 조사한 API 관리 부문에서 리더기업으로 꼽혔다.

이 회사에 따르면 API 보안에서 가장 중요한 것은 계정관리다. 어떤 사용자가 API를 활용해 DB를 조회하고 있는지에 대한 정보를 확인하는 것은 물론 직접 API와 연동된 애플리케이션을 만드는 개발자에 대한 관리도 필수다. 파이어스톤 부샂 CA의 경우 'CA 시큐어 센터'라는 API 보안 플랫폼을 통해 이러한 문제를 해결할 수 있도록 했다고 밝혔다.

그는 API는 계정관리, 애플리케이션 보안제어, 기업 내외부 보안성 확보, 클라우드 애플리케이션을 활용하기 위한 일종의 접착제 역할을 하고 있다고 강조했다.

이를 보호하기 위한 개발자, 사용자의 계정을 모니터링해 접근권한이 없는 사람들의 접근을 막을 수 있어야 한다고 그는 설명했다. 특히 기업 내에서 민감하게 다뤄지는 의료정보나 금융정보 등 개인정보나 사내 기밀정보 등에까지 접근을 허용할 수 있는 API에 대해서는 추가인증을 요구하거나 한번 체크아웃한 뒤에 재접속하도록 하는 등의 보안장치를 마련할 필요가 있다고 밝혔다.

지난해 발생한 내부자를 통한 정보유출 사건에서 보듯 퇴사자의 계정으로 여전히 기업 내부 시스템에 접속을 허용하는 문제를 해결하기 위해서는 계정이 생성돼 활용되고, 필요가 없어져 폐기되기까지의 전체 라이프사이클을 관리해야 한다.

이와 관련 CA는 마이크로소프트 애저를 포함한 대부분의 클라우드 인프라와 함께 주요 스마트폰, 사물인터넷(IoT), 전통적인 리눅스나 메인프레임에서까지 계정을 관리할 수 있다는 점을 강점으로 내세웠다.