API 보안

✅ API(Application Programming Interface) : 소프트웨어 간에 데이터를 주고 받을 수 있도록 하는 규칙이나 프로토콜

 

✅ API 보안 : API를 악의적인 공격, 데이터 유출, 무단 액세스로부터 보호하는 것

 

✅ 관련 취약점 :

• API 권한이 있는지 없는지 모름
• 봇인지, 사람인지 식별하지 못해 API 권한을 넘겨줌
• 봇이 API 권한을 요청해도 그냥 넘김

→ 기업에서 API 테스트 및 보안 취약점 점검을 놓쳐 해킹에 취약해짐

✅ API 보안의 기본은 웹 애플리케이션 보안

• buffer overflow, injeciton, XSS 등 공격대응
• 민감정보 유출방지, 허용/차단 리스트 관리, 접근로그 관리, 크리덴셜 스터핑 공격 차단 등

 

✅ 대응 방안

• API 토큰 인증 / 무결성 검사
  • JSON 사용 > JWT(JSON Web Token) 의 무결성 검증
• JSON 요청 필드 검사
  • 클라이언트로부터 수신된 요청의 필드 검사
• mTLS
  
  • 기존의 TLS가 클라이언트가 서버를 확인
  • mTLS는 한 단계 나아가 클라이언트가 서버를 확인 + 서버가 클라이언트를 확인