개발·운영환경 통합·자동화된 API 보안 지원

이 행사에서 가장 중요하게 다뤄진 주제는 API 보안이다. 첫번째 키노트 세션을 맡은 이진원 F5 APCJ 보안 솔루션 아키텍트는 올해 초 발생한 대규모 보안사고의 예를 설명하면서 API 보안의 중요성을 설명했다. 이 사고를 당한 기업은 Saas 기반 인증 서비스로 관리되는 5000여개의 서비스 계정을 운영하고 있었는데, 공격자가 그 중 생산성 기반 앱, 소스코드 관리 앱, 프라이빗 AI를 위한 앱의 계정을 탈취했다. 이 세 계정은 앱투앱 연결 계정으로 주로 API를 이용해 통신했다. 공격자는 훔친 권한을 이용해 API를 통해 내부 학습데이터, 고객정보 등 중요한 정보를 훔쳤다.

이진원 아키텍트는 “이 사고를 통해 알 수 있는 것은, API를 통한 심각한 보안사고 위협이 매우 높다는 사실과 대부분의 기업이 API 가시화와 보안관리를 하지 못하고 있다는 사실”이라며 “API 관리가 잘 되어 있다고 자신하는 기업도 API를 제공하지 않거나 오래된 앱의 API는 관리하지 못하는 것이 현실”이라고 지적했다.
 

F5의 API 보안은 자동화된 API 식별과 구성오류, 취약점 탐지, 침투테스트 등의 기술을 이용해 API 악용 위협을 제거한다.

이어 두번째 키노트 세션을 맡은 샤인 싱(Shain Singh) 수석 보안 아키텍트는 F5가 인수한 윕과 헤이핵 기술을 이용해 애플리케이션 수명주기의 가장 왼쪽 개발단계부터 가장 오른쪽 운영단계까지 중단없이 API를 보호, ‘API 퍼스트’ 전략을 이행할 수 있게 한다.

그는 “API 보안에 높은 관심이 있는 기업이라해도, 3개월에 한 번 API 침투테스트를 하고, 테스트 결과를 평가해 대응해야 할 취약점에 대해 패치를 만들도록 개발팀에 요구한다. 보통 클라우드에서는 2주에 한번씩 앱을 릴리즈하는데, 패치가 개발될 때는 10개 이상 앱이 배포된 상황으로, 그 동안의 제로데이 공격을 막지 못한다”고 지적했다.

그는 이어 “F5의 API 보안 기술은 클라우드 개발 환경에 완벽하게 통합, 자동화되어 개발중인 앱의 API 보안 문제를 해결하는 한편, 운영중 앱의 API 취약점은 자동화된 침투테스트를 통해 찾아 해결할 수 있다”며 “F5는 개발자의 업무를 증가시키지 않으면서 개발부터 운영까지 실시간 API 보안 문제를 해결할 수 있다”고 설명했다.


 

AI 활용 웹 보호·운영 기술 소개

한편 이날 행사에는 200여명의 F5 사용자가 참여했으며, API 보안과 함께 하이브리드·멀티 클라우드 환경의 애플리케이션 보안 전략, AI를 활용한 엔진엑스 관리 솔루션 ‘엔진엑스 원’에 대한 상세한 설명이 이어졌다.

아담 주드(Adam Judd) F5 아시아태평양 지역 총괄 부사장은 행사 개회사를 통해 “마이크로서비스와 쿠버네티스는 클라우드를 더 빠르게 운영할 수 있게 돕는다.
F5는 그동안 고객의 다양한 환경에서 미션크리티컬 앱을 포함한 모든 앱을 지원해왔으며, 그 기술을 탑재한 새로운 플랫폼을 공개했다.
F5는 한국 고객이 하이브리드 클라우드를 단순하면서 안전하게 운영할 수 있도록 돕겠다”고 말했다.