여러분, 혹시 이런 생각 해보셨나요? 평소처럼 매끄럽게 돌아가는 애플리케이션, 그 뒤에서 사용자 데이터를 처리하는 API가 사실은 공격자들의 가장 뜨거운 공격 목표가 되고 있다는 사실을 말이에요.
API는 이제 모든 서비스의 핵심 통로가 되었습니다. 공격자들은 이 통로를 너무나 잘 파악했고, 이제는 정상적인 요청처럼 위장해서 시스템 깊숙한 곳까지 침투해 데이터를 훔쳐가고 자산을 탈취하고 있답니다. 정말 무서운 점은, 이 공격들이 기존 보안 시스템을 뚫고 들어온다는 거죠.
최근 Imperva의 보고서를 보니 충격적이었어요. 2025년 상반기에만 4,000개가 넘는 환경에서 40,000건 이상의 API 보안 사고가 포착되었다고 합니다. 심지어 금융 API를 노린 초당 1,500만 건의 애플리케이션 레이어 DDoS 공격도 포함되어 있었다니, 상상만 해도 아찔하죠?
가장 큰 문제는 이 공격들이 '너무나 정상적'이라는 거예요. 프로모션 코드를 무한정 재사용해서 할인 혜택을 챙겨가거나, 기프트카드를 무작위로 대입해 잔액을 털어가는 식이죠. 단순한 시그니처 탐지나 기본적인 속도 제한(Rate Limiting)으로는 이런 공격을 잡아낼 수 없어 피해만 커지고 있답니다.
이 보고서는 단순히 통계만 보여주는 게 아니에요. 우리 회사도 모르는 숨겨진 API(Shadow API)를 찾는 방법부터, 요청이 들어왔을 때 그 작업이 정말 합당한지 실행 시점까지 검증하는 방법까지 알려줍니다. 심지어 프로모션 사용량 같은 비즈니스 지표와 봇 방어를 연동해서 정상처럼 보이는 비정상 공격을 막는 방법까지 담겨 있다니, 당장 적용해봐야겠죠?
왜 공격이 성공하는지 그 원인을 짚어보면 세 가지 이유가 나옵니다. 첫째, 저렴한 도구로 수백만 건의 '정상' 요청을 대규모로 돌릴 수 있게 되었어요. 둘째, 봇들은 API 스펙을 정확히 따르기 때문에 WAF 같은 기존 방어 체계가 무용지물이 됩니다. 셋째, 관리 소홀로 파악 못 한 Shadow API나 엉성한 토큰 검증이 공격 경로를 활짝 열어줍니다.
넷째, 조회 API도 위험합니다. 무분별한 크롤링이나 프로모션 어뷰징을 막으려면 객체별 접근 권한을 세밀하게 적용해야 합니다. 다섯째, 시그니처 탐지만으론 부족해요. 런타임 스키마 검증, 행위 분석, 그리고 비즈니스 지표와 연동된 적응형 Bot 방어가 필요합니다.
공격 시나리오를 보면, 공격자들은 먼저 문서화되지 않은 엔드포인트를 스캔하는 정찰 단계부터 시작해요. Headless 브라우저와 프록시 봇넷을 이용해 사람처럼 행동하면서 파라미터를 조작하거나, 토큰을 재사용하는 방식으로 공격을 실행하죠. 최종 목표는 데이터 유출이나 금전 탈취입니다.
보안 성과도 이제는 다르게 측정해야 합니다. 문서화된 API 비율, 분기별 폐쇄된 Shadow API 수, 그리고 프로모션 어뷰징 감소율 같은 비즈니스 연관 지표를 꼭 모니터링해야 해요. 이런 지표를 통해 우리의 방어가 실제 비즈니스 위험을 얼마나 줄이고 있는지 확인할 수 있답니다.
더 자세한 통계 데이터와 구체적인 대응 템플릿이 필요하다면 Imperva API 위협 보고서를 꼭 다운로드해서 확인해보시길 추천드립니다! 그리고 이 모든 보안을 강력하게 뒷받침하고 싶다면, 클라우드부터 디바이스까지 민감 데이터를 안전하게 보호하는 탈레스의 솔루션을 검토해보세요. 탈레스는 귀사의 안전한 디지털 트랜스포메이션을 위해 존재합니다. 지금 바로 확인해보세요!
API보안 ShadowAPI 봇방어 애플리케이션보안 비즈니스로직공격 탈레스 Imperva보고서
