2025 Global State of API Security Report
API 보안 현황, 여전히 ‘비상등’ 켜진 상태
글로벌 API 보안 기업 트레이서블(Traceable)이 발표한 ‘2025 글로벌 API 보안 보고서’에 따르면, 기업들의 API 보안 상태가 여전히 취약한 것으로 나타났다. 조사 대상 기업의 57%가 지난 2년간 API 관련 데이터 유출을 경험했으며, 이 중 73%는 3건 이상의 보안 사고를 겪은 것으로 조사됐다. 특히 41%의 기업이 5건 이상의 침해 사고를 경험한 것으로 나타나, API 보안의 시급성이 더욱 부각됐다. 이러한 수치는 기업들의 API 보안 체계가 여전히 미흡하며, 보다 강력한 보안 대책이 필요하다는 것을 시사한다.
기존 보안 솔루션의 한계와 새로운 도전
웹 애플리케이션 방화벽(WAF)이나 콘텐츠 전송 네트워크(CDN) 등 기존 보안 솔루션의 효과가 미미한 것으로 나타났다. 응답 기업의 19%만이 현재 사용 중인 보안 솔루션이 ‘매우 효과적’이라고 평가했으며, 53%는 기존 솔루션이 API 계층에서의 사기 행위를 식별하고 방지하는 데 효과적이지 않다고 응답했다. 특히 API 보안 솔루션의 실효성에 대한 낮은 평가는 현재 사용되고 있는 보안 시스템의 한계를 여실히 보여주고 있다.
더욱 우려되는 점은 조직들이 평균적으로 API의 38%만을 지속적으로 취약점 테스트를 수행하고 있다는 것이다. 이는 대다수의 API가 적절한 보안 검증 없이 운영되고 있음을 의미한다. 또한 조직들은 API 공격의 평균 24%만을 예방할 수 있다고 응답해, 현재의 보안 체계로는 대부분의 위협에 효과적으로 대응하지 못하고 있는 실정이다.
생성형 AI 도입에 따른 새로운 보안 위험
보고서는 생성형 AI 애플리케이션의 도입이 새로운 보안 위험을 초래하고 있다고 지적했다. 응답 기업의 65%가 생성형 AI 애플리케이션이 API에 ‘심각하거나 극심한 위험’을 초래한다고 답했다. 특히 생성형 AI 도입으로 인한 API 통합 증가는 공격 표면을 확대시키는 것으로 나타났으며, 이로 인한 민감 데이터 유출과 무단 접근 위험이 크게 증가하고 있다는 우려가 제기됐다. 전체 응답 기업의 60%가 이러한 보안 위험에 대해 깊은 우려를 표명했다.
더불어 기업들의 67%가 현재 생성형 AI를 도입했거나 도입을 계획 중이라고 응답해, 이로 인한 보안 위험이 더욱 증가할 것으로 예상된다. 생성형 AI 애플리케이션과 관련된 주요 보안 우려사항으로는 API 통합 증가로 인한 공격 표면 확대(60%), 생성형 AI 서비스로의 API 호출을 통한 데이터 유출 가능성(60%), 민감한 데이터에 대한 무단 접근(60%) 등이 지목됐다.
봇 공격과 사기 행위의 급증과 대응 과제
API 보안을 위협하는 또 다른 주요 요소로 봇 공격과 사기 행위가 심각한 문제로 대두되고 있다. 조사 결과에 따르면 53%의 기업이 API 관련 봇 공격을 경험한 것으로 나타났으며, 44%의 기업이 봇 공격 대응을 주요 과제로 인식하고 있다. 또한 사기 행위는 API 관련 데이터 유출의 두 번째로 흔한 원인으로 지목되어, 기업들의 보안 체계에 심각한 위협이 되고 있는 것으로 분석됐다.
특히 DDoS 공격이 API 관련 데이터 침해의 주요 원인으로 지목되었으며, 전체 응답자의 38%가 이를 경험했다고 답했다. 이는 기존의 보안 솔루션들이 이러한 유형의 공격을 효과적으로 방어하지 못하고 있음을 보여준다.
트레이서블의 리처드 버드(Richard Bird) 최고보안책임자(CSO)는 “API 침해가 만연하고 업계는 이를 부인하고 있다”며, “조직들이 웹 애플리케이션 방화벽, API 게이트웨이, 수명 주기 도구와 같은 동일한 솔루션을 계속 배포하고 있지만, 실제로 성공했다고 보고하는 경우는 극히 드물다”고 지적했다. 또한 “이러한 인지적 불협화음은 시한폭탄과 같다”며, “현재의 API 보안 전략은 부적절하며, 근본적인 변화 없이는 침해와 그에 따른 피해가 계속 확대될 것”이라고 경고했다.
이번 보고서는 향후 12~24개월 동안 API 위험이 더욱 증가할 것으로 전망하고 있어, 기업들의 보다 적극적인 보안 대책 마련이 시급한 것으로 나타났다. 특히 기업들은 API 보안을 위한 전담 솔루션 도입과 함께, 생성형 AI 도입에 따른 새로운 보안 위험에 대한 대비책 마련이 필요할 것으로 보인다.
기사에 인용된 리포트 원문은 링크에서 확인할 수 있다.
관련 콘텐츠 더보기
