뫼동, 프랑스--(뉴스와이어)--어디에서든 중요한 애플리케이션, API, 데이터를 효율적으로 보호하는 사이버 보안 분야의 리더인 탈레스(Thales)가 ‘API 및 봇 공격의 경제적 영향(Economic Impact of API and Bot Attacks)’ 보고서를 발표했다. 16만1000건 이상의 사이버 보안 사고를 분석한 결과, 취약하거나 안전하지 않은 API 및 봇에 의한 자동화 악용이 증가하고 있으며, 이 두 가지 보안 위협은 점점 더 상호 연결되어 만연하고 있는 것으로 나타났다. 이 보고서에 따르면 전 세계적으로 API 보안 취약점 및 봇 공격으로 인한 기업 손실은 최대 1860억달러[1]에 달하는 것으로 추산된다.
보고서는 마시 맥레넌 사이버 리스크 인텔리전스 센터(Marsh McLennan Cyber Risk Intelligence Center)의 연구를 기반으로 작성되었는데, 이 연구에 따르면 규모가 큰 조직일수록 보안에 취약한 API와 봇 공격이 모두 연루된 보안 사고 발생 비율이 통계적으로 더 높을 가능성이 크다. 매출 10억달러 이상인 기업은 중소기업보다 봇에 의한 자동화 API 악용을 경험할 가능성이 2~3배 더 높았다. 대기업은 노출되거나 안전하지 않은 API를 포함하는 복잡하고 광범위한 API 생태계 때문에 봇에 의한 자동화 API 악용과 관련된 보안 위험에 특히 취약함을 이 연구는 시사하고 있다.
기업들은 다양한 애플리케이션과 서비스 간의 원활한 커뮤니케이션을 구현하기 위해 API에 크게 의존한다. 임퍼바 위협 보고서(Imperva Threat Research) 팀의 데이터에 따르면 작년에 평균 기업이 관리한 운영 환경의 API 엔드포인트는 613개로 나타났다. 기업들이 더욱 민첩하고 효율적으로 디지털 서비스를 제공해야 한다는 압박이 가중되면서 그 숫자가 빠르게 증가하고 있다.
이러한 의존도 증가와 민감한 데이터에 대한 직접 액세스 때문에 API는 봇 작업자에게 매력적인 타깃이 되었다. 임퍼바 위협 보고서의 데이터에 따르면 2023년 봇에 의해 생성된 자동화 위협은 전체 API 공격의 30%를 차지했다. 현재 봇에 의한 자동화 API 악용으로 인해 조직들이 지불하는 비용은 연간 최대 179억달러에 달한다. 운영 환경의 API 수가 크게 증가함에 따라 사이버 범죄자들은 API 비즈니스 로직을 찾아 악용하고 보안 조치를 우회하며 민감한 데이터를 유출하는 데 점점 더 자동화 봇을 사용하게 될 것이다.
탈레스 자회사 임퍼바의 애플리케이션 보안 총괄 매니저인 난히 싱(Nanhi Singh)은 “전 세계 기업들은 안전하지 않은 API와 봇 공격으로 인한 보안 위험을 반드시 해결해야 한다. 해결하지 못한다면 상당한 경제적 부담에 직면하기 때문이다. 이러한 위협은 특성상 상호 연결되어 있으므로 기업들은 전체론적 접근 방식을 취하여 봇 공격과 API 공격 모두에 대한 포괄적인 보안 전략을 통합해야 한다”고 말했다.
보고서에서 확인된 주요 트렌드는 다음과 같다.
· API 채택과 사용 증가로 늘어나는 공격 표면: API의 빠른 채택, 많은 API 개발자의 경험 부족, 보안팀과 개발팀 간의 협업 부족 등의 요인으로 인해 발생하는 안전하지 않은 API로 인한 손실이 연간 최대 870억달러에 달하며, 이는 2021년보다 120억달러가 증가한 수치이다.
· 조직의 수익에 부정적인 영향을 미치는 봇: 공격 도구와 생성형 AI 모델의 가용성이 확산되면서 봇 회피 기술이 향상되었고, 숙련도가 낮은 공격자들조차 정교한 봇 공격을 수행할 수 있게 되었다. 연간 최대 1160억달러의 손실이 봇에 의한 자동화 공격으로 인해 발생할 수 있다.
· API 및 봇 관련 보안 사고 빈도 증가: 2022년에 API 관련 보안 사고는 40% 증가했고, 봇 관련 보안 사고는 88%까지 치솟았다. 디지털 거래의 증가, API 사용의 확대, 러시아-우크라이나 분쟁과 같은 지정학적 긴장 등으로 이와 같은 증가세가 나타났다. 그 다음 해인 2023년에는 디지털 트래픽이 안정되기 시작했고 팬데믹으로 인한 인터넷 활동의 급증이 누그러지면서 이러한 사고의 발생 빈도가 완화되었다. API 관련 보안 사고는 9% 증가했고, 봇 관련 보안 사고는 28% 증가했다. 공격의 전반적인 증가 추세는 이러한 위협의 지속성과 빈도가 증가하고 있음을 강조한다.
· 대기업에 심각한 위협이 되는 안전하지 않은 API와 봇 공격: 매출 1000억달러 이상인 기업은 안전하지 않은 API 또는 봇 공격과 관련된 보안 사고를 겪을 가능성이 가장 높다. 이러한 종류의 위협은 이러한 대기업이 경험하는 전체 보안 사고의 최대 26%를 차지한다.
· API 및 봇 공격에 취약한 전 세계 국가들: 안전하지 않은 API 또는 봇 공격과 관련된 사건의 비율이 가장 높은 국가는 브라질이었고, 이러한 위협이 관찰된 모든 보안 사건의 최대 32%를 차지했다. 프랑스(최대 28%), 일본(최대 28%), 인도(최대 26%)가 바로 그 뒤를 이었다. 미국에서는 API 및 봇 관련 보안 사고로 인한 사건의 비율이 더 낮았지만, 취약한 API 또는 봇의 자동화 악용과 관련하여 보고된 모든 사건의 66%가 미국 내에서 발생했다.
난히 싱은 “API에 대한 의존도는 계속 기하급수적으로 증가하면서 생성형 AI 애플리케이션과 대규모 언어 모델에 대한 연결을 촉진할 것이고, 이와 동시에 생성형 AI는 사이버 범죄자들이 놀랄 만큼 가속된 속도로 정교한 봇을 만들 능력을 주게 될 것”이라며 “API 생태계가 확장되고 봇이 더욱 발전하고 있으므로 조직들이 선제적인 조치를 취하지 않는 한 봇의 자동화 API 악용으로 인한 경제적 영향은 크게 증가할 것으로 예상된다”고 말했다.
추가 정보:
· API 및 봇 관련 보안 사고가 비즈니스에 미치는 영향에 대한 추가 인사이트를 확인하려면 ‘API 및 봇 공격의 경제적 영향’ 보고서를 다운로드하면 된다.
· 임퍼바의 지능형 봇 보호(Advanced Bot Protection) 및 API 보안(API Security)이 비즈니스 크리티컬 트래픽의 흐름에 영향을 미치지 않으면서 자동화된 공격에서 웹사이트, 애플리케이션 및 API를 보호하는 방법을 알아볼 수 있다.
· 임퍼바 블로그(임퍼바, 탈레스 계열사)에서 최신 제품 및 솔루션 소식과 임퍼바 위협 보고서의 위협 인텔리전스를 읽어보면 된다.
탈레스 소개
탈레스(유로넥스트파리: HO)는 국방 및 보안, 항공 및 우주, 디지털 신원 및 보안의 세 가지 비즈니스 영역을 전문으로 하는 첨단 기술 분야의 글로벌 리더이다.
더 안전하고 친환경적이며 포용적인 세상을 만드는 데 도움이 되는 제품과 솔루션을 개발한다.
그룹은 특히 AI, 사이버 보안, 양자 기술, 클라우드 기술 및 6G와 같은 핵심 혁신 분야의 연구 개발에 연간 약 40억유로를 투자한다.
탈레스는 68개국에 8만1000명에 가까운 직원을 보유하고 있다. 2023년에 이 그룹은 184억유로의 매출을 달성했다.
자세한 정보
[1] 전체 합계에는 API와 봇 관련이 모두 관련된 사건이 중복 계산되지 않는다.
사진/멀티미디어 자료: https://www.businesswire.com/news/home/54123482/en
이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.