[아이티데일리] 국내 금융 기관들이 디지털 전환을 가속화하는 가운데, 애플리케이션 프로그래밍 인터페이스(API) 보안에 대한 위험이 급속히 커지고 있어 대응 방안을 시급히 마련해야 한다는 지적이 나오고 있다. 오픈뱅킹과 클라우드 환경 확산 등의 변화가 빠르게 이뤄지는 상황에서 기존 보안 체계만으로는 복잡한 API 위협을 효과적으로 차단하기 어려운 상황이기 때문이다.

트레이서블의 2025년 글로벌 API 보안 보고서에 따르면, 응답 기업의 57%가 지난 2년간 API 관련 데이터 유출을 경험했으며, 이 중 73%는 3건 이상의 보안 사고를 겪은 것으로 조사됐다. 특히 API 보안 취약성은 단순한 기술적 문제를 넘어 기업 운영 전반에 심각한 영향을 미칠 수 있다는 점에서 금융 기관들은 더욱 주의할 필요가 있다. 

이데아텍 디지털금융사업부문 한준희 대표는 “보이지 않는 것을 보호할 수는 없다”며 “API에 대한 실시간 가시성은 금융 기관의 애플리케이션 및 API 동작을 실시간으로 모니터링하는 데 필수적”이라고 강조했다. 한 대표는 또 “애플리케이션 계층에서부터 API, 클라우드까지 아우르는 실시간 가시성을 기반으로 모든 공격 측면의 보안과 방어적인 보안을 통합하고, 전 경로에서의 보안 실행이 필요하다”고 설명했다.

최근 커지는 API 보안 위협의 심각성은 자료를 통해서도 확인되고 있다. 아카마이가 올해 4월 발표한 분석 내용에 따르면 2023년 1분기부터 2024년 4분기까지 웹 애플리케이션과 API를 표적으로 한 웹 공격이 140억 건에서 290억 건 이상으로 65% 증가했다. 또한 2024년에는 API 공격이 1,500억 건이나 발생한 것으로 집계돼 API가 명백한 최대 공격 표적 중 하나로 부상했음을 보여준다.

보안 업계 관계자는 “기존의 웹 애플리케이션 방화벽이나 콘텐츠 전송 네트워크 등 기존 보안 솔루션의 효과가 한계에 달한 것으로 나타나고 있다”며 “응답 기업의 19%만이 현재 사용 중인 보안 솔루션이 매우 효과적이라고 평가했고, 53%는 기존 솔루션이 API 계층에서의 사기 행위를 식별하고 방지하는 데 효과적이지 않다고 응답했다”고 지적했다.

특히 금융권에서 API 보안의 중요성이 더욱 부각되는 이유는 개인정보보호법, 지불카드 업계 정보보호 표준(PCI-DSS), OWASP API 시큐리티 톱 10 등 다양한 규제를 동시에 준수해야 하기 때문이다. 이데아텍 한준희 대표는 “오픈뱅킹 및 클라우드 연계 통합에서 발생하는 API 보안을 관리해야 할 필요가 있으며, 하이브리드 환경에서 실시간으로 위협을 식별하고 실시간으로 대응해 완화해야 한다”고 설명했다.

최근에는 생성형 인공지능(AI)의 도입이 API 보안의 새로운 보안 위험 요소로 부상하고 있기도 하다. 트레이서블의 조사에 따르면, 응답 기업의 65%가 “생성형 AI 애플리케이션이 API에 심각하거나 극심한 위험을 초래한다”고 답했다. 특히 생성형 AI 도입이 확산됨에 따라 API 통합 역시 늘어나는 현재 상황은 자연스럽게 공격 표면 확대로 이어지고 있으며, 이로 인해 민감 데이터 유출과 무단 접근에 대한 위험성도 크게 증가하고 있다는 우려가 제기된다.

이러한 위협에 대응하기 위해 전문가들은 포괄적인 API 보안 전략의 필요성을 강조한다. 한준희 대표는 “포괄적인 API 게이트웨이 및 API 관리가 필요하다”며 “제로 트러스트 보안을 위한 접근 요청을 지속적으로 검증하고, 마이크로세분화(Microsegment)를 적용하며, 클라우드 및 SaaS 연계를 자동화할 수 있는 규제 준수 및 리스크 모니터링 솔루션이 필요하다”고 말했다.

한 대표는 또 “API 보안은 단순한 네트워크 보호를 넘어선다. 보안이 취약한 소스 코드는 주입 공격, 데이터 유출 및 무단 접근에 API를 노출시킬 수 있다”며 “코드 리뷰, 소프트웨어 구성 분석 및 API 보안 테스트를 통해 강력한 보호가 가능하다”고 덧붙였다.

가트너의 최신 API 보호 시장 가이드에서도 API 검색 및 목록, API 보안 태세 관리, API 실시간 탐지 및 대응 등 세 가지 주요 기능을 중심으로 한 통합적 접근의 중요성을 강조하고 있다. 한준희 대표는 “API의 확산으로 인해 애플리케이션 빌드의 거의 모든 측면에서 통합이 필요해졌다”며 “금융 서비스 산업은 규제 준수 요구와 신뢰를 유지하기 위해 보안을 선도해야 한다. API 보안을 강화하면 지속적인 혁신과 보안 리스크 완화를 동시에 달성할 수 있다”고 강조했다.