-
-
API 보안 전략 - 일찍 시작하고 끝까지 지키는 안전한 소프트웨어 개발을 위한 필수 방어 기술
콜린 도모니 지음, 류광 옮김 / 정보문화사 / 2024년 8월
평점 : 
소프트웨어를 개발할때 보안은 매우 중요합니다. 이는 프로그램개발만큼이나 중차대한 일이 보안일수밖에 업습니다. 보안이 뚫리면 개인정보뿐만 아니라 소프트웨어기능까지 마비될 수있기때문입니다. 특히 최근에는 API를 통해 정보를 교환하기 때문에 API보안은 매우 중요해졌습니다. 이를 제대로 안하면 데이터유출사고, 랜섬웨어사고 등이 수시로 발생할수 있고 API자체가 조직의 데이터, 네트워크, 트랜젝션이 인터넷을 통해 해커들의 공격의 대상이 됩니다. <API보안전략>은 API보안기초, API공격기법, 도구등 마지막으로는 실제적인 API방어기법을 알아봅니다.
저자는 콜린 도모니 42크런치(Crunch) 보안연구원이라고 합니다. 영국인이고 소프트웨어공학자이자 작가시기도 한거죠.
초연결 디지털 세상에서는 시스템과 서비스를 연결할 때 무조건 API를 사용하는 것이 국률이죠. 그러다보니 API수가 급증하고 있습니다. 이러다보니 해킹사고가 너무 빈번해졌습니다. 공격이 681%증가했다고 합니다. 개발자도 개발뿐아니라 보안에도 많은 신경을 써야 할때입니다. 보호해야 할 부분은 속도제한, 암복호화, 해시, HMAC,서명,전송보안, 인코딩 등을 중시해야합니다. API보안을 위해서는 API의 구조와 인증 등을 알아야 하고 API취약점들을 설명합니다. OWASP 10대 보안위험의 취약점을 정리합니다. OWASP는 개방형 전 세계응용프로그램 보안 프로젝트라고 합니다. 그리고 침해사례까지 API보안에 관한 중요부분을 대부분 집었다보고 볼수있습니다.
API가 무엇이고 보안의 취약점을 알았다면 본격적으로 API공격을 알아야 합니다. 어디를 공격할 까요.API상호작용, 트래픽을 가로채고, API키, API종단점 퍼징, 메서드, 관련 패스워드, JWT크래킹 등이 있습니다. 이들을 공격하는 기법들을 수동적공격과 능동적 공격으로 나눠서 설명합니다. 마지막은 API방어부분입니다. 책의 반을 여기다 투자를 합니다. 책제목그대로 방어기술을 소개하는 것이라 당연하겠죠. 가장 중요한 것은 처음부터 공격당하지 않게 하는거죠. 설계우선에는 API우선, 설계우선, 코드우선 등이 포함됩니다. 그리고 API공격에 대해서 API보안의 자동화를 할수있다고 합니다.
읽으면서 매우 논리적으로 저술되었다는 걸 알수가 있습니다. API보안에 대해 설명하고 API공격을 살펴본 후 API보안방법을 자세히 설명합니다. API보안을 공부하면서 API가 무엇인지 구조도 알아보고 어떻게 설계를 하는것이 안전하게 구조화하는것인지 알게 됩니다. API보안뿐만 아니라 API를 역으로 공부할 수있는 기회가 되었습니다. 독자의 이해를 돕기위해 장시작시 설명내용을 정리하고 실제 코딩을 할 수있게 했으며 이번장요약과 더 읽을 거리를 통해 더 공부할 수있도록 해두었습니다. 내용도 다양한 실전사례를 통해 현실적으로 API보안을 할 수있도록 해서 개발자와 보안전문가 모두 만족할 내용을 완성했다는 생각입니다. 그러나 내용은 어렵습니다만 API보안이 어렵다는 생각을 조금이나마 완화했다는데 찬사를 보냅니다.
