모던 애플리케이션 공격 표면의 보안성을 한층 끌어올리기 위한 신기술이 공개됐다. 애플리케이션 보안 전문 스타트업 디텍티파이(Detectify)가 자사의 애플리케이션 보안(AppSec) 플랫폼에 ‘API 스캐닝’ 기능을 새롭게 추가했다. 이번 확장 기능은 점점 복잡해지는 API 기반 현대 애플리케이션 환경에서 발생하는 취약점 탐지 및 대응의 효율을 혁신적으로 높이는 데 초점을 맞췄다.
오늘날 많은 기업이 API를 중심으로 서비스를 구성하지만, API 목록조차 불완전하거나 문서화가 미흡한 경우가 빈번하다. 여기에 지급 결제 데이터 보안 기준(PCI DSS), SOC 2 등 다양한 컴플라이언스 프레임워크가 API 보안 스캐닝을 요구하고 있어, 보안팀은 명확한 가이드 없이 콘텐츠와 구조가 불분명한 API 환경을 대응해야 하는 과제를 안고 있다.
디텍티파이의 API 스캐너는 이러한 문제를 해결하기 위해 사용자 업로드 데이터와 시스템이 자동 식별한 API 엔드포인트 정보를 통합해 단일화된 인벤토리와 위협 식별 정보를 제공한다. 이를 통해 보안 담당자는 전체 API 공격 표면의 취약점 진단을 구조적이고 효율적으로 수행할 수 있다.
또한 이번에 도입된 API 스캐너는 매 스캔마다 공격 페이로드를 무작위로 변화시키는 AI 기반 동적 페이로드 생성 기능을 탑재했다. 정형화된 정적 방식이 아니라 실행마다 조합이 다르게 구성돼 항상 새로운 공격 시나리오를 테스트할 수 있다는 점이 특징이다.
테스트 범위 또한 압도적 규모를 자랑한다. 명령어 삽입(Command Injection)에 대해서만 33만 개 이상의 페이로드가 사용되며, 프롬프트 인젝션 탐지용 페이로드는 무려 922퀸틸리언(922경 곱하기 1억 배 이상)에 달하는 수준이다. 그 외에 SQL 인젝션, NoSQL 인젝션, 크로스사이트 스크립팅(XSS), 역직렬화 취약점 등 핵심 애플리케이션 위협 탐지가 가능하며, OWASP API Top 10 등 국제 보안 기준도 광범위하게 커버한다.
릭카르드 칼손(Rickard Carlsson) 디텍티파이 CEO는 “모든 현대 디지털 서비스의 핵심이 된 API 보안을 더 이상 선택이 아닌 생존 전략의 일부로 받아들여야 한다”며 “우리가 새롭게 선보인 다이내믹 API 스캐너는 자산 분류 기능 및 지능형 스캔 추천과 함께 업계에서 가장 완성도 높은 공격 표면 인텔리전스를 제공한다”고 강조했다.
디텍티파이는 현재까지 다섯 차례 투자 유치에서 약 4,210만 달러(약 606억 원)를 확보한 바 있으며, 핵심 투자사로는 인사이트 벤처 파트너스, 발더턴 캐피탈(영국), 인벤처, 퍼스트 펠로우 파트너스, 스퀘어원 앱 등이 참여했다. 스타트업이지만 고도화된 API 보안 기술로 업계의 주목을 받고 있는 상황이다.
API가 기업 IT 인프라의 중추로 자리 잡은 지금, 디텍티파이의 이번 플랫폼 확장은 애플리케이션 보안 내 패러다임 전환의 신호탄이 될 수 있다는 평가가 나온다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>