API 인증 무방비…인트루더, 취약점 자동 탐지 오픈소스 툴 공개

애플리케이션 보안 전문 기업 인트루더(Intruder)가 API 취약점을 자동으로 찾아내는 오픈소스 도구 ‘오토스웨거(AutoSwagger)’를 무료로 공개했다. 이 툴은 OpenAPI로 문서화된 API를 스캔해 인증이 제대로 적용되지 않은 취약점을 탐지하고, 인증 없이 접근 가능한 민감한 엔드포인트를 식별하는 데 중점을 둔다.

인트루더는 이번 도구 출시를 통해 API 인증 오류로 인한 데이터 유출이 급격히 늘고 있다는 문제를 정면으로 다뤘다. 버라이즌(Verizon) 보고서에 따르면 API 관련 보안 사고는 전년 대비 약 40% 증가했다. 기업마다 신규 API를 잇달아 배포하는 가운데, 이러한 인증 결함은 해커들이 손쉽게 노릴 수 있는 핵심 약점으로 떠오르고 있다. 기존의 API 보안 점검 도구는 가격이 비싸거나, 인간 분석가의 수동 작업에 의존하는 경우가 많아 효율성에서 한계가 있다. 인트루더는 오토스웨거가 이러한 문제점을 해결할 수 있는 최초의 무료 대안이라고 강조했다.

인트루더의 창업자 겸 CEO인 크리스 월리스(Chris Wallis)는 “기본적인 인증도 무너지기 쉬운 구조인데, 이를 방치한 채 새로운 엔드포인트만 빠르게 배포하는 상황이 반복되고 있다”며 “누구나 쉽게 사용할 수 있게 만들었기 때문에 현업 개발팀이 공격자보다 먼저 취약점을 발견할 수 있도록 무료로 공개한다”고 말했다.

실제로 이 도구는 초기 테스트 과정에서 업계 대기업의 민감 정보 노출 사례를 확인했다. 글로벌 기술기업의 세일즈포스(Salesforce) 계정 내에서는 개인 식별 정보가 담긴 레코드가 무방비로 노출됐고, 다국적 식음료 회사의 내부 직원 교육 데이터베이스에서도 인증 없이 접근 가능한 알고리즘이 발견됐다. 해당 정보는 스피어 피싱 공격에 악용될 수 있는 수준이었다.

오토스웨거는 조직의 도메인을 기반으로 API 스키마를 다양한 형식과 위치에서 수집하고, 자동으로 스웨거(Swagger) 혹은 OpenAPI 문서 페이지를 탐색한다. 이후 엔드포인트 목록을 생성하고, 문서 정보에 기반한 유효한 매개변수를 활용해 각 API에 요청을 전송한다. 정상적인 액세스 제한이 작동할 경우 HTTP 401 또는 403 에러가 발생해야 하지만, 그렇지 않고 성공 응답이 돌아오는 경우 인증 취약점이 있다고 판단해 이를 플래그로 표시한다.

또한 이 도구는 인증 없이 접근 가능한 엔드포인트에서 개인정보, 계정 정보, 내부 기록 등 민감 데이터를 탐지하면 이를 출력 리포트에 포함시킨다. 사용자 입장에서는 복잡한 절차 없이 잠재적 위협 지점을 한 번에 파악할 수 있다는 장점이 있다.

인트루더 보안 책임자인 댄 앤드루(Dan Andrew)는 “API 문서를 열린 상태로 유지하는 것은 공격 표면을 넓히는 행위”라며 “비즈니스상 꼭 필요하지 않다면 문서를 외부에 공개하지 말고, 개발 주기마다 정기적으로 API 스캔을 수행하는 것이 중요하다”고 조언했다.

API는 기업 IT 시스템을 구성하는 핵심 아키텍처이자, 외부와 내부 서비스 연동의 중심축이다. 이에 따라 단순한 코드 오류가 아닌 인증 구조 자체의 결함을 조기에 식별하고 수정하는 것이 정보보호의 핵심으로 부상하고 있다. 오토스웨거와 같은 자동화 도구의 등장은 내부용 API까지 보호 범위를 확대하려는 업계의 흐름과도 맞물린다.