CONTENTS

• 목록

1번~ 30번 질문 및 답변 확인하러 가기

31) 기존 웹 보안 체계에 대비해서 API 보안이 다른 점은 무엇인가요? 

(Akamai) 아까 발표할 때 이제 가트너가 API는 다르다. API Is Different한 내용들이 이제 어떻게 보면 그 내용들 다 얘기 드린 거고요. 그런데 실질적으로 저희가 이제 보안에 종사하시는 분들의 느낌은 뭐냐 하면 보통 우리의 어플리케이션은 브라우저를 통해서 그냥 데이터나 서비스가 그냥 서버 사이드에 있는 상태에서 비지팅을 하셔서 보시고 가시는 거고 그런데 API는 그런 어떤 프레임에 해당하는 브라우저가 따로 있는 것도 아니고 그냥 달라고 하면 데이터나 서비스를 주시는 형태이기 때문에 기본적으로 좀 다르다 이렇게 보시면 됩니다.  

32) API에서 개인 식별 정보(PII: Personally Identifiable Information)를 보호하는 방법은 무엇인가요?

(Akamai) 기본적으로 이전의 보안은 통신을 하는 통신채널의 암호화라든지 그 다음에 PII에 해당하는 데이터들은 데이터 암호화를 통해서 노출을 시키는 형태까지만 생각을 하셨습니다. 물론 이제 API로 데이터를 줄 때도 중간에 누군가 탈취하지 않도록 이제 그 정도 수준까지 생각을 했다면 이 비즈니스 로직까지 고려를 해 보면 그러니까 권한 있는 사용자가 달라고 해서 데이터를 줬는데 그 들이 오남용 하실 수 있으시잖아요. 이런 부분은 기존의 보안체계로는 통제하기가 굉장히 어렵습니다. 그런데 이제 대신 비즈니스 로직을 이해하게 되면 이 것을 요구하는 클라이언트 어플리케이션에서 일반적으로는 뭐 하루에 10건 아니면 20건 정도를 요청을 하는데 어느 날 갑자기 100건, 1,000건 이렇게 요청을 한다 라든지 아니면 어떤 API의 인증API를 통과한 이후에 그 다음에 서비스API를 요청하게 되고 이제 그런 부분들이 어느 전에 콜플로우가 형성이 되어 있는데 그렇지 않고 이 PII가 포함되어 있는 API를 그런 콜플로우하고 상관없이 호출을 한다 라든지 이런 부분들까지도 저희들이 적발하고 그 다음에 Alert을 띄울 수 있는 형태의 어떤 모니터링 및 가시성을 확보하시는 게 굉장히 중요하다라고 말씀드릴 수 있을 것 같습니다.     

33) API 보안과 관련하여 준수해야 하는 compliance 규정에는 뭐가 있나요? 또한 민감정보 유출을 방지하기 위한 로깅 정책 설정 방법이 있는지? 

(Akamai) 일단 글로벌하게 컴플라이언스 API에 딱 적시를 해서 컴플라이언스를 두고 있는 몇 가지 이제 글로벌 컴플라이언스들이 있습니다. 대표적인 PCI DSS 특히 아까 금전적인 거와 관련되어 있는 데는 굉장히 타겟이 많이 되시기 때문에 PCI DSS 4.0 에서부터는 API에 대해서 이러 이러해야 된다 라고 하는 명확한 규정들이 좀 들어가 있고요. 우리나라의 컴플라이언스 에서는 아직까지 그렇게 명확하게 이렇게 명문으로 규정한 것들은 이렇다 할 게 없는데 금융권 마이데이터 하시면서 마이데이터 사업자인 경우에는 이상과 API에 대한 이상거래를 탐지하고 뭐 해야 된다 라고 하는 규정이 있기는 합니다. 그래서 아직까지는 아직 까지는 이 정도 수준이고 그런데 반면 PII라든지 아니면 굉장히 어떤 영업비밀에 해당하는 민감한 정보들을 가지고 계시는 그런 기업들에서는 내부 컴플라이언스로 API에 대한 통제들을 독자적으로 하시는 경우들은 이제 많이 좀 생기시는 걸로 알고 있습니다. 그 다음에 이제 그런 어떤 PII정보가 뭐 왔다 갔다 하는 거에 대한 어떤 로깅이라고 하는 것은 일단 기본적으로는 그 PII정보를 취급하는 즉 리퀘스트 & 리스판스에 포함하고 있는 API들을 가시화해야 즉 인벤토리화 하시는 것이 가장 중요합니다. 그래야 로깅이라는 것도 의미가 있기 때문에 그리고 그런 API들의 어떤 변경 제가 API는 수시로 변하고 그 다음에 계속적으로 지속적으로 모니터링 해야 된다고 말씀을 드렸는데 스펙이나 이런 게 바뀌면서 어떨 때는 PII정보가 빠지기도 하고 어떨 때는 들어가기도 하고 하는데 그것을 인지하지 못하는 경우가 굉장히 많습니다. 그래서 당연히 API의 어떤 스펙의 변경도 모니터링을 해야 되는 거고 거기에 추가적으로 실제 트랜잭션이 일어났을 때 물론 모든 정상적인 트랜잭션까지 다 남길 이유는 없겠지만 아까 말씀드린 어브노멀한 그 약간 비정상적인 어떤 트랜잭션들에 대해서는 남겨서 증적으로 활용하시되 중요한 건 또 뭐냐 하면 그런 PII정보는 난독화 해서 증적 하셔야 된다라는 게 중요합니다.         

34) API 사용량 증가에 따라 실제 발생한 주요 사이버 공격사례가 있는지? (조소영)

(Akamai) 글로벌 하게 많이 알려진 사례 중에 하나는 아까 그 10대 취약점 중에 하나인 BOLA를 이용한 T모바일 사건이 굉장히 많이 이야기되고 있는데요. 즉 어떤 한 사용자가 자신은 인증을 받았고 자신의 정보까지는 호출할 수 있는데 다른 사용자의 정보를 요청을 했을 때 그 로직을 제대로 취약한 형태로 개발을 해 놔서 무작위적으로 호출을 해도 인증 이후에 그 인가가 제대로 되어 있지 않은 거죠. 그런 형태의 사건이 굉장히 유명했던 사건이고 우리나라에서 이건 저희가 실제로 프로젝트를 하면서 봤던 사례인데 스펙대로 개발을 해 놓지 않고 아웃소싱 하던 개발업자가 나가셨습니다. 그런데 그렇게 서비스되고 있는 줄 알았는데 실제로 PII정보가 난독화 되어있지 않고 유출된 것들을 제가 확인해서 사전에 조치했던 사례 뭐 이런 것들이 일반적으로 일어날 수 있는 사례가 아닌가 생각됩니다. 

35) 해외에서 온라인으로 프로젝트를 진행할 때 보안 이슈가 발생하지 않나요? 또한 프로그램이나 데이터 유출 등의 발생 가능성에 대한 대응방안은?

(FPT) 저희가 고객의 데이터 그리고 고객의 비즈니스 연속성에 대해서 굉장히 중요하게 생각하는 바입니다. 그래서 내부적으로도 ISO 27000 기준 하에서 보안관련 사항은 모두 적용하고 있고요. 추가로 고객이 원하는 보안사항이 있으시면 추가적용하고 있습니다. 그래서 유출사고나 이런 걸 최대로 방지하고 있고요. 발생 시에도 프로세스를 통해서 최대한 빨리 리커버리를 하려고 하고 있습니다.   

36) BI MATRIX 솔루션을 SAP와 연계한 사례와 실시간 데이터 처리 사례는? 

(BI MATRIX) 지금 제조사 SAP사례를 잠깐 간단하게 말씀드렸었는데 기존에는 SAP데이터를 현업자한테 서비스하기 위해서 리포트를 개발하거나 데이터를 제공해주는 형태의 방식 그런데 어쨌든 간에 현업사용자 분들이 그런 것들을 수시로 정하기 때문에 운영비용의 증가 개발자 분들의 어려움 그런데 이제 그런 것들을 AI가 그때 그 때 현업 분들이 요구하는 것들을 SQL을 생성해서 실시간 데이터를 뽑아오는 방식으로 진행되니까 미리 만들어 놓을 필요가 없는 거거든요. 그런 것들을 통해서 운영비용에 대한 절감 현업 분들 교육시킬 필요 없고 만족도 올라가고 이런 식의 사례들을 가지고 있습니다.     

37) 우리 회사랑 함께 이런 프로젝트를 추진하면 얻을 수 있는 주요 효과는?

(BI MATRIX) 저는 짧게는 지금 그 시대가 진짜 바뀌고 있는 부분에서 말씀드리고 싶은데 요즘 네비게이션 없이 운전 못하는 것처럼 이제 앞으로는 AI라든가 어떤 대화형 개인비서 자비스 같은 애가 없으면 일이 굉장히 불편해지는 세상이 올 겁니다. 그래서 앞으로 그 기업의 경쟁력 그 다음에 성장가치들을 높여 나가기 위해서 AI도입은 당연히 좀 시급한 과제인 거고요. 그 중에서 저희가 가장 빠르고 쉽게 적용해 볼 효과를 볼 수 있는 게 데이터 분석 쪽 영역이다라고 좀 말씀을 드리겠습니다.      

(FPT) 사실 저도 네비 없으면 어디 가지 못하거든요. 맞습니다. 저희 FPT를 하게 되면 일단 얻을 수 있는 효과는 3가지로 봅니다. 첫 번째 프로세스 자동화입니다. 이를 통해서 PO생성이나 이런 것들을 자동화시켜서 궁극적으로는 비용을 세이브 할 수 있다고 봅니다. 두 번째 예측의 최적화 이런 부분들은 공급망 리스트에 관련된 리스크를 사전에 인지할 수 있게 하는 거고요. 그리고 세 번째는 사용자 경험이 획기적으로 혁신했다고 이렇게 봅니다 그래서 이3가지를 보면 FPT 가 이런 걸 딜리버리 할 수 있는 기업이라고 봅니다.     

(Akamai) 아카마이는 원래 콘텐츠 딜리버리하는 서비스 회사였습니다. 그런데 워낙 많은 보안의 위협에 노출되어 있었고 이제 경계가 없는 세상에서의 보안을 많이 고민해 왔던 회사이고요. 엔터프라이즈 환경이 이제 제로트러스트 아키텍처로 가야 된다 라고 하면서 경계 없는 보안을 고민했을 때 아카마이가 그 영역에서 가장 많은 노하우와 기술을 갖고 있다 그리고 그것 중에 하나가 오늘 소개해 드린 경계가 없는 그리고 어떤 관문이 없이 데이터나 서비스를 주고받는 API영역에서도 아카마이가 굉장히 잘하고 있는 영역이다 이렇게 말씀드릴 수 있을 것 같습니다.   

38) AI의 미래와 AI가 주는 향후 변화 사항은? (화치, 바이올렛민트, 옥개소문)

(BI MATRIX) BI MATRIX는 지금 데이터를 기반으로 하는 의사결정을 신속하게 할 수 있는 부분을 계속 말씀드리고 있는데 앞으로 이제 AI가 해줄 것들은 사람을 대신한다기 보다는 그 사람이 어떤 일을 하는데 있어서 효율적으로 빠르게 의사결정을 내릴 수 있게끔 도와주는 역할 그래서 아까 말씀드렸던 자비스의 역할을 수행하는 게 이제 AI가 나아갈 방향이고요. 기업에서 이제 그런 것들을 통해 가지고 신입사원들을 인큐베이팅 하는데 오랜 시간이 들지 않고 그 친구들이 빠르게 업무에 적응하고 의사결정을 내리는 데까지 아마 도움을 줄 수 있을 거라고 생각을 합니다. 그리고 마지막으로 좀 오늘 카메라쪽에 비치고 있는 제 모습을 보고 있는데 지금 실제로 만나 보시면 이렇지 않거든요. 그래서 더 많은 궁금하신 사항이라든가 구체적인 그 기업들 적용사례 보고 싶으시면 저희 회사로 연락을 주시고 실제 만나서 저를 보시면 이렇게 뚱뚱하지 않다는 점 말씀드립니다 ^^

(FPT) FPT는 AI관련해서 되게 오래 전부터 투자해 왔습니다. 이전에 말씀드린 거와 같이 저희가 AI센터를 운영하고 있고요. 거기에 1,000명이 넘는 직원들이 있거든요. 고객들이 원하는 AI솔루션 이런 것들을 저희가 그 동안 축적된 노하우와 기술력을 가지고 딜리버리 할 수 있도록 보여주고요.  FPT가 단순한 베트남 기업이 아닌 여러분의 AI파트너로서 이제 함께 성장할 수 있다고 봅니다. 

(Akamai) 저는 보안을 주로 이제 하는 사람이다 보니까 우리 회사도 한 축이 이제 보안영역인데 결국은 보안에서의 그 AI의 역할 결국은 공격으로 악용되기도 하지만 실제로 그것을 막는 데서도 이제 AI기법들이 많이 쓰인다라는 얘기를 아까도 이제 말씀을 드렸는데요. 저희 회사 역시 AI중심으로 저희 보안 솔루션들이 계속 진화해 나가고 있고 또 그것들이 인티그레이션 되어 가고 있고 그런 어떤 영향들이 저희 아카마이에서도 분명하게 나타날 것이다라고 보고 있습니다.

이번 세션도 KSUG 회원분들의 뜨거운 참여로 여러 가지 궁금했던 점을 다뤄 볼 수 있었던 유익한 세션이었습니다.

당일 참여하신 KSUG 회원분들께서 실시간으로 주신 질문에 패널 분들께서 답변을 주신 Q&A 리스트도 참조해 보시기 바랍니다.

► 시청자 Q&A 보기

► 4월 패널 토크 다시 보기

► 발표자료 다운로드 하기