검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'API 보안'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

아태 기업 81%, API 보안 사고 겪었다…AI 확산에 대응 '경고등'

아시아태평양 지역 기업들이 인공지능(AI) 서비스 확산 속 API 보안 위협에 직면한 것으로 나타났다. API 보안 사고를 경험한 기업이 80%를 넘은 가운데 사고 1건당 평균 피해 비용도 100만 달러를 넘어서면서, AI 확산 속도에 비해 보안 대응 체계가 뒤처지고 있다는 지적이 나온다. 13일 아카마이가 발표한 'API 보안 영향 연구 아시아태평양 에디션'에 따르면 지난 12개월 동안 아시아태평양 지역 응답자 81%가 최소 1건 이상의 API 보안 사고를 경험한 것으로 조사됐다. 사고 1건당 평균 추정 비용은 100만 달러를 넘어 전년도 58만 달러 대비 크게 증가했다. 이번 조사는 중국·인도·일본·싱가포르 등 4개국 보안 의사결정자 640명을 대상으로 진행됐다. 조사 결과 AI 기술과 연계된 API를 겨냥한 공격이 가장 빈번한 사고 유형으로 나타났다. 전체 응답자의 43%가 애플리케이션·에이전트·거대언어모델(LLM) 기반 API 공격을 경험했다고 답했다. 반면 자사 API 자산을 완전히 파악하고 있으며 어떤 API가 민감 데이터를 반환하는지 알고 있다고 답한 비율은 22%에 그쳤다. API 가시성 확보가 여전히 주요 과제로 남아 있다는 분석이다. 아카마이는 AI 기반 서비스 출시가 빨라질수록 API 구조가 복잡해지고 관리·모니터링 난도가 높아지면서 서비스 중단과 민감 데이터 노출, 운영 비용 증가 등 리스크가 확대되고 있다고 진단했다. 디지털 혁신 속도와 실제 보안 대응 수준 간 격차가 빠르게 벌어지고 있다고도 설명했다. 경영진과 현업 보안 조직 간 위협 인식 차이도 확인됐다. 전체 응답자 중 C레벨 임원의 56%는 AI·API 관련 위협에 충분히 대비돼 있다고 답했지만, 애플리케이션 보안 담당자 그룹에선 같은 응답 비율이 44%에 그쳤다. AI 서비스가 핵심 비즈니스로 확산되는 과정에서 경영진의 낙관적 인식과 실제 운영 현실 간 괴리가 존재할 수 있다는 의미로 풀이된다. API 컴플라이언스 관리 체계 역시 미흡한 것으로 조사됐다. 응답자 대부분은 컴플라이언스 체계에서 API를 고려하고 있다고 답했지만, 실제로 API를 정기적인 리스크 평가에 포함한다고 답한 비율은 63%에 머물렀다. 규제 보고와 공시 체계에 API를 반영한다고 답한 응답자는 40%에 불과했다. 아카마이는 API 가시성 부족이 단순 보안 문제를 넘어 AI 컴플라이언스 이슈로 확대되고 있다고 분석했다. 어떤 API가 어디에 존재하는지, 민감 데이터를 어떻게 처리·보호하는지 명확히 파악하지 못할 경우 향후 강화되는 AI 관리·보고 요구 사항 대응에도 어려움이 커질 수 있다는 설명이다. 이에 기업들이 조직 전반 API 자산을 식별·관리할 수 있는 디스커버리 및 인벤토리 체계를 강화하고 개발 초기부터 보안 검증을 내재화하는 '시프트 레프트' 전략을 도입해야 한다고 제언했다. 아울러 API 보안을 신뢰할 수 있는 AI 운영의 핵심 전제조건으로 재정의할 필요가 있다고 짚었다. 루벤 코 아카마이 아시아태평양·일본(APJ) 지역 보안 기술 및 전략 부문 디렉터는 "아시아태평양 지역 AI 확산 속도에 비해 보안 체계는 아직 충분히 성숙하지 못한 상황"이라며 "AI 애플리케이션을 구동하는 API가 급증하면서 가시성 사각지대가 커지고 있고 이는 서비스 장애와 복구 비용 증가, 기업 신뢰 훼손으로 이어질 수 있다"고 말했다. 이어 "AI가 실제 비즈니스 가치를 창출하기 위해선 API가 반드시 필요하다"며 "API 보안은 신뢰할 수 있는 AI 시스템 구축의 핵심 전제조건으로 다뤄져야 한다"고 강조했다.

2026.05.13 10:03한정호 기자

리티스, '콩' 기반 기업 API·AI 인프라 구축 지원

생성형 AI와 대규모 언어 모델(LLM) 기업 도입이 본격화되면서, AI 호출 트래픽을 안전하고 일관되게 관리하는 API 게이트웨이의 역할이 빠르게 확장되고 있다. 이런 흐름 속에서 글로벌 API 플랫폼 기업 콩(Kong)은 '콩 AI 게이트웨이'를 통해 AI·LLM 전용 트래픽 관리 영역으로 포트폴리오를 확장하고 있다고 28일 밝혔다. 또 국내에서는 리티스(litis)가 Kong 기반 서비스를 중심으로 기업의 API 및 AI 인프라 구축을 지원하고 있다고 설명했다. AI 호출을 위한 전용 관문, 콩 AI 게이트웨이 콩 AI 게이트웨이는 기존 API 게이트웨이 개념을 확장해 LLM 및 생성형 AI API 호출을 중앙에서 제어, 보안, 관측할 수 있도록 설계된 솔루션이다. 단순한 프록시 역할을 넘어, AI 서비스 운영에 필수적인 통제 지점을 제공하는 것이 핵심이다. 주요 기능으로는 오픈AI, 애저 오픈AI, 앤트로픽 등 다양한 LLM API 호출을 단일 게이트웨이에서 표준화 해 관리할 수 있다. 또 요청 및 응답 로깅, 민감 정보 마스킹, 정책 기반 필터링을 통해 데이터 유출 리스크를 감소시키고, 모델별 호출량, 비용, 지연 시간을 실시간으로 모니터링해 AI 트래픽 가시성을 제공한다. 보안 및 컴플라이언스 강화를 위해 인증·인가, 사용량 제한, 감사 로그도 AI 호출에 동일하게 적용된다. 특히 기존 콩 게이트웨이를 사용 중인 기업이라면, 기존 API 운영 체계를 유지하면서 AI 트래픽까지 자연스럽게 확장할 수 있다는 점이 강점으로 평가된다. 리티스, 콩 기반 API·AI 인프라 서비스 확대 국내 IT 서비스 기업 리티스는 콩 게이트웨이·콩 AI 게이트웨이를 중심으로 API 관리, 보안, 운영 전반을 아우르는 서비스를 제공하고 있다. 단순 제품 공급을 넘어, 기업 환경에 맞춘 아키텍처 설계와 운영 안정성 확보에 초점을 맞추고 있다. 리티스의 콩 서비스는 마이크로서비스, 하이브리드·멀티 클라우드 환경에 적합한 API 게이트웨이 아키텍처 설계, LLM 호출 흐름 분석 및 보안 정책 수립, 비용·성능 최적화를 위한 전략 제시 등 AI 게이트웨이 도입 컨설팅을 포함한다. 또 OWASP API 시큐리티 톱 10 기반 정책 설계 및 실운영 적용, 장애 대응, 성능 개선, 버전 업그레이드 등 운영 단계까지 전반에 걸친 포괄적인 지원을 제공한다. 이를 통해 리티스는 기존 API 관리(APIM) 고객의 AI 전환을 단계적으로 지원하는 역할을 수행하고 있다. 리티스 관계자는 "전문가들은 생성형 AI 도입이 확산될수록 AI 거버넌스의 출발점은 API가 될 것으로 전망한다. LLM 호출 역시 API 형태로 이뤄지는 만큼 인증, 보안, 모니터링이 가능한 중앙 관문이 필수적이기 때문"이라며 "콩 AI 게이트웨이는 이런 요구에 기술적으로 대응하는 플랫폼으로, 리티스는 이를 국내 기업 환경에 맞게 현실적인 구축·운영 모델로 구현하는 파트너로 자리매김하고 있다"고 말했다. 이어 "생성형 AI가 실험 단계를 넘어 실제 비즈니스에 적용되는 시점에서, 콩 AI 게이트웨이는 더 이상 단순한 인프라가 아닌 AI 통제의 핵심 레이어로 진화하고 있다"고 덧붙였다.

2026.04.28 15:43백봉삼 기자

아태지역에 퍼진 'AI 우선' 전략...API 보안 격차 커진다

인공지능(AI) 도입이 가속화하는 아시아태평양 지역에서 이를 떠받치는 응용프로그램인터페이스(API)가 새로운 보안 취약지대로 부상하고 있다. 3일 아카마이가 발표한 '2026 앱·API·디도스 인터넷 현황 보고서(SOTI)'에 따르면 아태 지역에서 2025년 한 해 동안 약 650억건의 웹 애플리케이션 및 API 공격이 관찰됐다. 이는 전년 대비 23% 증가한 수치다. 글로벌 차원에선 일일 API 공격이 세 자릿수 증가율을 기록했다. 전 세계 설문 대상 기업의 87%는 지난해 API 관련 보안 사고를 경험했다고 응답했다. 공격 양상도 정교해지고 있다. 아태 지역에서 발생한 전체 API 공격 중 61%가 권한 없는 워크플로우 및 비정상적 활동과 연관됐다. 단순 기술 취약점을 노리는 대신 정상적인 애플리케이션 기능을 역이용하는 '비즈니스 로직 악용' 방식으로의 전환이 이뤄지고 있다는 의미다. 공격자들은 거래 자동화, 데이터 스크레이핑, 정상적인 API 호출 반복 실행 등으로 서비스 중단이나 고가의 AI 토큰 소모를 유도하고 있다. AI 기반 봇은 실제 사용자 트래픽을 모방해 기존 보안 체계를 우회하며 API를 직접 공격하는 추세다. 애플리케이션 레이어를 직접 겨냥하는 레이어 7 디도스(DDoS) 공격도 지난 2년간 전 세계적으로 104% 급증했다. 네트워크 대역폭을 마비시키는 기존 공격과 달리, 레이어 7 디도스는 사용자 요청을 처리하는 애플리케이션 레이어 프로세스를 직접 겨냥한다. API가 이 레이어에서 작동한다는 점에서 기업의 디지털 서비스와 거래를 직접 중단시킬 수 있어 위협 수위가 높다. 리테일·금융 서비스 업종은 디지털 결제와 국경 간 서비스에 API 의존도가 높아 주요 표적이 되고 있으며, 통신·하이테크 산업도 공격 압력이 빠르게 높아지고 있다. 시장별 취약 요인은 다르다. 싱가포르·일본 등 고도 디지털화 경제권에서는 API 확산으로 공격 면이 기하급수적으로 늘어나 가시성 확보가 핵심 과제다. 베트남·태국 등 신흥 디지털 경제국은 디지털화 속도를 보안 역량이 따라가지 못하며 보안 인력 부족이 구조적 취약 요인으로 작용하고 있다. AI 지원 로우코드(저코드) 개발 확산도 변수다. 개발 속도가 빨라지는 만큼 인간의 감독 없이 구성 오류나 불안전한 API 설정이 운영 단계로 넘어갈 위험도 커지고 있다. 루벤 코 아카마이 아태·일본 지역 보안 기술·전략 부문 디렉터는 "AI 도입이 비즈니스 혁신을 가속화하는 동시에 거버넌스 격차를 급격히 확대시키고 있다"며 "API 가시성 확보, AI 봇·에이전트 관리, 개발부터 실행까지 통합 보안 구축을 우선 과제로 삼아야 한다"고 제안했다. 이어 "오늘날 API는 단순히 시스템 간 데이터를 연결하는 수준을 넘어 기업 데이터 인프라의 핵심 구성 요소로 자리 잡았다"며 "자율형 AI 시스템이 기업 운영에 더욱 깊숙이 통합될수록 API 레이어의 회복탄력성이 기업의 확장성과 지속 가능성을 결정짓게 될 것"이라고 덧붙였다.

2026.04.03 11:30이나연 기자

LGU+, '알파키'에 신규 기능 추가…운영 효율성 강화

LG유플러스는 통합 계정관리 솔루션 '알파키'에 워크플로우 스튜디오를 비롯한 신규 기능을 추가한다고 21일 밝혔다. 이번 업데이트는 기업이 사용하는 다양한 서비스형 소프트웨어(SaaS)와 클라우드 기반 업무 환경에서 직원 계정과 권한을 보다 쉽게 관리하고, 보안 수준을 강화하기 위한 목적이다. 알파키는 직원의 신원과 인사 정보를 기반으로 업무용 계정과 접근 권한을 자동으로 관리하는 LG유플러스의 ID 관리 서비스(IDaaS)다. 양자내성암호와 동형암호 기술을 적용해 보안을 강화했으며, 입·퇴사자 정보에 따라 권한을 자동 부여·회수해 관리 효율을 높인다. 이번에 추가되는 ▲워크플로우 스튜디오 ▲모바일 기기 관리 시스템(MDM) 연동 ▲애플리케이션 프로그래밍 인터페이스(API) 연동 기능은 기업의 IT 운영을 '자동화·보안·통합 관리' 방식으로 전환하는 핵심 기능이다. 이를 통해 반복 업무 부담을 줄이고 승인된 기기 중심의 보안을 구현하며, 다양한 SaaS와 사내 시스템을 하나의 흐름으로 연결하는 기반을 제공한다. 이번 업데이트에서 가장 눈에 띄는 기능은 '워크플로우 스튜디오'다. 코드 작성 없이 규칙만 설정하면 ▲입사자 계정 생성 ▲부서별 프로그램 접근권한 설정 ▲장기 미접속 계정 정리 같은 반복 작업을 자동으로 처리한다. 기업 규모가 커질수록 기하급수적으로 늘어나는 계정 운영 업무의 관리 효율을 크게 높였다. 알파키는 'API 연동' 기능을 통해 기업의 IT 시스템 통합 환경을 지원한다. 이 기능을 활용하면 업무 시스템에서 알파키의 계정 관리 기능을 직접 호출할 수 있다. 보안 강화를 위한 'MDM 연동 기능'도 추가한다. 원격근무와 개인기기 사용이 늘면서 기업 보안이 취약해지는 상황에 대응하기 위함이다. 회사에서 승인한 기기만 로그인할 수 있도록 제한할 수 있으며, 보안 패치가 적용되지 않은 기기나 등록되지 않은 개인 스마트폰·노트북은 접속 단계에서 자동 차단된다. LG유플러스는 “업무용 기기를 체계적으로 관리할 수 있어 내부 정보 유출 위험을 크게 낮출 수 있다”고 밝혔다. 주엄개 LG유플러스 유선사업담당은 “알파키는 기업의 복잡한 계정과 보안 관리 체계를 자동화하고 표준화하기 위해 지속적으로 진화하고 있다”며 “특히 이번에 추가되는 노코드 기반의 워크플로우 스튜디오, API 연동, MDM 연동 기능은 운영 효율성과 보안 수준을 동시에 높이는 데 기여할 것"이라고 말했다.

2025.11.21 16:46진성우 기자

F5 "API 보안 없이는 '성공적인 AI' 없다"

"API(응용 프로그램 프로그래밍 인터페이스)는 인공지능(AI) 모델의 대표적인 공격 통로이며, 이를 보호하지 않으면 결국 AI 자체도 안전할 수 없다" 이진원 F5코리아 상무는 29일 개최한 기자간담회에서 이같이 밝혔다. F5는 API 전송 및 보안 관련 글로벌 기업이다. 좌담회는 서울 삼성동에 위치한 F5 코리아오피스에서 '에이전틱 AI 시대의 API 보안'을 주제로 열렸다. 형욱 F5코리아 지사장과 이 상무가 발표를 하는 식으로 진행됐다. 에이전틱 AI는 기존 생성형 AI 등 타 AI 모델과 다르게 사용자의 요청에 직접 '행동'하거나 '판단'하는 등 의사결정을 내리는 AI 모델이다. 예컨대 "내일 오후 2시 일본 출장 관련 항공편 예약해줘"라고 사용자가 요청하면 생성형 AI는 예약에 필요한 항공 정보 조회 플랫폼으로 연결되는 인터넷 주소를 알려주는 식이지만, 에이전틱 AI는 MCP(모델 컨텍스트 프로토콜)을 통해 직접 스카이스캐너 등 항공기 예약 플랫폼에 연동돼 직접 예약을 진행하는 식이다. 이에 에이전틱 AI는 다양한 애플리케이션(APP)과 연동되고, 연동 정보를 처리하는 데에는 '통로'는 API가 된다. 따라서 F5는 에이전틱 AI 시대에서 API의 보안이 가장 중요하다고 강조하고 있다. 한때 단순한 데이터 연결 역할에 그쳤던 API는 이제 에이전틱 AI 시스템이 환경을 인식하고 의사결정을 내리며, 빠르고 자율적으로 작업을 수행할 수 있게 하는 핵심 실행 기반이 됐다는 것이다. 이에 강력한 보호 장치가 없다면 잘못된 권한 설정이하 허술한 거버넌스로 인해 대규모의 보안 사고가 발생할 수 있다고 F5는 지적했다. MCP는 AI 모델이 외부 도구, 데이터 및 서비스와 표준화된 방식으로 통신하고 상호 작용할 수 있도록 하는 개방형 프로토콜을 말한다. AI 모델이 필요한 도구나 리소스에 액세스(접근)하고 해당 도구를 사용하는 방법을 이해해 AI가 직접 결과를 처리할 수 있는 구조화된 방법을 제공한다. 이 상무는 한국의 API 보안과 관련해 ▲전략적 자산으로서의 API 보안 ▲중앙집중형 교차 기능 체계 ▲실시간 아키텍처로 전환 ▲에이전트 대응 보안 통제 ▲보안 성숙도를 통한 경쟁 우위 확보 등 5가지 과제를 제시했다. 이 상무는 "2028년이면 전 세계 기업 애플리케이션의 80%가 전부 AI로 서비스될 만큼 AI에 대한 중요성은 향후 더 늘어날 것"이라며 "F5는 에이전틱 AI가 회사의 내부 중요 데이터를 활용하는 데 있어 프론트엔드, 백엔드 모두를 아우르는 통합 보안 솔루션을 제공하고 있다. 뿐만 아니라 API 보안, LLM(거대 언어 모델) 보안, 쉐도우 AI 보안, 에이전틱 AI 보안 등 다양한 AI 모델에 맞춘 통합 보안 플랫폼 'ADSP(응용 프로그램 전달 및 보안 플랫폼)'를 운용 중"이라고 설명했다. 그는 "에이전틱 AI 보안과 관련해서 구체적으로 살펴보면 백엔드에서는 API 가시성 확보, 중요 데이터 접근을 위한 API 접근 제어 등 보안 솔루션을 제공하고 에이전틱 AI와 MCP 서버 간 데이터 송·수신 과정에서 WAF를 통한 악성 트래픽 탐지 및 차단, OAuth 기반 인증 및 권한 부여 등의 서비스를 하고 있다"고 강조했다. 이 지사장도 인사말을 통해 "F5는 칼립소 AI 인수 등을 통해 ADSP 기능 등 더 많은 AI와 관련된 보안 기술을 확보하고 있다"면서 "AI 기술이 확산돼 나감에 있어 지속적으로 보안 문제를 해결할 수 있다"고 밝혔다.

2025.09.29 14:48김기찬 기자

이데아텍-디지털아이텍 맞손…'패스키+노코드'로 인증·API 통합 자동화 노린다

이데아텍이 패스키와 노코드 iPaaS 연계를 통한 차세대 인증 보안과 API 통합 자동화 플랫폼 기술 역량 강화에 나선다. 이데아텍은 디지털아이텍과 전략적 업무협약(MOU)을 체결했다고 25일 밝혔다. 이번 협약은 ▲생성형 인공지능(AI) ▲클라우드 전환 ▲레거시 시스템 API화 ▲생체인증 등 디지털 전환의 흐름에 대응하고 핵심 과제를 해결하기 위해 양사가 보유한 연계 기술 역량을 결합하는 것을 골자로 한다. 이를 통해 솔루션 공급망을 강화하고 국내외 다양한 산업군에서의 디지털 생태계 확장을 촉진한다는 목표다. 이번 협약으로 양사는 ▲패스키 기반 인증 보안 솔루션과 인프라 보안 기술 최적화 연동 ▲공공·교육·금융·제조 등 산업 전반의 유통 채널 확대 및 공동 마케팅 ▲산업별 맞춤형 API 연계와 인증 보안 통합 패키지 개발 ▲국내외 디지털 전환 수요 발굴 및 공동 프로젝트 추진 ▲지능형 서비스 생태계 구축을 위한 기술·제품 연동 강화 등을 진행한다. 이데아텍은 FIDO 기반의 패스키 인증과 노코드 API 기반의 API 자동 생성·통합 플랫폼을 통해 클라우드·온프레미스·하이브리드 환경에서 복잡한 시스템 간 연계와 인증 보안을 동시에 해결하는 솔루션을 공급해 왔다. 최근에는 공공기관과 교육기관, 금융·제조 분야를 중심으로 클라우드 전환과 생성형 AI 도입이 본격화되면서 API 자동 생성 수요와 프로세스 기반 통합 연계 자동화 플랫폼 도입이 빠르게 확산되고 있다. 이데아텍은 단순 API 연계를 넘어 이러한 기술적 트렌드에 발맞춰 다양한 산업군에서 비정형 데이터를 정형 프로세스로 연결하는 거대언어모델(LLM) 기반 업무 자동화 인프라로 각광받고 있다. 디지털아이텍은 가상화 기반의 백업·복구·무결성 보호·사이버 보안 솔루션에 특화된 기술 기업으로, 기업의 인프라 자산 보호와 비즈니스 연속성을 보장하는 데 강점을 보유하고 있다. 랜섬웨어 대응, 분산 환경 내 시스템 무결성 보장, 가상 자원 자동화 관리 기술을 기반으로 다수 중견·대기업과 공공기관에 IT 인프라 보안 솔루션을 공급하고 있다. 이데아텍 관계자는 "이번 협력은 API 기반 연계·인증 보안·자동화를 통합한 실행 가능한 엔터프라이즈 AI 인프라를 제공하는 데 중점을 둔다"며 "양사 기술력을 결합해 공공과 산업 전반에서의 디지털 전환을 견인하고 실질적인 고객 가치를 제공할 수 있을 것"이라고 밝혔다.

2025.07.25 16:21한정호 기자

아카마이, 분산 인프라 보안 강화한 솔루션 출시

아카마이테크놀로지스가 분산된 인프라 환경에서 일관된 보안 구축을 돕는 하이브리드 보안 솔루션을 공개했다. 아카마이는 웹 애플리케이션 방화벽 기능을 강화한 '앱 & API 프로텍터 하이브리드'를 출시했다고 14일 밝혔다. 이 제품은 멀티 클라우드, 온프레미스, 콘텐츠 전송 네트워크(CDN) 독립형 등 다양한 인프라 환경에서도 아카마이의 웹 애플리케이션 및 API 보호(WAAP) 기능을 동일하게 적용할 수 있게 구성됐다. 이번 솔루션은 분산된 애플리케이션 환경에서도 운영 효율성과 가시성을 확보하고 보안 정책을 표준화할 수 있도록 설계됐다. 엣지와 비엣지 환경을 모두 통합 관리해 보안 운영 오버헤드를 줄일 수 있다. 데브옵스 팀의 멀티 클라우드 배포 효율도 개선할 수 있다. 앱 & API 프로텍터 하이브리드는 애플리케이션과 API, 마이크로서비스, 워크로드를 점점 정교해지는 사이버 위협으로부터 보호한다. 복원력과 확장성이 뛰어나며 보안 관리도 간편해 어떤 인프라에서도 핵심 자산을 안정적으로 지킬 수 있다는 평가를 받고 있다. 이 제품은 클라우드 전환을 진행 중인 기업들이 기존 보안 수준을 유지하면서도 전환 속도를 높일 수 있도록 지원한다. 다양한 인프라 환경에 일관된 보안을 적용하려는 기업 수요에 부합하는 제품이다. 아카마이 루페시 초크시 애플리케이션 보안 담당 수석 부사장 겸 총괄 매니저는 "복잡해지는 인프라 환경에서 일관된 보안을 제공하는 것이 그 어느 때보다 중요해졌다"며 "이번 솔루션은 보안 운영을 단순화해 보안 팀이 통제력을 유지하면서도 비즈니스 성장에 집중할 수 있도록 돕는다"고 밝혔다.

2025.04.14 10:27김미정 기자