시큐리티팩트
댓글 0
기사입력
: 2025.09.29 17:01
[시큐리티팩트=김상규 기자] 우리나라 취약한 API(응용 프로그래밍 인터페이스)가 에이전틱 AI(인공지능) 확산에 장애물이 된다는 보고서가 나왔다.
글로벌 기업 F5는 29일 이런 내용이 담긴 ‘2025 전략 과제: 에이전틱 AI 시대의 APAC API 보안’ 보고서를 발표했다. 보고서는 한국 기업의 절반 이상이 이미 AI와 머신러닝 모델 배포에 API를 활용하고 있으나 이 API가 보안에 취약하다고 지적했다.
실제 한국 기업의 68%가 API 보안을 ‘사업에 중대한 영향을 미치는 요소’로 평가하고 있음에도 실제 대응 수준은 미흡했다. 이번 조사에 따르면 보안 툴·프로세스·인력 측면에서 충분한 수준에 도달했다고 답한 기업은 40%에 그쳤다. 이로 인해 통제가 제대로 이뤄지지 않고 관리 체계에 허점이 발생하면서 운영 리스크와 규제 준수 리스크가 한층 커지고 있다.
보고서가 지적한 한국 기업의 API 취약 내용은 다음과 같다.
▷비즈니스 로직 취약점 : 한국 기업 3곳 중 1곳은 민감한 데이터 처리 과정에 대한 무제한적 접근(OWASP API6)을 최우선 API 보안 위험 요소로 꼽았다. 리소스 남용(OWASP API4)과 보안 설정 오류(OWASP API8)도 30% 이상이 지적됐다. 이러한 문제는 디지털 서비스 장애와 고객 신뢰 저하로 이어질 수 있어 API 차원의 거버넌스 필요성을 보여준다.
▷섀도·좀비 API : 한국 기업의 35%는 좀비 API를 고위험 요소로 평가했지만, 이를 찾아낼 효과적인 체계를 갖춘 곳은 27%에 불과했다. 노후화된 좀비 API는 문서화되지 않은 섀도 API와 함께 손쉽게 악용될 수 있는 보안 공백을 초래한다.
▷API 보안 위험 대응 준비 부족 : 한국 기업들은 API 보안 위협의 심각성을 인식하고 있으나, 대응 수준은 여전히 미흡하다. 대부분의 OWASP API 보안 위험에 대해 충분한 대비가 되어 있다고 답한 기업은 3분의 1에 그쳤다. 이는 구조적 준비 부족을 드러낸다. 여전히 웹방화벽(WAF)(55%)과 ID 및 액세스 관리(IAM) 솔루션(33%) 같은 기존 경계 보안에 크게 의존하고 있어 실시간으로 변화하는 자율적 API 상호작용을 관리하는 데 한계를 보이고 있다.
▷통합적 대응 부족 : 에이전틱 AI 5대 전략 과제 조사 결과 한국 기업의 69%가 향후 1년 내 API 보안 예산을 늘릴 것으로 답했다. 그러나 예산 확대가 통합적 대응으로 이어지지 못하고 있는 실정이다.
이러한 문제를 해결하기 위해 F5는 5대 전략 과제에 집중할 것을 강조했다. 우선, C레벨 차원의 엔드투엔드 API 거버넌스 책임을 부여할 것을 주문했다. 데브옵스(DevOps)·보안·인프라 부서에 분산된 관리 체계를 통합해 API 정책을 기업의 AI·리스크·전환 전략과 연계한 거버넌스 체계를 구축하라고 권고했다.
둘째, API 라이프사이클(발견·설정·런타임·테스트) 전 과정 관리를 강화하라고 요구했다. 그러면서 자동화된 발견, 접근 범위와 속도 제한 정책, 런타임 위협 탐지, 배포 전·후 테스트를 포함한 포괄적 보안 체계를 구축할 것을 주문했다.
셋째, API 트래픽 모니터링에 에이전트 인식 기반 가시성 내재화를 강조했다. 이를 위해 자율적 행동 패턴을 탐지하고, 맥락에 따라 기록하며, 사람과 시스템 활동 전반을 실시간으로 추적할 수 있는 시스템을 구축할 것을 주문했다.
넷째, OWASP 기반 정책을 일관되게 적용할 것을 권고했다. 이를 위해 사람과 AI 에이전트를 대상으로 기능 단위 권한 검증과 설정 오류 탐지를 위한 런타임 통제를 동일하게 적용하라고 요구했다.
끝으로 거버넌스 아키텍처를 통한 API 행동과 비즈니스를 연계하라며 API 행동을 에이전트의 의도와 비즈니스 성과에 맞게 연결하고, 에이전트의 행동을 기업 정책과 연계할 수 있는 감독 체계를 마련할 것을 주문했다.
모한 벨루(Mohan Veloo) F5 아시아태평양·중국·일본 지역 CTO는 “AI 에이전트의 속도와 자율성을 고려하면 API 보안은 기업 운영 전반에 내재돼야 한다”며 “API 워크플로에 거버넌스, 가시성, 정책 준수를 포함해 사람과 시스템을 포함한 모든 상호작용이 실시간으로 인증·권한 검증·모니터링되도록 해야 한다”고 강조했다.
