최근 아시아 태평양 지역에서 인공지능(AI)의 도입이 가속화되면서 응용 프로그램 인터페이스(API)가 새로운 보안 취약점으로 부각되고 있다. 아카마이가 발표한 ‘2026 앱·API·디도스 인터넷 현황 보고서(SOTI)’에 따르면, 2025년 동안 아태 지역에서 약 650억 건의 웹 애플리케이션 및 API 공격이 발생할 것으로 예상되며, 이는 전년 대비 23% 증가한 수치다. 이러한 공격의 증가세는 글로벌 차원에서도 유사하게 나타나며, 설문 조사에 응답한 기업의 87%가 지난해 API 관련 보안 사고를 경험했다고 밝혔다.
특히, 공격 양상은 점점 더 정교해지고 있으며, 아태 지역에서 발생한 전체 API 공격의 61%가 권한 없는 워크플로우 및 비정상적 활동과 관련이 있다. 이는 단순한 기술적 취약점을 노리는 것이 아니라 정상적인 애플리케이션 기능을 역이용하는 ‘비즈니스 로직 악용’ 방식으로 발전하고 있다는 점에서 심각성을 더한다.
공격자들은 거래 자동화, 데이터 스크레이핑, 정상적인 API 호출 반복 실행 등을 통해 서비스 중단이나 고가의 AI 토큰 소모를 유도하고 있다. AI 기반 봇은 실제 사용자 트래픽을 모방하여 기존의 보안 체계를 우회하며 API를 직접 공격하는 반면, 애플리케이션 레이어를 겨냥하는 레이어 7 디도스(DDoS) 공격도 증가 추세에 있다. 이와 같은 공격은 사용자 요청을 처리하는 애플리케이션 레이어 프로세스를 직접 겨냥하기 때문에 기업의 디지털 서비스와 거래에 심각한 영향을 미칠 수 있다.
특히 리테일과 금융 서비스 업종은 디지털 결제와 국경 간 서비스에 API 의존도가 높아 주요 표적이 되고 있으며, 통신과 하이테크 산업에서도 공격 압력이 빠르게 증가하고 있다. 시장별로 취약 요인은 다르지만, 싱가포르와 일본과 같은 고도 디지털화된 경제권에서는 API 확산으로 인해 공격 면이 기하급수적으로 늘어나 가시성 확보가 핵심 과제로 떠오르고 있다. 반면, 베트남과 태국 같은 신흥 디지털 경제국에서는 디지털화 속도가 보안 역량을 따라잡지 못하는 상황에서 보안 인력 부족이 구조적 취약 요인으로 작용하고 있다.
AI 지원 로우코드(저코드) 개발의 확산 또한 보안 문제를 악화시키는 요인으로 지적된다. 개발 속도가 빨라짐에 따라 인간의 감독 없이 구성 오류나 불안전한 API 설정이 운영 단계로 넘어갈 위험이 커지고 있다. 이에 대해 아카마이 아태·일본 지역 보안 기술 및 전략 부문 디렉터인 루벤 코는 “AI 도입이 비즈니스 혁신을 가속화하는 동시에 거버넌스 격차를 급격히 확대시키고 있다”고 경고하며, API 가시성 확보, AI 봇 및 에이전트 관리, 개발부터 실행까지 통합 보안 구축을 우선 과제로 삼아야 한다고 강조했다.
그는 또한 “오늘날 API는 단순히 시스템 간 데이터를 연결하는 수준을 넘어 기업 데이터 인프라의 핵심 구성 요소로 자리 잡았다”며, 자율형 AI 시스템이 기업 운영에 더욱 깊숙이 통합될수록 API 레이어의 회복탄력성이 기업의 확장성과 지속 가능성을 결정짓게 될 것이라고 덧붙였다. 이러한 상황에서 기업들은 API 보안 강화를 위한 적극적인 대책을 마련해야 할 시점에 이르렀다.
[관련기사] https://n.news.naver.com/mnews/article/092/0002417410?sid=105
답글 남기기