API 보안

API 보안

API(Application Programming Interface)의 인증, 인가, 데이터 보호, 속도 제한 등을 통해 API 기반 서비스를 보호하는 보안 체계

특징: 마이크로서비스/클라우드 핵심 공격 표면, 자동화된 대량 공격 노출, OWASP API Top 10 대응 필요

구성요소: 인증(OAuth 2.0/API Key/mTLS), 인가(RBAC/ABAC/Scope), 암호화(TLS 1.3), Rate Limiting(속도 제한), 입력 검증(스키마 검증)

기술요소: OAuth 2.0(토큰 기반 인가), API Gateway(인증/라우팅/제한 중앙화), Rate Limiting(요청 수 제한/DoS 방어), JWT(무상태 토큰), API Key(식별/제한적 보안)

OWASP API Top 10: BOLA(객체 수준 권한 우회), Broken Authentication, Excessive Data Exposure, Mass Assignment, SSRF 등

적용사례: REST API, GraphQL API, 마이크로서비스 간 통신, 공개 API

비교: REST(상태 비저장/HTTP 메서드) vs GraphQL(유연한 쿼리/과다 노출 주의) vs gRPC(바이너리/고성능/내부 통신)

연관: OAuth 2.0, JWT, API Gateway, 마이크로서비스