엔터프라이즈 API는 비즈니스 기능을 외부에 노출하는 일반적인 방법이 됐다. 기능을 노출하는 것은 편리하지만, 물론 악용의 위험이 있다. 소프트웨어 시스템 설계의 경우와 마찬가지로, 사람들은 API 설계 단계에서 보안 요소를 무시하는 경향이 있다. 배포나 통합 시에만 보안을 걱정하기 시작한다. 보안은 사후에 고려해서는 안 된다. 보안은 모든 소프트웨어 시스템 설계의 필수 요소로 설계 초기부터 신중하게 고려해야 한다.
이 책은 중요한 비즈니스 자산을 보호하고 API를 보안하는 방법에 대한 내용으로, 보안의 필요성과 API 보안을 위해 사용할 수 있는 옵션에 대해 알려주는 것을 목표로 한다.

■ 엔터프라이즈 API의 안전한 설계, 개발, 배포
■ 비즈니스 요구 사항에 맞는 보안 표준 및 프로토콜 선택
■ OAuth 2.0 위협 환경을 이해해 보안 악용 완화
■ 인증을 통합해 기업 방화벽을 넘어 비즈니스 API 확장
■ API를 보호를 통해 엣지에서 마이크로 서비스 보호
■ API에 안전하게 액세스하기 위한 네이티브 모바일 애플리케이션 개발
■ OAuth 2.0으로 보호되는 SaaS API와 애플리케이션 통합

이제 기업용 API는 비즈니스 기능을 외부에 노출하는 일반적인 방법이다. 기능을 노출하는 것은 편리하지만 악용의 위험이 있다. 이 책은 중요한 비즈니스 자산을 보호하는 방법과 API의 보안을 설명한다. 소프트웨어 시스템 설계의 경우와 마찬가지로, 사람들은 API 설계 단계에서 보안 요소를 무시하는 경향이 있다. 그리고 배포나 통합 시에만 보안을 걱정하기 시작한다. 보안은 사후에 고려해서는 안 된다. 보안은 모든 소프트웨어 시스템 설계의 필수 요소로 설계 초기부터 신중하게 고려해야 한다. 이 책을 통해 보안의 필요성과 API 보안을 위해 사용할 수 있는 옵션을 알려주는 것을 목표로 집필했다.
이 책에서는 프로세스를 안내하고 더 나은 보안을 위해 API를 설계하는 모범 사례를 공유한다. API 보안은 지난 몇 년 동안 많이 발전해 왔으며, API 보안 표준은 기하급수적으로 성장했다. OAuth 2.0은 가장 널리 채택된 표준이자, 그 위에 솔루션을 구축할 수 있는 프레임워크다. 기존의 HTTP Basic 인증에서 OAuth 2.0까지 API를 보호하는 방법과 OpenID Connect, 사용자 관리 액세스(UMA), User-Managed Access 등과 같은 OAuth를 기반으로 구축된 프로파일을 자세히 설명한다.
JSON은 API 통신에서 중요한 역할을 한다. 오늘날 개발된 대부분의 API는 XML이 아닌 JSON만 지원하므로 여기에서는 JSON 보안에 중점을 두고 설명한다. JSON 웹 암호화(JWE), JSON Web Encryption, JSON 웹 서명(JWS), JSON Web Signature은 JSON 메시지 보안을 위해 점점 더 널리 사용되는 두 가지 표준이다. 후반부에서는 JWE와 JWS를 자세히 다룬다.
또 다른 주요 목적은 개념과 이론을 제시하는 것뿐만 아니라 구체적인 예를 통해 개념과 이론을 설명하는 것이다. 이론을 실제로 적용하는 방법을 보여주는 포괄적인 예시를 제공한다. OAuth 2.0과 관련 프로파일을 사용해 웹 애플리케이션, 단일 페이지 애플리케이션, 네이티브 모바일 애플리케이션, 브라우저가 없는 애플리케이션으로 API에 안전하게 액세스하는 방법을 배울 것이다.
API 개발자에게 절실히 필요한 주제를 효과적으로 다루기를 바라며, 즐겁게 읽기를 바란다.

프라바스 시리와데나(Prabath Siriwardena)

신원 전도사, 저자, 블로거, WSO2에서 신원 관리 및 보안 부사장이다. 이 선정한 100/500 기업을 포함해 글로벌 기업을 위한 중요한 신원 및 액세스 관리(IAM) 인프라를 설계하고 구축하는 데 12년 이상의 업계 경험이 있다. 기술 전도사로서 7권의 책을 썼다. 블록체인, PSD2, GDPR, IAM부터 마이크로서비스 보안에 이르기까지 다양한 주제로 블로그 글을 작성한다. 또한 유튜브(YouTube) 채널을 운영한다. RSA 콘퍼런스, KNOW Identity, Identiverse, European Identity Conference, Consumer Identity World USA, API World, API Strategy and Practice Conference, QCon, OSCON, WSO2Con을 비롯한 많은 콘퍼런스에서 발표했다. IAM 커뮤니티를 전파하려고 전 세계를 여행하며 워크숍과 밋업을 진행하고 있다. 샌프란시스코 베이 지역에서 가장 큰 IAM 밋업인 ‘Silicon Valley IAM User Group’의 창립자다.

지금 시대에서 API는 선택이 아닌 필수다. 많은 기업이 앞 다투어 ‘API화’에 총력을 기울이고 있다. 그에 따라 중요한 자산들이 자연스럽게 노출되고 있으며, 설계 단계에서부터의 보안이 대두되고 있다.
이 책은 개념과 이론을 단순히 제시하는 것뿐만 아니라 구체적인 예시를 통해 API를 안전하게 관리하고 사용하는 방법을 설명한다. API 개발자에게 필수 서적이 될 것이다.
- 강병윤

요즘 앱을 포함한 거의 모든 사이트에 ‘구글’, ‘페이스북’, ‘카카오톡’ 등으로 로그인하는 기능이 있다. 또한 인터넷 시장이 커지면서 각 사이트끼리 정보를 교류하며 동작하는 애플리케이션이 많아졌다. 이 기능을 OAuth가 해결해 줄 수 있는데, 이를 잘못 이용하면 큰 취약점이 생기게 된다. 요즘 보안 사고가 발생해 해당 애플리케이션뿐 아니라 기업의 이미지가 심각하게 손상을 입는 경우를 쉽게 볼 수 있다. 이제 개발자에게 보안 코딩은 필수 역량이 됐다.
이 책은 OAuth에 대한 개념이 없는 사람도 이해할 수 있게 OAuth에 대한 설명부터 시작한다. 그리고 공격자가 어떻게 공격하는지, 공격을 어떻게 막을 수 있는지 설명했다. OAuth를 사용하려는 개발자에게 굉장히 훌륭한 지침서가 될 것이고, 정보 보안 일을 하고 있는 사람도 단순한 해킹 기술이 아닌 OAuth의 지식도 쌓을 수 있다. OAuth의 기초부터 해킹, 보안 코딩까지 OAuth 보안과 관련된 폭넓은 주제를 깊이 있게 다뤄 OAuth 보안과 관련 실무 담당자에게 훌륭한 안내서가 될 것이다.
-김한수

강병윤

기술 지원 엔지니어, 보안 담당자를 거쳐 현재 모의해킹 컨설턴트로 활동 중이다. 해킹을 좀 더 쉽게 입문할 수 있도록 멘토링하고 있으며, 관련된 콘텐츠를 제작하고 있다.

김한수

정보보안 업계에서 모의해킹 전문가로 활동하고 있다. Normaltic Place라는 해킹 유튜브 채널을 운영 중이며, 해킹이라는 주제를 일반 대중에게 쉬운 언어로 풀어내 해킹 관련 콘텐츠를 만들고 있다. 또한 해킹이라는 주제를 포함해 비전공자들을 위한 강연을 하고 있다.