아카마이코리아는 1일 ‘2026 앱·API·디도스 인터넷 현황 보고서’를 통해 이 같은 분석을 내놨다. 보고서에 따르면 아카마이는 2025년 한 해 동안 아시아태평양 지역에서 약 650억건의 웹 애플리케이션·API 공격을 관찰했다. 전년보다 23% 늘어난 수치다.
특히 공격 증가세는 API와 디도스에서 두드러졌다. 보고서는 7계층 디도스 공격이 2023년 1분기부터 2025년 4분기까지 104% 급증했다고 분석했다. 사실상 2배 이상 늘어난 셈이다.
7계층 보안은 웹사이트와 앱, API처럼 사용자가 실제로 접하는 응용 서비스 영역을 보호하는 보안으로, 단순 트래픽 차단을 넘어 로그인·검색·결제 같은 서비스 요청의 정상 여부를 판별하는 데 초점이 맞춰져 있다.
|
또 비인가 워크플로를 노리는 API 공격은 2024년 대비 2025년에 2배로 증가했다. 단순한 기술적 취약점 공략을 넘어, 정상 요청처럼 보이지만 실제로는 업무 흐름을 비틀어 악용하는 공격이 빠르게 늘고 있다는 의미다.
아카마이는 AI 확산이 이런 변화를 키우고 있다고 봤다. 구글과 마이크로소프트 등 빅테크 기업들이 AI를 앞세워 서비스 고도화에 나서면서 API 사용량이 폭증했고, 동시에 공격자들도 AI와 자동화 도구를 활용해 더 빠르고 정교하게 공격할 수 있게 됐다는 설명이다. 실제로 전 세계 설문 대상 기업의 87%는 지난 1년간 API 관련 보안 사고를 겪었다고 답했다.
공격 양상도 달라지고 있다. 아시아태평양 지역에서는 지난해 전체 API 공격의 61%가 권한 없는 워크플로와 비정상 활동과 관련된 것으로 나타났다. 이는 공격자가 더 이상 전통적인 웹 취약점만 노리지 않고, 정상적인 애플리케이션 기능을 의도와 다르게 조작하는 ‘비즈니스 로직 악용’으로 이동하고 있음을 보여준다. 거래 자동화, 데이터 스크레이핑, 반복 호출을 통한 서비스 지연이나 AI 토큰 소모 유발이 대표적 사례다.
산업별로는 리테일과 금융 서비스가 여전히 주요 표적이었다. 디지털 결제와 국경 간 서비스를 API에 크게 의존하고 있기 때문이다. 통신과 하이테크 업종도 API 기반 서비스 확장과 함께 공격 압력이 높아진 것으로 분석됐다.
보고서는 시장별 차이도 짚었다. 싱가포르와 일본처럼 디지털화가 앞선 시장은 API가 지나치게 많아지면서 가시성 확보가 가장 큰 과제가 됐다. 반면 베트남과 태국 등 신흥 디지털 시장은 빠른 디지털 전환 속도를 보안 역량이 따라가지 못하고, 보안 인력 부족까지 겹쳐 구조적 취약성이 커지고 있다고 진단했다.
아카마이는 대응 방향으로 ‘통합 보안’을 제시했다. 웹 애플리케이션과 API를 따로 관리하면 가시성 공백이 생기고, 공격자는 그 틈을 타 시스템 안을 자연스럽게 이동할 수 있다는 것이다. 따라서 실제 비즈니스 로직이 연결돼 있는 것처럼, 방어 체계도 웹과 API를 통합해 운영해야 한다고 강조했다.
보안 방식도 바뀌어야 한다는 지적이다. 기존처럼 알려진 공격 패턴을 찾는 시그니처 방식만으로는 한계가 있다는 것이다. 최근 API 공격은 정상 요청과 구분이 어려운 경우가 많아, 실시간으로 비정상 행위를 식별하는 행동 기반 분석이 중요해졌다고 보고서는 설명했다.
다만 보고서는 AI가 공격 속도와 규모를 키우고 있지만, 실제 침해의 상당수는 여전히 기본적인 보안 실패에서 비롯된다고 짚었다. 잘못된 설정과 허술한 접근 통제 등 기초적인 문제가 여전히 가장 큰 약점이라는 것이다. 결국 AI 대응만 좇기보다, 기본 보안을 제대로 갖추는 것이 더 높은 투자 효과를 낼 수 있다는 진단이다.
루벤 코 아카마이 아시아태평양·일본 지역 보안 기술 및 전략 부문 디렉터는 “아시아태평양 전역에서 AI 도입은 전례 없는 속도로 비즈니스 혁신을 가속하고 있지만, 동시에 거버넌스 격차도 키우고 있다”며 “기업들은 API 가시성 확보, AI 봇·에이전트 관리, 전 스택 실시간 모니터링, 개발부터 운영까지 통합 보안을 우선 과제로 삼아야 한다”고 말했다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
