[9.2.2 인터페이스 및 API 보안] 📖 1) 가상 환경(가상 PC, 가상서버, 가상 소프트웨어 등) 접근을 위한 인터페이스 및 API에 대한 보호 방안을 마련하고 있는가?

9. 가상화 보안 > 9.2. 가상 환경
🔍 점검 취지 및 해설
■ 클라우드서비스 환경에서 상위 서비스(IaaS, PaaS 등)로 통신하는 인터페이스 및 API 뿐만 아니라 SaaS 이용자가 클라우드서비스 환경으로 접근할 수 있는 인터페이스 및 API를 식별하여야 한다.

■ 상위 서비스(IaaS, PaaS 등) 사업자가 제공하는 안전한 인터페이스 및 API를 사용하여야 하며 상위 서비스(IaaS, PaaS 등) 사업자가 제공하는 인터페이스 및 API가 아닌 경우 해당 인터페이스 및 API가 안전한지 여부를 확인하고 사용되어야 한다.

■ 식별된 인터페이스를 통한 중요 데이터 통신 시 암호화 등을 통하여 보호하여야 한다.
✍️ 운영 현황 및 증적 기록
작성 완료됨

∎ 클라우드서비스 환경에서 상위 서비스(IaaS, PaaS 등)로 통신하는 인터페이스 및 API 뿐만 아니라 SaaS 이용자가 클라우드서비스 환경으로 접근할 수 있는 인터페이스 및 API를 식별하여야 한다.

-> 서비스에서 사용하는 API 등에 대해 명시하는 문서와 증적이 있어야 합니다.
특히 챗GPT 등 AI 와 통신하는 서비스가 포함되어 있는경우 질의하는 내용(쿼리문)에 대한 정의, 범위, 제약사항등이 구체적으로 작성되어야 합니다.

-> 또한 "DBMS"등 CSP에서 제공하는 서비스를 이용한다면 해당 서비스와 연계시 명시된 방법으로 연계해야 합니다.
(인터페이스 정의서 내 API 명세서 셈플)

ID 인터페이스명 프로토콜 송신 시스템 수신 시스템 중요도 비고
API-01 사용자 로그인 HTTPS (TLS 1.2) 사용자 (Web/App) SaaS 인증 서버 개인정보 포함
API-02 이미지 저장 요청 HTTPS (TLS 1.2) SaaS 서버 CSP (IaaS) Object Storage 관리자님 기억용
API-03 관리자 로그 조회 HTTPS (TLS 1.3) 관리자 페이지 SaaS 로그 서버 감사 로그

3. 상세 명세 (예시: API-01 사용자 로그인)

[기본 정보]

  • Endpoint: POST /api/v1/auth/login

  • 기능: 사용자 식별 및 인증 후 JWT 토큰 발급

  • 상위 서비스 연동: 해당 없음 (자체 인터페이스)

[보안 설정 (CSAP 필수 항목)]

  • 인증방식: API Key + JWT (Bearer Token)

  • 암호화: 전송 구간 TLS 1.2 이상 필수 (AES-256)

  • 데이터 보호: Password 필드 암호화 전송, 응답 시 민감정보 마스킹 처리

  • 접근 통제: Rate Limiting 적용 (IP당 분당 10회 제한)
구분 파라미터명 타입 필수 여부 암호화 여부 설명
Request user_id String Y N 사용자 이메일 ID
Request password String Y Y (SHA-256) 사용자 비밀번호
Response access_token String Y Y (JWT) API 접근 인증 토큰
Response last_login DateTime N N 마지막 접속 일시

* 모든 통신은 TLS 1.2 이상 SSL 암호화 통신으로 진행해야 합니다.

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
검토 및 피드백 0

등록된 검토 의견이 없습니다.