빠르게 확산하는 에이전틱 AI 기술이 새로운 API 보안 위험을 불러오고 있어 한국의 AI 추진 전략에 걸림돌이 될 수 있다는 분석이 나왔다.

글로벌 앱·API 전송 보안 업체 F5가 29일 발표한 「2025 전략 과제: 에이전틱 AI 시대의 APAC API 보안」 보고서에 따르면, 한국 기업의 절반 이상이 AI와 머신러닝 모델 배포에 API를 활용하고 있지만 보안 대응은 미흡한 것으로 나타났다.

과거 단순한 데이터 연결 역할에 그쳤던 API는 이제 에이전틱 AI 시스템이 환경을 인식하고 의사결정을 내리며 자율적으로 작업을 수행할 수 있게 하는 핵심 기반이 되고 있다. 하지만 보호 장치가 부족하면 잘못된 권한 설정이나 거버넌스 부실이 대규모 피해로 이어질 수 있다는 우려가 제기됐다.

한국 기업의 68%가 API 보안을 ‘사업에 중대한 영향을 미치는 요소’로 평가했지만, 실제 보안 툴·프로세스·인력 측면에서 충분한 수준에 도달했다고 답한 기업은 40%에 그쳤다. 이로 인해 통제가 제대로 이뤄지지 않아 운영 리스크와 규제 준수 리스크가 커지고 있다.

트윔빗의 마노즈 메논 CEO는 “아시아태평양 지역의 많은 기업이 AI의 빠른 확산에 대응할 API 보안 준비가 부족하다”며 “전담 조직과 일관된 관리, 고도화된 역량이 부족하면 이러한 격차가 곧바로 전략적 취약점으로 이어질 수 있다”고 분석했다.

F5 아시아태평양·중국·일본 지역의 모한 벨루 CTO는 “AI 에이전트의 속도와 자율성을 고려하면 API 보안이 기업 운영 전반에 내재돼야 한다”며 “API 워크플로에 거버넌스, 가시성, 정책 준수를 포함해 모든 상호작용이 실시간으로 인증·권한 검증·모니터링되도록 해야 한다”고 강조했다.

보고서에 따르면 한국 기업 3곳 중 1곳은 민감한 데이터 처리 과정에 대한 무제한적 접근을 최우선 API 보안 위험 요소로 꼽았다. 리소스 남용과 보안 설정 오류도 30% 이상이 지적했으며, 이러한 문제는 디지털 서비스 장애와 고객 신뢰 저하로 이어질 수 있다.

한국 기업의 35%는 좀비 API를 고위험 요소로 평가했지만, 이를 찾아낼 효과적인 체계를 갖춘 곳은 27%에 불과했다. 노후화된 좀비 API는 문서화되지 않은 섀도 API와 함께 악용될 수 있는 보안 공백을 초래한다.

대부분의 OWASP API 보안 위험에 대해 충분한 대비가 되어 있다고 답한 기업은 3분의 1에 그쳐 구조적 준비 부족을 드러냈다. 여전히 웹방화벽(55%)과 ID 및 액세스 관리 솔루션(33%) 같은 기존 경계 보안에 크게 의존하고 있어, 실시간으로 변화하는 자율적 API 상호작용을 관리하는 데 한계를 보이고 있다.

조사 결과 한국 기업의 69%가 향후 1년 내 API 보안 예산을 늘릴 것으로 나타나 API 보안이 점차 경영진 차원의 우선순위로 자리잡고 있음을 보여줬다. F5는 AI 전환을 가로막을 수 있는 거버넌스 격차를 해소하기 위해 5가지 전략 과제를 제시했다.

주요 과제로는 경영진 차원의 API 거버넌스 책임 부여, API 라이프사이클 전 과정 관리 강화, API 트래픽 모니터링에 에이전트 인식 기반 가시성 내재화, OWASP 기반 정책의 일관된 적용, 거버넌스 아키텍처를 통한 API 행동과 비즈니스 연계 등이 포함됐다.

이번 연구는 트윔빗이 2025년 상반기 F5를 대신해 실시했으며, 한국을 포함한 아시아태평양 10개국의 보안·DevOps·SecOps·애플리케이션 개발 전문가 1,000명을 대상으로 했다.