Home > Àüü±â»ç

½É°¢ÇÑ ¾ÖÇø®ÄÉÀ̼ǵéÀÇ º¸¾È »óȲ, Á¡°Ë ¹æ¹ý ´Ù¾çÈ­·Î ¾î´À Á¤µµ ÇØ°á °¡´É

ÀÔ·Â : 2022-11-16 15:11
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¼öõ °³ÀÇ ¾ÛÀ» ¼öõ ¹ø Á¡°ËÇß´õ´Ï ¼³Á¤ ¿À·ù¿Í Ãë¾àÁ¡µéÀÌ ¹«´õ±â·Î ³ª¿Ô´Ù. ¿ÀǼҽºµµ ¹®Á¦À̱ä ÇÏÁö¸¸ »ý°¢º¸´Ù ³ôÀº ºñÁßÀ» Â÷ÁöÇÏ°í ÀÖÁö´Â ¾Ê¾Ò´Ù. Á¡°Ë ¹æ¹ýÀ» ´Ù¾çÈ­ Çϰųª óÀ½ºÎÅÍ º¸¾ÈÀ» °í·ÁÇÑ ¼³°è¸¦ ÁøÇàÇÏ¸é ±º°èÀÏÇÐÀÌ µÉ ¼ö ÀÖ´Ù°í ÇÑ´Ù.

[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] °ÅÀÇ ¸ðµç ¾ÖÇø®ÄÉÀ̼ǵ鿡 ÃÖ¼Ò ÇÑ °³ ÀÌ»óÀÇ Ãë¾àÁ¡À̳ª ¼³Á¤ ¿À·ù°¡ ÀÖ´Â °ÍÀ¸·Î Á¶»çµÆ´Ù. SSL°ú TLSÀÇ ¼³Á¤ ¿À·ù, CSP Çì´õ ºÎÀç, Á¤º¸¸¦ À¯Ãâ½ÃÅ°´Â ¼­¹ö ¹è³Ê°¡ º¸¾È¿¡ Á÷Á¢ÀûÀ¸·Î ¿µÇâÀ» ÁÖ´Â ¹®Á¦µé Áß °¡Àå ºó¹øÈ÷ ³ªÅ¸³ª´Â °ÍÀ¸·Î Áý°èµÆ°í, Ãë¾àÁ¡À̳ª ¼³Á¤ ¿À·ù Áß 25%´Â °íÀ§Ç豺 ȤÀº ÃÊ°íÀ§Ç豺¿¡ ¼ÓÇÑ °ÍÀ¸·Î ºÐ·ùµÆ´Ù. ÀÌ¿¡ ´ëÇØ º¸¾È ¾÷ü ½Ã³ñ½Ã½º(Synopsys)°¡ ¹ßÇ¥Çß´Ù.

[À̹ÌÁö = utoimage]


½Ã³ñ½Ã½ºÀÇ ¼ÒÇÁÆ®¿þ¾î ¹«°á¼º ±×·ì(Software Integrity Group) ´ã´çÀÚÀÎ ·¹ÀÌ Ä̸®(Ray Kelly)´Â ¡°¼³Á¤ ¿À·ù ¹®Á¦µéÀº Á» ´ú ½É°¢ÇÑ ¹®Á¦·Î ÀνĵǴ °æÇâÀÌ Àִµ¥, ¼³Á¤ ¿À·ù³ª ÄÚµù ¹®Á¦³ª À§ÇèÇÏ±ä ¸¶Âù°¡Áö¡±¶ó°í °­Á¶ÇÑ´Ù. ¡°º¸Åë ½ÃÅ¥¾î ÄÚµùÀ̶ó°í Çϸé Á¤Àû ½ºÄµÀ» ÅëÇØ ¹ß°ßµÇ´Â Ãë¾àÁ¡À» Á¦°ÅÇÏ´Â °ÍÀ» ¸»ÇÕ´Ï´Ù. Á¡Á¡ ¸¹Àº ±â¾÷µéÀÌ ÀÌ ºÎºÐÀ» Àß Çس»°í ÀÖÁö¿ä. ÇÏÁö¸¸ ¿©±â¿¡ Áö³ªÄ¡°Ô ½Å°æÀ» ¾´ °ÍÀÎÁö ±âº»ÀûÀÎ ¼³Á¤ ºÎºÐÀ» °£°úÇÒ ¶§°¡ ¸¹½À´Ï´Ù. Á¤Àû ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Á¡°Ë(SAST) ½ºÄµÀ» ÅëÇؼ­´Â ¼³Á¤ ¿À·ù¸¦ Àâ¾Æ³»±â°¡ Èûµì´Ï´Ù. ÀÌ ¼³Á¤À̶ó´Â °Ç, Äڵ尡 ½ÇÁ¦ ȯ°æ¿¡ ±¸ÃàµÇ´Â °Í°ú °ü·ÃµÈ ºÎºÐÀ̴ϱî¿ä. ½ÇÁ¦ ȯ°æ¿¡ ±¸ÃàµÈ »óÅ¿¡¼­ÀÇ Á¡°ËÀ» SAST·Î´Â ÇÒ ¼ö ¾øÁö¿ä.¡±

±×·¸±â ¶§¹®¿¡ SAST¿¡ ´õÇØ ¼³Á¤ ¹®Á¦¸¦ Á¡°ËÇÒ ¼ö ÀÖ´Â µµ±¸µµ Ãß°¡ÇÏ´Â °ÍÀÌ ¾ÈÀüÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀ» ¸¸µå´Â µ¥ µµ¿òÀÌ µÈ´Ù°í ÇÒ ¼ö ÀÖ´Ù. ¡°¿¹¸¦ µé¾î ¸ðÀÇ ÇØÅ·À» ÇÑ´Ù¸é SSL/TLS ¼³Á¤ÀÇ ¿À·ù ¹®Á¦¸¦ 77% Á¤µµ Àâ¾Æ³¾ ¼ö ÀÖ½À´Ï´Ù. µ¿Àû ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Á¡°Ë(DAST)À» ÇÑ´Ù¸é ŽÁöÀ²À» 81%·Î±îÁö ´Ã¸± ¼ö ÀÖÁö¿ä. ÀÌ µÎ °¡Áö Áß Çϳª¿¡ ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Á¡°Ë(MAST)±îÁö ½Ç½ÃÇÑ´Ù¸é 82%±îÁö SSL/TLS ¼³Á¤ ¿À·ù¸¦ ã¾Æ³À´Ï´Ù.¡±

º¸¾È ¾÷ü º£¶óÄÚµå(Veracode)µµ Áö³­ 2¿ù ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È°ú °ü·ÃµÈ º¸°í¼­¸¦ ¹ßÇ¥ÇÑ ¹Ù ÀÖ´Ù. Áö³­ 10³â µ¿¾È ¾ÖÇø®ÄÉÀÌ¼Ç ½ºÄµ ÇàÀ§°¡ 3¹è ´Ã¾î³µ´Ù´Â ³»¿ëÀ» ´ã°í ÀÖ¾ú´Ù. ÇÏÁö¸¸ 77%ÀÇ ¼­µåÆÄƼ ¶óÀ̺귯¸®¿¡ ¿©ÀüÈ÷ ¾Ë·ÁÁø Ãë¾àÁ¡µéÀÌ Á¸ÀçÇϸç, Ãë¾àÁ¡ÀÌ °ø°³µÈ ÈÄ Æò±Õ 3°³¿ù µ¿¾È ¼­µåÆÄƼ ¶óÀ̺귯¸®µé¿¡¼­ Á¦°ÅµÇÁö ¾Ê¾Ò´Ù´Â ³»¿ëµµ Æ÷ÇԵǾî ÀÖ¾ú´Ù. ÆÐÄ¡°¡ ³ª¿Íµµ 3°³¿ù Á¤µµ´Â Àû¿ëµÇÁö ¾ÊÀº ä È°¿ëµÈ´Ù´Â °Ô ´ç½Ã ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÇ Çö½ÇÀ̶ó´Â ¶æÀÌ´Ù.

´ç½Ã¿¡µµ º£¶óÄÚµå´Â ¡°Á¤Àû ½ºÄµ°ú µ¿Àû ½ºÄµÀ» °°ÀÌ »ç¿ëÇÏ´Â ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß»ç´Â ±×·¸Áö ¾ÊÀº °³¹ß»çº¸´Ù Æò±Õ 24ÀÏ ºü¸£°Ô Ãë¾àÁ¡À» ÇØ°áÇÑ´Ù¡±°í ¹ßÇ¥Çß¾ú´Ù. ±×·¯¸é¼­ ¡°º¸¾È ½ºÄµÀÌ Æ÷ÇÔµÈ Áö¼ÓÀûÀÎ ½ÇÇè°ú Á¡°Ë, ÅëÇÕÀÌ Á¡Á¡ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ßÀÇ Ç¥ÁØÀÌ µÇ¾î°¡°í ÀÖ´Ù¡±°íµµ ÁÖÀåÇß´Ù. ½Ã³ñ½Ã½ºÃ³·³ ´Ù°¢µµÀÇ Á¡°ËÀÌ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾ÈÀ» Çâ»ó½ÃŲ´Ù´Â º¸°í¼­¶ó°í º¼ ¼ö ÀÖ´Ù.

SAST³ª DAST, È¥ÀÚ¼­´Â ºÎÁ·ÇØ
½Ã³ñ½Ã½º°¡ À̹ø¿¡ ¹ßÇ¥ÇÑ ¹Ù¿¡ ÀÇÇϸé Åë½Å ¾Ïȣȭ¿Í °ü·ÃµÈ ±â¼úµé¿¡¼­ °¡Àå ¸¹Àº ¹®Á¦°¡ ¾ß±âµÈ´Ù°í º¼ ¼ö ÀÖ´Ù. SSL°ú TLS°¡ ¸ð¹ÙÀÏ ¾ÖÇø®ÄÉÀ̼ǵ鿡¼­ °¡Àå ¸¹ÀÌ ³ªÅ¸³ª´Â ¿À·ù¶ó°í ÇÏ´Ï ¸»ÀÌ´Ù. ÇÏÁö¸¸ ¹®Á¦´Â À̰ͺ¸´Ù ÈξÀ ´õ ¸¹´Ù. 

1) ºñ¹Ð¹øÈ£ ¼³Á¤ ¿À·ù°¡ Ãë¾àÇÑ °æ¿ì°¡ 1/4¿¡¼­ ³ªÅ¸³µ´Ù - ¸ðÀÇ ÇØÅ·À» ÅëÇØ Ã£¾Æ³¿.
2) XSS Ãë¾àÁ¡ÀÌ 22%¿¡¼­ ³ªÅ¸³µ´Ù - ¸ðÀÇ ÇØÅ·À» ÅëÇØ Ã£¾Æ³¿
3) ¼¼¼Ç ŸÀӾƿôÀÌ Á¦´ë·Î ¼³Á¤µÇÁö ¾ÊÀº ¾ÖÇø®ÄÉÀ̼ÇÀÌ 38%¿´´Ù - DAST¸¦ ÅëÇØ Ã£¾Æ³¿.
4) Ŭ¸¯ÀçÅ· Ãë¾àÁ¡À» Æ÷ÇÔÇÏ°í ÀÖ´Â ¾ÖÇø®ÄÉÀ̼ÇÀÌ 30%¿´´Ù - DAST¸¦ ÅëÇØ Ã£¾Æ³¿.

°¢ Á¡°Ë ¹æ¹ý¸¶´Ù °­Á¡µéÀÌ ÀÖ°í, ÀÌ ¶§¹®¿¡ Á¡°ËÀÇ ¹æ¹ýÀ» ´Ù¾çÈ­ Çϸé ÇÒ¼ö·Ï ¼û°ÜÁø ¹®Á¦µéÀ» ã¾Æ³¾ °¡´É¼ºÀÌ ³ô¾ÆÁø´Ù´Â °ÍÀ̶ó°í º¼ ¼ö ÀÖ´Ù. ¡°¹°·Ð ÀÌ´Â ´©±¸³ª ¾Æ´Â ³»¿ëÀÔ´Ï´Ù. Á¡°ËÀ» ´õ Çϸé ÇÒ¼ö·Ï ´õ ¸¹Àº ¹®Á¦¸¦ ã¾Æ¼­ ÇØ°áÇÒ ¼ö ÀÖ´Ù´Â °Í ¸»ÀÌÁÒ. ÇÏÁö¸¸ ±×·¯·Á¸é ½Ã°£°ú µ·ÀÌ Ãß°¡·Î µé¾î°¡ÁÒ. Á¦´ë·Î Á¡°ËÀ» ÇÏ°í ½Í¾îµµ ÇÏÁö ¸øÇÏ´Â ±â¾÷µé ÀÔÀå¿¡¼­´Â ¾µµ¥¾ø´Â Á¶¾ðÀÏ °Ì´Ï´Ù. ±×·¸±â ¶§¹®¿¡ Áß¿äÇØÁö´Â °Ç ¡®¼³°è¿¡ ÀÇÇÑ º¸¾È(security by design)¡¯À̶ó´Â °³³äÀÔ´Ï´Ù. ¾Û ¼³°è ½ÃÁ¡ºÎÅÍ ¿Ï¼º ½ÃÁ¡±îÁö º¸¾È ¿ä¼ÒµéÀ» °è¼ÓÇؼ­ »ðÀÔÇÏ´Â °ÍÀÌÁÒ. ÀÌ·¸°Ô ÇÏ´Â °Ô ³ªÁß¿¡ º¸¾È Á¡°ËÀÇ °¡Áþ¼ö¸¦ ´Ã¸®´Â °Íº¸´Ù ÈξÀ È¿À²ÀûÀÌ°í Àú·ÅÇÕ´Ï´Ù.¡±

½Ã³ñ½Ã½º´Â À̹ø º¸°í¼­ ÀÛ¼ºÀ» À§ÇØ 2700°³ ÀÌ»óÀÇ ¾ÖÇø®ÄÉÀ̼ǵéÀ» 4400ȸ ÀÌ»ó ½ÇÇèÇß´Ù°í ÇÑ´Ù. ¼³Á¤ ¿À·ù¸¦ Á¦¿ÜÇÏ°í, Ãë¾àÁ¡µé Áß °¡Àå ºó¹øÈ÷ ³ªÅ¸³­ °Ç XSS Ãë¾àÁ¡À̾ú´Ù. ¡°ÃÑ Ãë¾àÁ¡ Áß 22%°¡ XSS¿´½À´Ï´Ù. ´ëºÎºÐ °íÀ§Ç豺À¸·Î ºÐ·ùµÇ±â¿¡ ÃæºÐÇÑ °ÍµéÀ̾ú½À´Ï´Ù. À§Çèµµ·Î µûÁö¸é ÃÊ°íÀ§Çèµµ·Î ºÐ·ùµÈ SQL ÁÖÀÔ Ãë¾àÁ¡ÀÌ °¡Àå ¸¹ÀÌ ³ªÅ¸³µ½À´Ï´Ù. Àüü Ãë¾àÁ¡ÀÇ 4%¸¦ Â÷ÁöÇÏ°í ÀÖ¾ú½À´Ï´Ù.¡±

¼ÒÇÁÆ®¿þ¾î °ø±Þ¸ÁÀ̶ó´Â À§Çè
Çö´ë ¼ÒÇÁÆ®¿þ¾î Äڵ庣À̽ºÀÇ 80%´Â ¿ÀǼҽº ¿ä¼ÒµéÀÌ´Ù. ±×·¸±â ¶§¹®¿¡ À̹ø Á¶»ç¿¡¼­ Äڵ庣À̽ºÀÇ 81%¿¡¼­ ÃÖ¼Ò ÇÑ °¡Áö ÀÌ»óÀÇ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú°í, 85%¿¡¼­ ±¸¹öÀüÀÇ ¿ÀǼҽº°¡ ŽÁöµÆ´Ù´Â »ç½ÇÀÌ ±×¸® ³î¶ó¿î ÀÏÀº ¾Æ´Ï´Ù. ¿ÀǼҽº´Â °³¹ß ÇàÀ§¸¦ ¸Å¿ì Æí¸®ÇÏ°Ô ¸¸µé¾îÁֱ⵵ ÇÏÁö¸¸ ¹Ý´ë·Î ¾ÖÇø®ÄÉÀ̼ÇÀ» À§ÇèÇÏ°Ô ¸¸µå´Â ÁÖ¹üÀ̱⵵ ÇÏ´Ù.

ÇÏÁö¸¸ ½Ã³ñ½Ã½º´Â ¡°¿ÀǼҽº°¡ ¾ÖÇø®ÄÉÀÌ¼Ç ¹®Á¦ÀÇ °¡Àå Å« ¿øÀÎÀ̶ó°í °á·ÐÀ» ³»¸®±â´Â Èûµé´Ù¡±´Â ÀÔÀåÀÌ´Ù. ¡°°ø±Þ¸Á°ú ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î ¿ä¼Òµé¿¡¼­ ¹ß°ßµÈ Ãë¾àÁ¡µéÀº ¾ÖÇø®ÄÉÀ̼ǵ鿡¼­ ¹ß°ßµÇ´Â Àüü ¹®Á¦ÀÇ 1/4 Á¤µµ¸¸À» Â÷ÁöÇÕ´Ï´Ù. ¸ðÀÇ ÇØÅ·À» ÅëÇØ Ã£¾Æ³½ ¹®Á¦µé Áß ¡®Ãë¾àÇÑ ¼­µåÆÄƼ ¿ä¼Òµé¡¯À» »ç¿ëÇÑ °ÍÀÌ ¿øÀÎÀÌ µÇ´Â °ÍÀº 21%¿´°í, SAST¸¦ ÅëÇؼ­´Â 27%¸¸ÀÌ ¿©±â¿¡ ÇØ´çÇß½À´Ï´Ù. ¿ÀǼҽº³ª ¼­µåÆÄƼ ¿ä¼ÒµéÀÌ ¹®Á¦°¡ µÇ´Â °æ¿ì´Â »ý°¢º¸´Ù Àû¾ú½À´Ï´Ù.¡±

ÀÌ·¯ÇÑ ¿¹»ó ¿ÜÀÇ °á°ú¿¡ ´ëÇØ Ä̸®´Â ¡°¼ÒÇÁÆ®¿þ¾î ±¸¼ºÇ° ºÐ¼®(SCA)ÀÌ °³¹ß»çµé »çÀÌ¿¡¼­ ³Î¸® »ç¿ëµÇ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù¡±°í ºÐ¼®ÇÑ´Ù. ¡°¿ÀǼҽº³ª ¼­µåÆÄƼ ¿ä¼Òµé¿¡¼­ ³ª¿À´Â ¹®Á¦µéÀº SCA¿Í °°Àº ±â¼úÀ» »ç¿ëÇÏ¸é °³¹ß Ãʱ⿡ ¹Ì¸® ¹ß°ßÇØ ÇØ°áÇÒ ¼ö ÀÖ½À´Ï´Ù. ³ªÁß¿¡ °ñÄ¡ ¾ÆÇà ¼ö ÀÖ´Â ¹®Á¦¸¦ ¹Ì¸®¹Ì¸® Á¦°ÅÇÏ´Â °ÍÀÌÁÒ.¡±

3ÁÙ ¿ä¾à
1. ¾ÖÇø®ÄÉÀÌ¼Çµé ´ëºÎºÐ ¼³Á¤ ¿À·ù³ª Ãë¾àÁ¡ ÇÑ °³ ÀÌ»ó °¡Áö°í ÀÖÀ½.
2. ¼­µåÆÄƼ¿Í ¿ÀǼҽº¿¡ ´ëÇÑ ÀÇÁ¸µµ°¡ ³ô´Ù´Â °Íµµ ¹®Á¦Àε¥, °¡Àå Å« ¹®Á¦´Â ¾Æ´Ô.
3. ¾ÖÇø®ÄÉÀÌ¼Ç Á¡°Ë ¹æ¹ýÀ» ´Ù¾çÈ­Çϰųª, ¼³°è¿¡ ÀÇÇÑ º¸¾ÈÀ̶ó´Â °³³äÀ» µµÀÔÇϰųª.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)