플래시 애플리케이션 악용한 해킹사고 급증

한국HP, 해킹공격 대비 무료 웹보안 점검툴 제공

한국HP(대표 최준근 www.hp.co.kr)는 오늘, 플래시(Flash) 개발자들이 의도하지 않은 애플리케이션 보안 취약점으로부터 웹 사이트를 보호하고, 해커가 중요한 데이터에 액세스하는 위험을 줄일 수 있도록 지원해 주는 무료 툴인 'HP 스위프스캔(HP SWFScan)'을 발표했다.

기업들이 사용자에게 보다 나은 온라인 경험을 제공하기 위해 애플리케이션 현대화에 노력하면서 Adobe Flash Platform을 포함한 Web 2.0 기술로 이전하고 있다. 인터넷으로 연결된 전세계 PC 98% 이상에 Adobe Flash Player가 설치되어 있고 30-40%의 사이트가 플래시 파일을 운용하는 터라, 플래시 기술에 기반한 웹 애플리케이션들이 보안상 안전하게 개발되어야 하는 중요성이 절실히 대두되고 있다.

이런 추세를 반영하여 HP의 해킹 보안 연구소인 HP Web Security Research Group은 플래시 기술을 악용하여 부정한 접근이 가능한 해킹 기술을 발견하고, 이에 대비하여 플래시 애플리케이션의 보안 취약점을 사전에 파악해 주는 점검 툴인 HP 스위프스캔을 개발하고 공익적인 활용을 위해 무상 배포를 실시한다.

스위프스캔은 플래시 개발자로 하여금 보안에 관한 전문 지식 없이도 보다 안전한 코드로 개발할 수 있도록 해준다. 이 툴은 플래시 애플리케이션을 디컴파일하고 액션 스크립트 코드의 추출 및 그 소스 코드의 동작을 분석함으로써, 대표적인 200여 개의 보안 취약점을 스캔하고 점검하며 보고서를 작성해 준다. 스위프스캔은 정적 분석을 수행하는 최초의 툴로써, 일부 알려진 플래시 보안 점검 기술인 동적 방식으로는 찾아낼 수 없는 'Information Disclosure' 취약점 등에 대응할 수 있도록 해준다.

플래시 개발자는 HP 스위프스캔을 통해 다음과 같은 작업들을 수행할 수 있다.

악의적인 해커들이 목표로 삼는 잘 알려진 보안 취약점들을 스캔한다. 여기에는 무방비 상태로 데이터베이스를 노출시키는 Information Disclosure, Cross-site scripting, 지마Cross-domain privilege escalation 등 대표적인 취약점 200여 가지가 포함된다.

소스 코드에서 취약점을 강조하고 보안 이슈 해결 방법에 대한 확실한 지침을 받아 문제를 신속하게 수정한다.

보안 베스트 프랙티스 및 가이드라인의 준수 여부를 확인한다.

Adobe의 보안 소프트웨어 엔지니어링팀 제품 보안 및 개인 정보 담당 이사인 Brad Arkin(브래드 알킨)은 "대규모 미디어 기업과 비즈니스 크리티컬한 애플리케이션들에 의해 Adobe Flash Platform이 점점 더 많이 사용되고 있다. 당사는 HP와의 협력을 통해 개발자들이 컨텐츠와 고객을 안전하게 보호할 수 있는 툴을 갖출 수 있도록 지원하고 있다"면서, "HP 스위프스캔 툴을 기반으로 한 양사 간의 공조는 플래시 개발자가 개발 프로세스 초기에 잠재된 보안 이슈를 찾아내는 데 도움을 주어, 웹 애플리케이션이 배포되기 전에 문제를 사전에 파악하여 예방할 수 있도록 해준다"고 말했다.

보안 취약점의 파악과 수정, 그리고 예방

HP 스위프스캔이 예방할 수 있는 보안 취약점의 예를 들면, 기밀 정보를 해커들이 액세스할 수 있는 상태로 방치하는 것이다. 플래시 개발자들은 패스워드, 암호화 키, 데이터베이스 정보와 같은 액세스 정보를 애플리케이션에 직접 인코딩함으로써 의도하지 않은 취약점을 종종 발생시키곤 한다. 해커들이 이런 취약점을 어떻게 악용할 수 있는지에 대한 예를 유투브 또는 HP의 비디오사이트(hpvideos.feedroom.com) 내 "Billy Wins a Cheeseburger"에서 살펴볼 수 있다. 취약점을 악용하여 치즈버거를 계속 받아내는 내용이 담겨 있다.

HP는 플래시 플랫폼 기반으로 개발된 4,000여 개의 웹 애플리케이션을 분석한 결과, 35%가 Adobe 보안 베스트 프랙티스에 위배된다는 사실을 발견했다. 해커는 이런 점을 노려 보안 조치 기능을 우회하여 아무런 방해도 받지 않고 중요한 정보에 액세스할 수 있게 된다. HP 스위프스캔은 개발자가 이런 점들이 실제 문제로 발전하기 전에 미리 발견하여 해결하기를 권장한다.

스위프스캔을 개발한 HP의 해킹 보안 연구소인 HP Web Security Research Group은 보안 분야에서 저명한 많은 전문가들을 보유하고 있으며, 웹과 관련된 보안 위협을 추적하고 IT 전문가가 애플리케이션 보안 취약점을 제거할 수 있게 지원하는 신기술을 개발한다. 이 그룹의 연구 결과는 애플리케이션 보안 품질 관리 솔루션인 HP Application Security Center 제품군에 반영 및 구체화된다.

HP Application Security Center에는 통합 보안 품질 관리 플랫폼인 HP Assessment Management Platform과 애플리케이션 개발자를 위한 코드 보안 점검 툴인 HP DevInspect, 품질 관리 조직을 위한 HP QAInspect, 보안 전문가 및 IT 관리자를 위한 HP WebInspect 소프트웨어가 제공된다.

한국HP 소프트웨어 솔루션 사업부 총괄 이상렬 상무는 "Web 2.0 기술로 애플리케이션을 현대화하는 기업들은 악의적인 해커 공격을 예방하고 보안 특성에 따른 소프트웨어 결함을 없애는 데 만전을 기해야 한다"면서, "HP는 앞으로도 지속적인 보안 연구를 통해 얻어진 결과를 그대로 솔루션으로 구현함으로써, 웹 애플리케이션의 안정적인 운영을 위해 최선을 다할 것"이라고 말했다.

HP 스위프스캔은 웹사이트 www.hp.com/go/swfscan에서 무료로 다운로드할 수 있다.

한편, HP는 이번 스위프스캔 무상 배포 이전에도 대표적인 웹 해킹 기술인 'SQL Injection'의 보안 취약성을 점점해주는 '스크라울러(Scrawlr)' 툴을 마이크로소프트의 요청으로 무상 배포한 바 있다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)