소스코드 취약점, 정적·동적분석은 필수

국가 기간망 SW 대상 폭 넓은 취약점 점검해야

[보안뉴스 김태형] 정부가 최근 시큐어코딩 제도 확대 적용에 나서면서 전자정부 운영과 유지보수에도 시큐어코딩이 적용될 것으로 보인다.

정부는 지난 2012년 소프트웨어 취약점을 이용해 전자정부 시스템에 대한 사이버 공격이 발생함에 따라 소프트웨어 개발단계부터 취약점을 점검하고 보안성을 강화해 개발하도록 하는 시큐어코딩 도입을 전 공공기관에 의무화했다.

이에 따라 올해는 20억원 이상 공공기관 IT 사업에 시큐어코딩을 적용해야 하며 2015년부터는 모든 공공기관 전자정부 사업에 시큐어코딩이 의무 적용된다.

이미 해외에서는 웹보안 취약점 등을 기준으로 OWASP 시큐어코딩 규칙에 따른 소프트웨어 취약점 점검 가이드와 소프트웨어 취약점 관련 단체, MITRE의 소프트웨어 취약점 가이드를 따르고 있으며 우리나라보다 5년이나 앞서 있는 상황이다.

특히 미국에서는 국가기간망에 들어가는 소프트웨어를 공급하기 위해서는 보안적합성 검증과 소스코드 보안취약점 점검을 받았다는 증명서가 첨부돼야 제공이 가능하도록 제도적 장치가 마련되어 있다.

하지만 우리나라는 안행부에서 시큐어코딩 가이드 필수 47개 보안취약점을 명시해 시스템 개발 시 참고하도록 하고 있어 다양하고 많은 소스코드 보안 취약점 가운데 최소한의 기준만 정해 점검하도록 정하고 있다.

이에 대해 MDS테크놀로지 이동재 대리는 “소스코드 취약점 점검을 위해서 안행부가 제시한 47개의 보안 취약점 점검만으로는 SW의 보안을 담보할 수 없다. 특히 국가기간망에 들어가는 소프트웨어에 대해서는 정적분석과 함께 동적분석, 즉 직접 공격값을 입력해 공격을 해보는 테스트와 실제 구현에서 기능상의 문제점을 점검하고 해당 취약점에 대해서는 보완을 해야 안전한 기간망 운영이 가능하다”고 말했다.

이어서 그는 “미국 정부단체 산하 비영리기관인 MITRE(소프트웨어 취약점에 대한 가이드라인 관련 단체, http://cwe.mitre.org)에서는 약 790여개의 소프트웨어 취약점 점검 기준을 제시하고 있다”면서 “소스코드 자체에 대한 취약점 분석도 중요하지만 이 소스코드로 만든 SW가 구현되었을 때 기능적인 문제점에 대한 점검도 필수적”이라고 강조했다.

이와 같이 웹 애플리케이션 및 웹 서비스에 대한 보안 테스트를 통한 취약점 탐지가 가능한 정적분석·동적분석 도구로 MDS테크놀로지의 웹 취약점 점검 도구 ‘Defensics’가 있다.

▲ MDS테크놀로지의 웹 취약점 점검 도구 ‘Defensics’의 특징

특히 ‘Fuzz Testing’을 통해 일반 동적 분석보다 훨씬 넓은 테스트 커버리지를 지원한다. 이는 해커가 보안취약점을 찾기 위해 비정상적으로 변형된 대량의 랜덤 데이터를 애플리케이션에 보내 오작동을 유도하는 동적분석의 특수한 형태이다. 또한 DDoS 공격과 같은 특수한 경우를 만들어 해당 시스템이 얼마나 강건한지 또는 취약점이 없는지 확인이 가능하다.

이 외에도 Defensics는 △200개 이상의 표준 프로토콜 지원 △프로토콜별 수만 개 이상의 테스트 케이스 지원 △웹, 네트워크, 무선, 디지털 미디어의 주요 공격 지점에 대한 보안취약점 테스트 △빠른 테스트 실행 시간으로 IPv4의 경우 1만 개 테스트 케이스 수행 시 3~4분 소요 △로그 및 테스트 케이스 통해 보안취약점 수정 가이드 등을 제공한다.

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)