세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
4년 만에 취약점 목록 발표한 OWASP, 뭐가 바뀌었나?
  |  입력 : 2017-04-12 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가장 큰 변화는 API의 추가...개발 환경 트렌드 변화 잘 파악한 듯
“추가 툴 도입하라” 촉구하기도...방어의 방식 바뀌어야 한다는 선언


[보안뉴스 문가용 기자] 4년 동안 침묵했던 OWASP이 이번 주 ‘OWASP 선정 최고의 취약점 10’(이하 OWASP Top 10)을 발표했다. 그런데 이 목록이 심상치 않다고 전문가들은 기쁘게 말하고 있다. 새롭게 애플리케이션 프로그래밍 인터페이스, 즉 API들이 추가되었기 때문이다. 이는 위협의 지형도 자체가 크게 변했다는 걸 의미하며, OWASP이 이를 잘 나타내 준 것이라고 관계자들은 분석하고 있다.

▲ 메리 오와습마스!


애플리케이션 보안 세계에서 굉장한 영향력을 가지고 있는 OWASP Top 10은 원래 개발자들을 돕기 위해 만들어진 것이다. 또한 보안 팀이 취약점 점검을 할 때 어느 정도 표준적인 기준이 되어 주기도 한다. 이 표를 바탕으로 다양한 제품 평가 알고리즘이 탄생하기도 한다.

보안 업체인 콘트라스트시큐리티(Contrast Security)의 CTO인 제프 윌리엄즈(Jeff Williams)는 이번에 발표된 목록을 보고 “OWASP Top 10이 현대의 고속화된 소프트웨어 개발 환경을 충실히 반영한 것으로 보인다”며 “이전 버전, 즉 2013년 Top 10에서는 볼 수 없었던 변화”라고 설명한다. “취약점 자체는 겹치는 게 많습니다. 하지만 API들이 추가되었고, 공격에 대한 대처법들이 더해져 조직들이 주요 이슈들을 위주로 보안 방책을 마련할 수 있게 되었습니다.”

또 다른 보안 업체인 프레보티(Prevoty)의 CTO인 쿠날 아난드(Kunal Anand) 역시 “API가 추가된 것이 이 목록에서 가장 중요한 점”이라고 짚어낸다. “최근 기업들은 API를 기반으로 한 마이크로서비스 위주의 데브옵스와 애자일 환경을 적극 도입하고 있죠. 한 마디로 개발의 체질 개선이 세계적으로 이루어지고 있다는 건데, 그것의 핵심이 API입니다.”

쿠날 아난드에 따르면 금융, 도소매 등을 포함한 다양한 산업에서 현재 ‘해체’가 이루어지고 있다고 한다. “대형 애플리케이션은 가고, 작고 재빠른 서비스들이 오고 있죠. 그렇기 때문에 한 개의 페이지를 만들어내기 위해 애플리케이션들에서 API 요청이 수도 없이 이루어지는 식으로 구조가 바뀌고 있습니다. 아니, API 자체로 이미 하나의 애플리케이션이나 다름없는 시대가 되었어요. 이미 사이버 공격은 API 프레임워크를 노리는 표적형 공격으로 전환되었고요.”

화이트햇 시큐리티(WhiteHat Security)의 부회장인 라이언 올리어리(Ryan O’Leary)는 “오랜만에 발표된 OWASP Top 10의 변화가, API 보안의 중요성에 대한 인식을 키워줄 것으로 보인다”고 기대감을 나타냈다. “시기적절한 변화입니다. 그러므로 매우 중요하기도 하죠. 세상에서 실제로 일어나고 있는 변화가 그대로 반영된, 놀라운 결과물이라고 보입니다.”

그렇지만 아난드와 올리어리 모두 “이런 변화가 결과물로 반영되기까지 너무 오랜 시간이 걸렸다”는 데에 동의한다. “OWASP Top 10은 매우 중요한 자료입니다. OWASP 측에서 이 자료에 조금 더 신경을 써줬으면 해요. 이번 목록이 발표되기 전에 애플리케이션 보안 관계자들은 전부 2013년 것을 사용했는데, 그때와 지금의 개발 환경은 대단히 달라서 효용성이 떨어지던 게 사실이었습니다. 아쉬운 측면이죠.”

아난드는 현재 반영되어야 할 추세가 API 말고도 더 있다고 지적한다. “서버가 없는, 서버리스 기술, 컨테이너화, 리액트(React)와 같은 모바일 개발 프레임워크 등의 속속 등장하고 있으며, 중요한 게임 체인저(game changer)의 역할을 하고 있습니다. 이런 것들 역시 조만간 반영이 되어야 할 겁니다. 다음 OWASP Top 10에서라면, 아마 필수적인 요소가 되지 않을까 하고 생각합니다. 다만 그 다음 OWASP Top 10이 언제 나올지가 관건이죠.”

하지만 애플리케이션 세계의 문제라는 게 지난 14년 동안 그다지 역동적으로 변화해오지는 않았다. OWASP이 게으르게 일한 건 아니라는 뜻. “그때 그때 취약점을 더하거나 빼거나 하는 작업은 항상 해왔습니다. 하지만 그 변화가 엄청나게 극적이지는 않았어요. 중요한 건 이 목록의 ‘전체’가 무엇을 뜻하고 있는가, 어떤 변화를 반영하고 있는가, 어떤 트렌드가 보이는가,를 읽어낼 줄 알아야 한다는 겁니다. 세부적인 취약점들 하나하나에 대해서는 동의하지 않을 수 있어요. 그러나 그 전체가 눈에 보이지 않게 드러내는 정보가 있다는 거죠.” 뉴콘텍스트서비스(New Context Services)의 보안 책임자인 벤 톰헤이브(Ben Tomhave)의 설명이다.

“취약점 하나하나의 큰 변화가 없다면, 매년 목록을 발표해야 할 필요도 없어 보입니다. 지금까지 나온 목록들을 쭉 비교해 봐도 큰 변화는 없어왔죠. 변화라는 게 우리가 두려워하는 것만큼 빨리 일어나는 건 아니라는 소리입니다. 또한, 취약점과 관련하여, 현재 우리가 가지고 있는 해결 방식이나 교육법이 효과적이지 않다는 뜻도 되지요. 지난 수년 간 작성되어 온 이 Top 10 목록에 큰 변화가 없다는 것만으로도 이런 중요한 결론들을 끌어낼 수 있습니다. 그렇다면 이런 ‘읽기’를 통해 더 나은 결과를 만드는 것이 우리 몫이겠죠.”

올리어리는 최근 OWASP에서도 벤의 말과 맥락을 같이하는 발표가 있었다며, “OWASP 역시 기업들이 WAF나 RASP 기술을 갖출 필요가 있다고 촉구했다”는 사실을 언급했다. “WAF나 RASP 기술을 통해 탐지하고, 대응하고, 패치해야 한다는 게 OWASP 측의 설명입니다. OWASP은 ‘주요 취약점에는 어떤 게 있으며, 어떻게 고쳐야 하는지’를 중점적으로 다뤄왔는데, WAF와 RASP 기술을 갖추라고 말함으로써 ‘서드파티 툴이나 서비스를 이용해야 할 때가 됐다’고 선언한 것이나 다름없거든요. 한 마디로 ‘이제 방식을 바꿀 때가 되었다’고 발표한 겁니다.”

올리어리는 OWASP의 등장으로 당분간 API와 WAF, RASP 등에 대한 이야기가 계속해서 나올 것이라고 예상하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#api   #변화   #애플리케이션   #보안   


5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)