¿ÀǼҽº »ç¿ë¼öÄ¢ ¼ö¸³, ¿ä¼Ò ¸ñ·ÏÈ µî º¸¾È ÁöÅ°´Â Á¶Á÷ ½À°ü ±â¸£±â
[º¸¾È´º½º ¿À´ÙÀÎ ±âÀÚ] ¹Ì±¹ÀÇ ½ÃÀåÁ¶»ç Àü¹®¾÷ü Æ÷·¹½ºÅÍ ¸®¼Ä¡(Forrester Research)´Â ÃÖ±Ù ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß¿¡¼ ¿ÀǼҽºÀÇ µÎµå·¯Áø °¼¼¸¦ ¾ð±ÞÇØ À̸ñÀ» ÁýÁß½ÃÄ×´Ù. ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ¹éÁö¿¡¼ Á÷Á¢ ÀÛ¼ºÇÑ ÄÚµåÀÇ ºñÁßÀÌ ÇöÀç 10%¿¡¼ 20% ¼öÁعۿ¡ µÇÁö ¾Ê´Â´Ù´Â °ÍÀÌ µå·¯³µ´Ù.
±âÁ¸ÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ÅøÀÎ DAST(Dynamic Analysis Security Testing)¿Í SAST(Static Analysis Security Testing)´Â ÀÚü Á¦ÀÛµÈ ¾ÖÇø®ÄÉÀÌ¼Ç Äڵ忡¼ ¹ö±×¸¦ ã´Â µ¥ È¿°úÀûÀÌÁö¸¸ Àß ¾Ë·ÁÁöÁö ¾ÊÀº ¿ÀǼҽº ¿ä¼ÒµéÀÇ Ãë¾àÁ¡À» ã¾Æ³»±â¿£ ½â È¿°úÀûÀÌÁö ¾Ê´Ù. SASTÀÇ °æ¿ì, ¹ö±×°¡ °ø°³µÇ°í ³ª¼ ¼ö°³¿ù ¶Ç´Â ¼ö³â µ¿¾È È¿°ú¸¦ ¹ßÈÖÇÏÁö ¸øÇÏ°í ÀÖ´Â °ÍÀÌ »ç½ÇÀÌ´Ù.
¨Ï iclickart
¿ÀǼҽº Ãë¾àÁ¡ÀÇ ´ëºÎºÐÀº DAST³ª SAST Åø¿¡ ÀÇÇؼ°¡ ¾Æ´Ï¶ó º¸¾È ¿¬±¸¿øµé¿¡ ÀÇÇØ º¸°íµÇ°í ÀÖ´Ù. 2004³âºÎÅÍ 74,000°Ç ÀÌ»óÀÇ Ãë¾àÁ¡ÀÌ ¹Ì±¹ÀÇ ±¹°¡Ãë¾àÁ¡µ¥ÀÌÅͺ£À̽º(NVD: National Vulnerability Database)¿¡ ÀÇÇØ µå·¯³µÁö¸¸, ±× Áß ¾ÆÁÖ ÀϺθ¸ÀÌ DAST¿Í SAST, ±×¸®°í Fuzzer¿Í °°Àº ÆÇ¸Å¿ë º¸¾È Åø¿¡ ÀÇÇØ Å½ÁöµÈ´Ù.
Àüü »çÀ̹ö °ø°ÝÀÇ 80% ÀÌ»óÀÌ ¾ÖÇø®ÄÉÀ̼ÇÀ» ´ë»óÀ¸·Î ÇÑ´Ù´Â »ç½Çµµ Áß¿äÇÏ´Ù. »çÀ̹ö °ø°ÝÀÇ ÃÖ¿ì¼± °ø°Ý´ë»óÀÌ ¾ÖÇø®ÄÉÀ̼ÇÀ̶ó´Â »ç½Ç, ¿ÀǼҽº°¡ ¿À´Ã³¯ ¾ÖÇø®ÄÉÀÌ¼Ç ÄÚµåÀÇ ±Ù°£À̶ó´Â »ç½Ç, ±×¸®°í ±âÁ¸ÀÇ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ÅøÀÌ ¿ÀǼҽº¸¦ ¹àÈ÷´Â µ¥ ºñÈ¿°úÀûÀ̶ó´Â »ç½Ç µî Àü¹ÝÀ» °í·ÁÇÒ ¶§, ¿ÀǼҽºÀÇ Ãë¾àÁ¡ÀÌ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È¿¡ °¡Àå Å« À§Çù ¿ä¼Ò¶ó´Â °á·Ð¿¡ ´Ù´Ù¸£°Ô µÈ´Ù.
ºí·¢´ö ¼ÒÇÁÆ®¿þ¾î(Black Duck Software)ÀÇ ¿¬±¸°á°ú¿¡ µû¸£¸é, »ó¾÷¿ë ¾ÖÇø®ÄÉÀ̼ÇÀº Æò±Õ 140°³ÀÇ °³º° ¿ÀǼҽº ¿ä¼Ò·Î ±¸¼ºµÅÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù. ¿©±â´Ù 3,600°³°¡ ³Ñ´Â »õ·Î¿î ¿ÀǼҽº ¿ä¼Ò Ãë¾àÁ¡µéÀÌ 2016³â º¸°íµÈ ¹Ù Àִµ¥, ÀÌ´Â 2015³â¿¡ ºñÇØ ÇÏ·ç¿¡ Æò±Õ 10°³¾¿, 10% ºñÀ²·Î ¹ß°ßµÆ´Ù´Â ¶æÀÌ´Ù. ¿ÀǼҽºÀÇ È¿°úÀûÀÎ º¸¾È°ú °ü¸®¿¡ ´ëÇÑ ÇÊ¿ä°¡ ºÐ¸íÇغ¸ÀÌÁö¸¸ ºí·¢´ö °í°´µéÀÇ Äڵ带 Á¶»çÇÑ °á°ú, ¸¹Àº Á¶Á÷µéÀÌ ¿ÀǼҽº¸¦ »ç¿ëÇÔÀ¸·Î½á ³ëÃâµÇ´Â º¸¾È ¹× ¶óÀ̼±½º ÄÄÇöóÀ̾𽺠À§ÇèµéÀ» ÀüÇô ÀÎÁöÇÏÁö ¸øÇÏ°í ÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù.
¿Ö ÀûµéÀº ¿ÀǼҽº Ãë¾àÁ¡À» ÁÁ¾ÆÇÒ±î?
¿ÀǼҽº¿Í ÀÚü Á¦ÀÛµÈ ¼ÒÇÁÆ®¿þ¾î Áß¿¡ ¾î¶² °ÍÀÌ ´õ ¾ÈÀüÇÑÁö ¸»ÇØÁÖ´Â Áõ°Å´Â ¾ø´Ù. µÑ ´Ù ¼ÒÇÁÆ®¿þ¾î°í, ¹ö±×¸¦ °¡Áú ¼ö¹Û¿¡ ¾ø´Ù. ±×·¯³ª ¸¹ÀÌ ¾²ÀÌ´Â ¿ÀǼҽº ¿ä¼ÒµéÀÌ µµÃ³¿¡ ³Î·ÁÀֱ⠶§¹®¿¡ °ø°ÝÀÚ ÀÔÀå¿¡¼´Â °ø°³µÈ Á¤º¸¿Í Ãë¾àÁ¡µéÀ» È°¿ëÇØ ³ë¸± ¼ö ÀÖ´Â °ÍµéÀÌ ±×¸¸Å ¸¹´Ù. ¿ÀǼҽº ¿ä¼ÒµéÀ» ¾î¶»°Ô °ø°ÝÇÒÁö¿¡ ´ëÇؼµµ ÀÚ¼¼ÇÑ Á¤º¸¿Í »ç·ÊµéÀ» ½±°Ô ÆľÇÇÒ ¼ö ÀÖ´Â °ÍÀÌ´Ù.
º¸´Ù Áß¿äÇÑ »ç½ÇÀº, ¿ÀǼҽº¸¦ ¼öµ¿À¸·Î ÃßÀûÇÏ´Â °ÍÀÌ ¾î·Æ±â ¶§¹®¿¡ ±â¾÷µéÀÌ Àڻ簡 »ç¿ëÇÏ´Â ¿ÀǼҽº ¿ä¼Òµé Àü·®¿¡ ´ëÇØ Àß ÆľÇÇÏ°í ÀÖÁö ¸øÇÏ´Ù´Â Á¡ÀÌ´Ù. ¾÷µ¥ÀÌÆ®¿Í ¹ö±× ÇȽº°¡ °í°´¿¡°Ô °Á¦µÇ´Â ÆÇ¸Å¿ë ¼ÒÇÁÆ®¿þ¾î¿Í´Â ´Þ¸®, ¿ÀǼҽº´Â ¼Æ÷Æ® ¸ðµ¨À» Á÷Á¢ °¡Á®¿Í »ç¿ëÇØ¾ß ÇÑ´Ù. »ç¿ëÀÚ´Â ÀÚ½ÅÀÌ »ç¿ëÇÏ´Â ¿ÀǼҽº¿¡ ´ëÇØ ¾÷µ¥ÀÌÆ®¿Í Ä¡·á»Ó¸¸ ¾Æ´Ï¶ó Ãë¾àÁ¡¿¡ ´ëÇؼµµ Áö¼ÓÀûÀ¸·Î ÆľÇÇÏ°í ÀÖ¾î¾ß ÇÑ´Ù. ±â¾÷ÀÌ ÀÚ»ç ¾ÖÇø®ÄÉÀ̼ǿ¡ Ãë¾àÇÑ ¿ÀǼҽº ¿ä¼Ò°¡ Æ÷ÇÔµÅÀÖ´Ù´Â »ç½ÇÀ» ÀÎÁöÇÏÁö ¸øÇϸé ÇØ´ç ¿ä¼Ò¿¡ ´ëÇØ ÆÐÄ¡ÇÏÁö ¸øÇÒ °¡´É¼ºÀÌ ¸Å¿ì ³ô´Ù.
¿ÀǼҽº À§ÇèÀ» °ü¸®ÇÏ´Â ÃÖ¼±ÀÇ ½À°üµé
1) ¿ÀǼҽº »ç¿ë¼öÄ¢À» ¸¸µé¾î ½ÃÇàÇ϶ó
¸¹Àº Á¶Á÷ÀÌ ±âº»ÀûÀÎ ¿ÀǼҽº ¼öÄ¢µµ ¹®¼ÈÇÏÁö ¾Ê°í ÀÖ´Ù. ¿ÀǼҽº »ç¿ë, ȸ»ç Á¤Ã¥ÀÇ ¹®¼È, ¿ÀǼҽº »ç¿ë¿¡ °üÇØ ÈÆ·Ã ¹ÞÀº °³¹ßÀÚ µî¿¡ ´ëÇØ Àü¹ÝÀûÀ¸·Î °¨µ¶ÇÏ´Â ´Ü ÇÑ ±ºµ¥ÀÇ Ã¥ÀÓ ºÎ¼¸¦ ¸¸µé¾î¶ó. ¾î¶² ÇÑ »ç¶÷À» ÀÓ¸íÇϵç À§¿øȸ¸¦ °³¼³ÇÏµç °ü°è¾ø´Ù.
2) »ç¿ë ÁßÀÎ ¿ÀǼҽº¿¡ ´ëÇØ Á¾ÇÕÀûÀÎ ¸ñ·ÏÀ» ¸¸µé°í À¯ÁöÇسª°¡¶ó
¼ÒÇÁÆ®¿þ¾î °³¹ßÀ» À§ÇØ »ç¿ëÇÏ´Â ¸ðµç ¿ÀǼҽº ¿ä¼Ò¿¡ ´ëÇØ ¸ñ·ÏÀ» ¸¸µé¶ó. ¿ÏÀüÇÑ ¿ÀǼҽº ¸ñ·ÏÀº ¸ðµç ¿ÀǼҽº ¿ä¼Ò, »ç¿ë ÁßÀÎ ¹öÀü¿¡ ´ëÇÑ Á¤º¸, »ç¿ë ÁßÀ̰ųª °³¹ß ÁßÀÎ °³º° ÇÁ·ÎÁ§Æ®¿¡ ´ëÇÑ ´Ù¿î·Îµå À§Ä¡ Á¤º¸ µîÀ» ¹Ýµå½Ã Æ÷ÇÔÇÏ°í ÀÖ¾î¾ß ÇÑ´Ù. ¶ÇÇÑ, ±× ¸ñ·Ï¿¡´Â Äڵ尡 È£ÃâÇÏ´Â ¶óÀ̺귯¸® ¹× Á¾¼Ó¿ä¼Ò°¡ ¿¬°áµÈ ¶óÀ̺귯¸® µî ¸ðµç Á¾¼Ó¿ä¼Ò¿¡ ´ëÇÑ Á¤º¸µµ Æ÷ÇÔµÅ¾ß ÇÑ´Ù.
¸¸¾à ¿ÜÁÖ °³¹ßÀÚ¸¦ ¾²°í ÀÖ´Ù¸é, ÇØ´ç °³¹ßÀÚ°¡ ÄÚµå ¸ñ·ÏÀ» ³»ºÎ Á÷¿ø¸¸Å ¼º½ÇÇÏ°Ô ÀÛ¼ºÇϵµ·Ï È®ÀÎÇØ¾ß ÇÒ ÇÊ¿ä°¡ ÀÖÀ» °ÍÀÌ´Ù. Á¶Á÷ ±Ô¸ð°¡ Ŭ¼ö·Ï ´õ ¸¹Àº ÆÀµéÀÌ ¸ñ·ÏÈ ÀÛ¾÷À» °ÅÃßÀ彺·´´Ù°í ´À³¢°Ô µÅ, ½Ç¼öÇÏ°í ºü¶ß¸®´Â ÀÏÀÌ ´Ã¾î³¯ ¼ö ÀÖ´Ù.
3) ¿ÀǼҽº¿¡ ¾Ë·ÁÁø º¸¾È Ãë¾àÁ¡µéÀÌ Æ÷ÇÔµÅÀÖ´ÂÁö È®ÀÎÇ϶ó
NVD¿Í °°Àº ±â°üµéÀº ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾îÀÇ °ø°³µÈ Ãë¾àÁ¡µé¿¡ ´ëÇØ Á¤º¸¸¦ Á¦°øÇÏ°í ÀÖ´Ù. ÇÏÁö¸¸ NVD°¡ ¸ðµç Ãë¾àÁ¡À» Á¦¶§¸¶´Ù º¸°íÇÏ´Â °ÍÀº ¾Æ´Ï¸ç, NVDÀÇ ±â·ÏÇüÅ°¡ ÇØ´ç ¿ÀǼҽº ¿ä¼ÒÀÇ ¾î¶² ¹öÀüÀÌ Ãë¾àÇÏ´Ù´Â °ÇÁö ±× ÆÇ´ÜÀ» ¾î·Æ°Ô ÇÑ´Ù´Â Á¡µµ ±â¾ïÇØ¾ß ÇÑ´Ù.
µ¥ºñ¾È(Debian)À̳ª ÆÄÀ̼±(Python) °°ÀÌ ¿ÀǼҽº¸¦ ÇÁ·ÎÁ§Æ® ´ÜÀ§·Î ³ª´²ÁÖ´Â »çÀÌÆ®µé ¶ÇÇÑ À¯¿ëÇÑ Á¤º¸¿øÀÌ´Ù. ¹Ì±¹ ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ(US-CERT: United States Computer Emergency Readiness Team)ÀÇ À¥ÆäÀÌÁö °Ô½ÃÆÇÀ̳ª ±¸±ÛÀÇ º¸¾È ºí·Î±× µîµµ Ãë¾àÁ¡À» Á¶»çÇÒ ¶§ ²À ÇÑ ¹ø È®ÀÎÇغ¼ ¸¸ÇÏ´Ù.
4) ¶Ç ´Ù¸¥ ¿ÀǼҽº À§ÇèµéÀÌ ÀÖ´ÂÁö È®ÀÎÇ϶ó
¿ÀǼҽº ¶óÀ̼±½º¸¦ ÁؼöÇÏÁö ¸øÇÒ °æ¿ì, ÁöÀû Àç»ê±Ç ħÇØ·Î ¼Ò¼ÛÀ» ´çÇÏ´Â Å« À§Çè¿¡ óÇÒ ¼ö ÀÖ´Ù. ÀÌ¿Í ¸¶Âù°¡Áö·Î, ³·Àº Ç°ÁúÀÇ Ã¶ Áö³ ¿ä¼ÒµéÀ» »ç¿ëÇÏ´Â °ÍÀº ±× ¿ä¼Ò¸¦ Æ÷ÇÔÇÑ ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ç°Áú ¶ÇÇÑ ¶³¾î¶ß¸± ¼ö ÀÖ´Ù´Â °ÍÀ» ±â¾ïÇÏÀÚ.
5) »õ·Î¿î ¿ÀǼҽº À§ÇèµéÀ» Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅÍÇÏÀÚ
¸Å³â 3,600°Ç ÀÌ»óÀÇ »õ·Î¿î ¿ÀǼҽº Ãë¾àÁ¡ÀÌ µîÀåÇϱ⠶§¹®¿¡ ¾ÖÇø®ÄÉÀ̼ÇÀÌ °³¹ßÀÚÀÇ ¼Õ¿¡ ÀÖÀ» ¶§ºÎÅÍ ±×µé ¼ÕÀ» ¶°³ ÀÌÈıîÁö ²÷ÀÓ¾øÀÌ Ãë¾àÁ¡À» ÆľÇÇØ°¡¾ß¸¸ ÇÑ´Ù. ±â¾÷µéÀº ¾ÖÇø®ÄÉÀ̼ÇÀ» ¼ºñ½ºÇÏ´Â µ¿¾È »õ·Î¿î À§Çù ¿ä¼ÒµéÀ» Áö¼ÓÀûÀ¸·Î ¸ð´ÏÅÍÇØ¾ß ÇÑ´Ù.
¿ÀǼҽº º¸¾ÈÀ» ÇâÇØ Ã¹ °ÉÀ½À» ¶¼ÀÚ
ÇÏ´ø ´ë·Î ÇÏ¸é¼ ¸¶³É Àß µÇ±â¸¦ ¹Ù¶ó´Â °Ô ÈξÀ ´õ ¼Ó ÆíÇÑ ÀÏó·³ ´À²¸Áö°ÚÁö¸¸, °¡Àå Áß¿äÇÑ ´Ü°è´Â ¸ÕÀú ¿ÀǼҽº º¸¾È°ü¸® ÀýÂ÷¸¦ ±¸ÃàÇÏ´Â °ÍÀÌ´Ù. ¾ÖÇø®ÄÉÀÌ¼Ç Ãë¾àÁ¡µéÀº ±â¾÷¿¡ ¸Å¿ì ½É°¢ÇÑ º¸¾È À§ÇùÀÌ µÉ ¼ö ÀÖ´Ù. ±¹Á¦À¥º¸¾ÈÇ¥Áرⱸ(OWASP: Open Web Application Security Project)°¡ ¹ßÇ¥ÇÏ´Â OWASP Top 10À» ÅëÇؼ´Â ¾Ë·ÁÁø Ãë¾àÁ¡À» »ç¿ëÇÏ´Â ¿ä¼ÒµéÀ» »ìÆ캼 ¼ö ÀÖ´Ù. °¢ ¾ÖÇø®ÄÉÀ̼ǿ¡ »ç¿ëµÈ ¿ÀǼҽº ¿ä¼Òµé¿¡ ´ëÇØ ¸ñ·ÏÈ¿Í °ü¸®, º¸¾ÈÀ» ÇÏÁö ¾Ê´Â °ÍÀº °ø°ÝÀÚ¿¡°Ô ½¬¿î ¸ÔÀÕ°¨À» °®´Ù ¹ÙÄ¡´Â ÀÏ°ú ´Ù¸¦ ¹Ù ¾ø´Ù.
±Û: ¸¶ÀÌÅ© ÇÇÅÙÀú(Mike Pittenger)
[±¹Á¦ºÎ ¿À´ÙÀÎ ±âÀÚ(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>