°¡Àå Å« º¯È´Â APIÀÇ Ãß°¡...°³¹ß ȯ°æ Æ®·»µå º¯È Àß ÆľÇÇÑ µí
“Ãß°¡ Åø µµÀÔÇ϶ó” Ã˱¸Çϱ⵵...¹æ¾îÀÇ ¹æ½Ä ¹Ù²î¾î¾ß ÇÑ´Ù´Â ¼±¾ð
[½ÃÅ¥¸®Æ¼¿ùµå ¹®°¡¿ë ±âÀÚ] 4³â µ¿¾È ħ¹¬Çß´ø OWASPÀÌ À̹ø ÁÖ ‘OWASP ¼±Á¤ ÃÖ°íÀÇ Ãë¾àÁ¡ 10’(ÀÌÇÏ OWASP Top 10)À» ¹ßÇ¥Çß´Ù. ±×·±µ¥ ÀÌ ¸ñ·ÏÀÌ ½É»óÄ¡ ¾Ê´Ù°í Àü¹®°¡µéÀº ±â»Ú°Ô ¸»ÇÏ°í ÀÖ´Ù. »õ·Ó°Ô ¾ÖÇø®ÄÉÀÌ¼Ç ÇÁ·Î±×·¡¹Ö ÀÎÅÍÆäÀ̽º, Áï APIµéÀÌ Ãß°¡µÇ¾ú±â ¶§¹®ÀÌ´Ù. ÀÌ´Â À§ÇùÀÇ ÁöÇüµµ ÀÚü°¡ Å©°Ô º¯Çß´Ù´Â °É ÀǹÌÇϸç, OWASPÀÌ À̸¦ Àß ³ªÅ¸³» ÁØ °ÍÀ̶ó°í °ü°èÀÚµéÀº ºÐ¼®ÇÏ°í ÀÖ´Ù.
¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¼¼°è¿¡¼ ±²ÀåÇÑ ¿µÇâ·ÂÀ» °¡Áö°í ÀÖ´Â OWASP Top 10Àº ¿ø·¡ °³¹ßÀÚµéÀ» µ½±â À§ÇØ ¸¸µé¾îÁø °ÍÀÌ´Ù. ¶ÇÇÑ º¸¾È ÆÀÀÌ Ãë¾àÁ¡ Á¡°ËÀ» ÇÒ ¶§ ¾î´À Á¤µµ Ç¥ÁØÀûÀÎ ±âÁØÀÌ µÇ¾î Áֱ⵵ ÇÑ´Ù. ÀÌ Ç¥¸¦ ¹ÙÅÁÀ¸·Î ´Ù¾çÇÑ Á¦Ç° Æò°¡ ¾Ë°í¸®ÁòÀÌ Åº»ýÇϱ⵵ ÇÑ´Ù.
º¸¾È ¾÷üÀÎ ÄÜÆ®¶ó½ºÆ®½ÃÅ¥¸®Æ¼(Contrast Security)ÀÇ CTOÀÎ Á¦ÇÁ Àª¸®¾öÁî(Jeff Williams)´Â À̹ø¿¡ ¹ßÇ¥µÈ ¸ñ·ÏÀ» º¸°í “OWASP Top 10ÀÌ Çö´ëÀÇ °í¼ÓÈµÈ ¼ÒÇÁÆ®¿þ¾î °³¹ß ȯ°æÀ» Ãæ½ÇÈ÷ ¹Ý¿µÇÑ °ÍÀ¸·Î º¸Àδٔ¸ç “ÀÌÀü ¹öÀü, Áï 2013³â Top 10¿¡¼´Â º¼ ¼ö ¾ø¾ú´ø º¯È”¶ó°í ¼³¸íÇÑ´Ù. “Ãë¾àÁ¡ ÀÚü´Â °ãÄ¡´Â °Ô ¸¹½À´Ï´Ù. ÇÏÁö¸¸ APIµéÀÌ Ãß°¡µÇ¾ú°í, °ø°Ý¿¡ ´ëÇÑ ´ëó¹ýµéÀÌ ´õÇØÁ® Á¶Á÷µéÀÌ ÁÖ¿ä À̽´µéÀ» À§ÁÖ·Î º¸¾È ¹æÃ¥À» ¸¶·ÃÇÒ ¼ö ÀÖ°Ô µÇ¾ú½À´Ï´Ù.”
¶Ç ´Ù¸¥ º¸¾È ¾÷üÀÎ ÇÁ·¹º¸Æ¼(Prevoty)ÀÇ CTOÀÎ Äí³¯ ¾Æ³µå(Kunal Anand) ¿ª½Ã “API°¡ Ãß°¡µÈ °ÍÀÌ ÀÌ ¸ñ·Ï¿¡¼ °¡Àå Áß¿äÇÑ Á¡”À̶ó°í ¤¾î³½´Ù. “ÃÖ±Ù ±â¾÷µéÀº API¸¦ ±â¹ÝÀ¸·Î ÇÑ ¸¶ÀÌÅ©·Î¼ºñ½º À§ÁÖÀÇ µ¥ºê¿É½º¿Í ¾ÖÀÚÀÏ È¯°æÀ» Àû±Ø µµÀÔÇÏ°í ÀÖÁÒ. ÇÑ ¸¶µð·Î °³¹ßÀÇ Ã¼Áú °³¼±ÀÌ ¼¼°èÀûÀ¸·Î ÀÌ·ç¾îÁö°í ÀÖ´Ù´Â °Çµ¥, ±×°ÍÀÇ ÇÙ½ÉÀÌ APIÀÔ´Ï´Ù.”
Äí³¯ ¾Æ³µå¿¡ µû¸£¸é ±ÝÀ¶, µµ¼Ò¸Å µîÀ» Æ÷ÇÔÇÑ ´Ù¾çÇÑ »ê¾÷¿¡¼ ÇöÀç ‘ÇØü’°¡ ÀÌ·ç¾îÁö°í ÀÖ´Ù°í ÇÑ´Ù. “´ëÇü ¾ÖÇø®ÄÉÀ̼ÇÀº °¡°í, ÀÛ°í Àçºü¸¥ ¼ºñ½ºµéÀÌ ¿À°í ÀÖÁÒ. ±×·¸±â ¶§¹®¿¡ ÇÑ °³ÀÇ ÆäÀÌÁö¸¦ ¸¸µé¾î³»±â À§ÇØ ¾ÖÇø®ÄÉÀ̼ǵ鿡¼ API ¿äûÀÌ ¼öµµ ¾øÀÌ ÀÌ·ç¾îÁö´Â ½ÄÀ¸·Î ±¸Á¶°¡ ¹Ù²î°í ÀÖ½À´Ï´Ù. ¾Æ´Ï, API ÀÚü·Î ÀÌ¹Ì ÇϳªÀÇ ¾ÖÇø®ÄÉÀ̼ÇÀ̳ª ´Ù¸§¾ø´Â ½Ã´ë°¡ µÇ¾ú¾î¿ä. ÀÌ¹Ì »çÀ̹ö °ø°ÝÀº API ÇÁ·¹ÀÓ¿öÅ©¸¦ ³ë¸®´Â Ç¥ÀûÇü °ø°ÝÀ¸·Î ÀüȯµÇ¾ú°í¿ä.”
ÈÀÌÆ®ÇÞ ½ÃÅ¥¸®Æ¼(WhiteHat Security)ÀÇ ºÎȸÀåÀÎ ¶óÀ̾ð ¿Ã¸®¾î¸®(Ryan O’Leary)´Â “¿À·£¸¸¿¡ ¹ßÇ¥µÈ OWASP Top 10ÀÇ º¯È°¡, API º¸¾ÈÀÇ Á߿伺¿¡ ´ëÇÑ ÀνÄÀ» Å°¿öÁÙ °ÍÀ¸·Î º¸Àδٔ°í ±â´ë°¨À» ³ªÅ¸³Â´Ù. “½Ã±âÀûÀýÇÑ º¯ÈÀÔ´Ï´Ù. ±×·¯¹Ç·Î ¸Å¿ì Áß¿äÇϱ⵵ ÇÏÁÒ. ¼¼»ó¿¡¼ ½ÇÁ¦·Î ÀϾ°í ÀÖ´Â º¯È°¡ ±×´ë·Î ¹Ý¿µµÈ, ³î¶ó¿î °á°ú¹°À̶ó°í º¸ÀÔ´Ï´Ù.”
±×·¸Áö¸¸ ¾Æ³µå¿Í ¿Ã¸®¾î¸® ¸ðµÎ “ÀÌ·± º¯È°¡ °á°ú¹°·Î ¹Ý¿µµÇ±â±îÁö ³Ê¹« ¿À·£ ½Ã°£ÀÌ °É·È´Ù”´Â µ¥¿¡ µ¿ÀÇÇÑ´Ù. “OWASP Top 10Àº ¸Å¿ì Áß¿äÇÑ ÀÚ·áÀÔ´Ï´Ù. OWASP Ãø¿¡¼ ÀÌ ÀÚ·á¿¡ Á¶±Ý ´õ ½Å°æÀ» ½áÁáÀ¸¸é ÇØ¿ä. À̹ø ¸ñ·ÏÀÌ ¹ßÇ¥µÇ±â Àü¿¡ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È °ü°èÀÚµéÀº ÀüºÎ 2013³â °ÍÀ» »ç¿ëÇߴµ¥, ±×¶§¿Í Áö±ÝÀÇ °³¹ß ȯ°æÀº ´ë´ÜÈ÷ ´Þ¶ó¼ È¿¿ë¼ºÀÌ ¶³¾îÁö´ø °Ô »ç½ÇÀ̾ú½À´Ï´Ù. ¾Æ½¬¿î Ãø¸éÀÌÁÒ.”
¾Æ³µå´Â ÇöÀç ¹Ý¿µµÇ¾î¾ß ÇÒ Ãß¼¼°¡ API ¸»°íµµ ´õ ÀÖ´Ù°í ÁöÀûÇÑ´Ù. “¼¹ö°¡ ¾ø´Â, ¼¹ö¸®½º ±â¼ú, ÄÁÅ×À̳ÊÈ, ¸®¾×Æ®(React)¿Í °°Àº ¸ð¹ÙÀÏ °³¹ß ÇÁ·¹ÀÓ¿öÅ© µîÀÇ ¼Ó¼Ó µîÀåÇÏ°í ÀÖÀ¸¸ç, Áß¿äÇÑ °ÔÀÓ Ã¼ÀÎÀú(game changer)ÀÇ ¿ªÇÒÀ» ÇÏ°í ÀÖ½À´Ï´Ù. ÀÌ·± °Íµé ¿ª½Ã Á¶¸¸°£ ¹Ý¿µÀÌ µÇ¾î¾ß ÇÒ °Ì´Ï´Ù. ´ÙÀ½ OWASP Top 10¿¡¼¶ó¸é, ¾Æ¸¶ ÇʼöÀûÀÎ ¿ä¼Ò°¡ µÇÁö ¾ÊÀ»±î ÇÏ°í »ý°¢ÇÕ´Ï´Ù. ´Ù¸¸ ±× ´ÙÀ½ OWASP Top 10ÀÌ ¾ðÁ¦ ³ª¿ÃÁö°¡ °ü°ÇÀÌÁÒ.”
ÇÏÁö¸¸ ¾ÖÇø®ÄÉÀÌ¼Ç ¼¼°èÀÇ ¹®Á¦¶ó´Â °Ô Áö³ 14³â µ¿¾È ±×´ÙÁö ¿ªµ¿ÀûÀ¸·Î º¯ÈÇØ¿ÀÁö´Â ¾Ê¾Ò´Ù. OWASPÀÌ °ÔÀ¸¸£°Ô ÀÏÇÑ °Ç ¾Æ´Ï¶ó´Â ¶æ. “±×¶§ ±×¶§ Ãë¾àÁ¡À» ´õÇϰųª »©°Å³ª ÇÏ´Â ÀÛ¾÷Àº Ç×»ó ÇØ¿Ô½À´Ï´Ù. ÇÏÁö¸¸ ±× º¯È°¡ ¾öû³ª°Ô ±ØÀûÀÌÁö´Â ¾Ê¾Ò¾î¿ä. Áß¿äÇÑ °Ç ÀÌ ¸ñ·ÏÀÇ ‘Àüü’°¡ ¹«¾ùÀ» ¶æÇÏ°í Àִ°¡, ¾î¶² º¯È¸¦ ¹Ý¿µÇÏ°í Àִ°¡, ¾î¶² Æ®·»µå°¡ º¸À̴°¡,¸¦ Àо ÁÙ ¾Ë¾Æ¾ß ÇÑ´Ù´Â °Ì´Ï´Ù. ¼¼ºÎÀûÀÎ Ãë¾àÁ¡µé ÇϳªÇϳª¿¡ ´ëÇؼ´Â µ¿ÀÇÇÏÁö ¾ÊÀ» ¼ö ÀÖ¾î¿ä. ±×·¯³ª ±× Àüü°¡ ´«¿¡ º¸ÀÌÁö ¾Ê°Ô µå·¯³»´Â Á¤º¸°¡ ÀÖ´Ù´Â °ÅÁÒ.” ´ºÄÜÅؽºÆ®¼ºñ½º(New Context Services)ÀÇ º¸¾È Ã¥ÀÓÀÚÀÎ º¥ ÅèÇìÀ̺ê(Ben Tomhave)ÀÇ ¼³¸íÀÌ´Ù.
“Ãë¾àÁ¡ ÇϳªÇϳªÀÇ Å« º¯È°¡ ¾ø´Ù¸é, ¸Å³â ¸ñ·ÏÀ» ¹ßÇ¥ÇØ¾ß ÇÒ ÇÊ¿äµµ ¾ø¾î º¸ÀÔ´Ï´Ù. Áö±Ý±îÁö ³ª¿Â ¸ñ·ÏµéÀ» Âß ºñ±³ÇØ ºÁµµ Å« º¯È´Â ¾ø¾î¿ÔÁÒ. º¯È¶ó´Â °Ô ¿ì¸®°¡ µÎ·Á¿öÇÏ´Â °Í¸¸Å »¡¸® ÀϾ´Â °Ç ¾Æ´Ï¶ó´Â ¼Ò¸®ÀÔ´Ï´Ù. ¶ÇÇÑ, Ãë¾àÁ¡°ú °ü·ÃÇÏ¿©, ÇöÀç ¿ì¸®°¡ °¡Áö°í ÀÖ´Â ÇØ°á ¹æ½ÄÀ̳ª ±³À°¹ýÀÌ È¿°úÀûÀÌÁö ¾Ê´Ù´Â ¶æµµ µÇÁö¿ä. Áö³ ¼ö³â °£ ÀÛ¼ºµÇ¾î ¿Â ÀÌ Top 10 ¸ñ·Ï¿¡ Å« º¯È°¡ ¾ø´Ù´Â °Í¸¸À¸·Îµµ ÀÌ·± Áß¿äÇÑ °á·ÐµéÀ» ²ø¾î³¾ ¼ö ÀÖ½À´Ï´Ù. ±×·¸´Ù¸é ÀÌ·± ‘ÀбⒸ¦ ÅëÇØ ´õ ³ªÀº °á°ú¸¦ ¸¸µå´Â °ÍÀÌ ¿ì¸® ¸òÀÌ°ÚÁÒ.”
¿Ã¸®¾î¸®´Â ÃÖ±Ù OWASP¿¡¼µµ º¥ÀÇ ¸»°ú ¸Æ¶ôÀ» °°ÀÌÇÏ´Â ¹ßÇ¥°¡ ÀÖ¾ú´Ù¸ç, “OWASP ¿ª½Ã ±â¾÷µéÀÌ WAF³ª RASP ±â¼úÀ» °®Ãâ ÇÊ¿ä°¡ ÀÖ´Ù°í Ã˱¸Çß´Ù”´Â »ç½ÇÀ» ¾ð±ÞÇß´Ù. “WAF³ª RASP ±â¼úÀ» ÅëÇØ Å½ÁöÇÏ°í, ´ëÀÀÇÏ°í, ÆÐÄ¡ÇØ¾ß ÇÑ´Ù´Â °Ô OWASP ÃøÀÇ ¼³¸íÀÔ´Ï´Ù. OWASPÀº ‘ÁÖ¿ä Ãë¾àÁ¡¿¡´Â ¾î¶² °Ô ÀÖÀ¸¸ç, ¾î¶»°Ô °íÃÄ¾ß ÇÏ´ÂÁö’¸¦ ÁßÁ¡ÀûÀ¸·Î ´Ù·ï¿Ô´Âµ¥, WAF¿Í RASP ±â¼úÀ» °®Ã߶ó°í ¸»ÇÔÀ¸·Î½á ‘¼µåÆÄƼ ÅøÀ̳ª ¼ºñ½º¸¦ ÀÌ¿ëÇØ¾ß ÇÒ ¶§°¡ µÆ´Ù’°í ¼±¾ðÇÑ °ÍÀ̳ª ´Ù¸§¾ø°Åµç¿ä. ÇÑ ¸¶µð·Î ‘ÀÌÁ¦ ¹æ½ÄÀ» ¹Ù²Ü ¶§°¡ µÇ¾ú´Ù’°í ¹ßÇ¥ÇÑ °Ì´Ï´Ù.”
¿Ã¸®¾î¸®´Â OWASPÀÇ µîÀåÀ¸·Î ´çºÐ°£ API¿Í WAF, RASP µî¿¡ ´ëÇÑ À̾߱Ⱑ °è¼ÓÇؼ ³ª¿Ã °ÍÀ̶ó°í ¿¹»óÇÏ°í ÀÖ´Ù.
[±Û ½ÃÅ¥¸®Æ¼¿ùµå ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ : ½ÃÅ¥¸®Æ¼¿ùµå(http://www.securityworldmag.co.kr) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>