Ŭ¶ó¿ìµå, ±êÇãºê, ¿ÀǼҽº, ½ºÄ³´× µî ´Ù¾çÇÑ ±â´É °¡Áø Åøµé
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] °³¹ßÀÚµéÀÌ ÃãÀ» Ãß¸ç °³¹ß ¾÷¹«¸¦ ÇÒ ¼ö ÀÖµµ·Ï ¸¸µå´Â ¹æ¹ý Áß Çϳª´Â º¸¾ÈÀ» ³Ê¹« °Á¶Çϰųª Áö³ªÄ¡°Ô ¾î·Æ°í ±î´Ù·ÓÁö ¾Ê°Ô ¸¸µå´Â °ÍÀÌ´Ù. ¡®Á¦°¡ ¹» ¸¸µç °Å °°¾Æ¿ä¡¯¶ó°í ½Å³ª°Ô ¸»ÇÒ ¶§¸¶´Ù ¡®±×·¡¼ º¸¾ÈÀº?¡¯À̶ó°í È´äÇÏÁö ¾Ê´Â °Í¸¸À¸·Îµµ °³¹ßÀÚµéÀÇ °í»ß¸¦ Ç®¾îÁÙ ¼ö ÀÖ°Ô µÈ´Ù. ±×·¯¹Ç·Î µ¥ºê¼½¿É½º(DevSecOps)°¡ º»·¡ÀÇ ¸ñÀûÀ» ÀÌ·ç·Á¸é °³¹ßÀÚµéÀÌ ½È¾îÇÏÁö ¾ÊÀ»¸¸ÇÑ º¸¾È ÅøµéÀ» ²Ù¸®´Â °Ô Áß¿äÇÏ´Ù.
[À̹ÌÁö = iclickart]
¶ÇÇÑ ±×·¯ÇÑ ÅøµéÀ» ã¾Ò´Ù¸é º¸¾È °Ë»ç °úÁ¤°ú °³¹ßÀÚµéÀÌ ¼ÒÇÁÆ®¿þ¾î¸¦ ¸¸µå´Â °úÁ¤À» ºÎµå·´°Ô °áÇÕ½ÃÄÑ¾ß ÇÑ´Ù. ³Ê¹« ¾î·Á¿î °Í ¾Æ´Ï³Ä°í? ¸Â´Ù. »ç½Ç ¾î¶»°Ô Çصµ °³¹ßÀÚµéÀÌ º¸¾È °Ë»ç °úÁ¤À» ¡®ºÎµå·´°Ô¡¯ ´À³¥ ¼ö´Â ¾ø´Ù. ´Ù¸¸ ÀÌ ±«¸®¸¦ ÃÖ¼ÒÈÇÏ·Á´Â ³ë·ÂÀÌ ²÷ÀÓ¾øÀÌ ÀϾ°í ÀÖ°í, ±× °á°ú¹°µéÀÌ Çϳª µÑ ¼¼»ó¿¡ ³ªÅ¸³ª°í ÀÖ´Ù. °Ô´Ù°¡ ¹«·á³ª ¸Å¿ì Àú·ÅÇÑ °¡°Ý¿¡ ¹èÆ÷µÇ´Â °Íµéµµ ¸¹´Ù. µ¥ºê¿É½º °³¹ß °úÁ¤À» º¸´Ù ¡®°³¹ßÀڵ鿡°Ô Ä£ÀýÇÏ°í¡¯ ¶ÇÇÑ ¾ÈÀüÇÏ°Ô ¸¸µå´Â °ª½Ñ ÅøµéÀ» ¸î °¡Áö ¼Ò°³ÇÑ´Ù.
1. OWASP Á¦µå ¾îÅà ÇÁ·Ï½Ã(Zed Attack Proxy, ZAP)
OWASPÀ̶ó´Â Á¶Á÷ÀÇ À̸§Àº ±Í¿¡ Àͼ÷ÇÒ °ÍÀÌ´Ù. OWASP ž 10 Ãë¾àÁ¡ ¸ñ·ÏÀ¸·Î À¯¸íÇÑ OWASPÀÌ °³¹ßÇÑ OWASP ZAPÀº °³¹ßÀÚµéÀÌ ÄÚµåÀÇ º¸¾È ½ºÄµÀ» ÀÏÀÏÀÌ ÇÏÁö ¾Ê¾Æµµ µÇ°Ô²û °³¹ß ȯ°æÀ» ¸¸µé¾îÁØ´Ù. ÀÚµ¿ ½ºÄ³´× ÅøÀÌÀ̱⠶§¹®ÀÌ´Ù. °Ô´Ù°¡ ¹«·á·Î ¹èÆ÷µÈ´Ù. ÀÌ¹Ì ¸¹Àº ´ë±â¾÷µé¿¡¼ ³Î¸® È°¿ëµÇ°í ÀÖÀ¸¸ç, Á¨Å²½º(Jenkins) Ç÷¯±×Àΰúµµ ±ÃÇÕÀÌ Âû¶± °°¾Æ¼ °³¹ßÀÚµéÀÇ ¾÷¹« °úÁ¤À» À¯¿¬ÇÏ°Ô ¸¸µé¾îÁÖ´Â µ¥ Å« µµ¿òÀÌ µÈ´Ù.
Åø ±¸ÇÏ´Â °÷ :
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
2. °ÇƲ¸´(Gauntlt)
µ¥ºê¿É½º °³¹ß ÆÀµéÀÌ ¼±È£ÇÏ´Â Áö¼ÓÀû ÅëÇÕ(CI, continuous integration) ȯ°æ¿¡ ¿¥º£µå µÇµµ·Ï ¸¸µé¾îÁø º¸¾È °Ë»ç ÇÁ·¹ÀÓ¿öÅ©´Ù. °³¹ßÀÚµé°ú º¸¾È Àü¹®°¡µé »çÀÌ¿¡¼ ÀαⰡ ºü¸£°Ô ¿Ã¶ó°¡°í ÀÖ´Â ÅøÀ̱⵵ ÇÏ´Ù. ±× ÀαâÀÇ ºñ°áÀº ÇöÁ¸ÇÏ´Â º¸¾È ÅøµéÀ» Å¥ÄĹö(Cucumber)¶ó´Â °Ë»ç ÇÁ·¹ÀÓ¿öÅ©¿¡ Á¢¸ñÇØ »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ¸¸µé¾îÁÖ´Â °ÍÀÌ´Ù. Å¥ÄĹö ÇÁ·¹ÀÓ¿öÅ©´Â µ¥ºê¿É½º °³¹ßÀÚµéÀÌ °Ë»ç ÀÚµ¿È¸¦ À§ÇØ Áñ°Ü »ç¿ëÇÏ´Â °ÍÀ̱⵵ ÇÏ´Ù. °³¹ßÀÚµé ÀÔÀå¿¡¼´Â º¸¾È °Ë»çÀÇ ºÎ´ãÀ» Å©°Ô ´ú¾îÁÖ´Â ÅøÀ̱⵵ ÇÏ´Ù.
Åø ±¸ÇÏ´Â °÷ : http://gauntlt.org
3. BDD-Security
BDD-Security ¿ª½Ã º¸¾È °Ë»ç¸¦ À§ÇÑ ÇÁ·¹ÀÓ¿öÅ© Áß Çϳª·Î, À̸§ ±×´ë·Î BDD¶ó´Â °³³äÀ» ¹ÙÅÁÀ¸·Î ¸¸µé¾îÁ³´Ù. BDD´Â Behavior Driven DevelopmentÀÇ Áظ»·Î ÇàÀ§³ª µ¿ÀÛÀ» Áß½ÉÀ¸·Î ÇÏ´Â °³¹ß ¹æ¹ý·ÐÀÌ´Ù. BDD´Â µ¥ºê¿É½º ȤÀº ¾ÖÀÚÀÏ¿¡ µµÀԵǴ °³³äÀ̱⵵ ÇÏ´Ù. ¶Ç, BDD-Security´Â À§¿¡¼ ¾ð±ÞÇÑ Å¥ÄĹö °Ë»ç ÇÁ·¹ÀÓ¿öÅ©¸¦ ±â¹ÝÀ¸·Î ÇÏ°í ÀÖ´Ù. Áï Å»ýºÎÅÍ µ¥ºê¿É½º ȯ°æ Ä£ÈÀûÀ¸·Î ¸¸µé¾îÁø °ÍÀÌ´Ù. ¼¿·¹´½ À¥µå¶óÀ̹ö(Selenium/WebDriver), OWASP ZAP, SSLyz, ³×¼½º(Nessus)¿Í ȣȯµÇ±âµµ Çϸç, ¼Ò½ºÄڵ忡 Á÷Á¢ Á¢±ÙÇÏÁö ¾Ê°íµµ ¿ÜºÎ ½ºÄµÀÌ °¡´ÉÇÏ°Ô ÇØÁØ´Ù.
Åø ±¸ÇÏ´Â °÷ : https://github.com/continuumsecurity/bdd-security
4. ±ê ÇÏ¿îµå(Git-Hound)
µ¥ºê¿É½º°¡ ¼¼È÷ ÀÚ¸® Àâ±â ½ÃÀÛÇÏ¸é¼ ¸¹Àº °³¹ßÀÚµéÀÌ ±êÇãºê(GitHub)¿¡ ÀÇÁ¸Çϱ⠽ÃÀÛÇß´Ù. ¿©±â¿¡¼ Äڵ带 °øÀ¯ÇÏ°í ÇÁ·ÎÁ§Æ®¸¦ °øµ¿À¸·Î ÁøÇàÇϱ⠽ÃÀÛÇÑ °Çµ¥, ±×·¯¸é¼ »õ·Î¿î ¸®½ºÅ©µéÀÌ »ý°Ü³ª±â ½ÃÀÛÇß´Ù. ÀϺΠ°³¹ßÀÚµéÀº ±êÇãºê¿¡ ¹Î°¨ÇÑ Á¤º¸¸¦ ±×´ë·Î ¹æÄ¡Çϱ⵵ ÇÏ°í, ÄÚµå ³»¿¡ »ðÀÔÇÑ ÈÄ ±× Äڵ带 °øÀ¯Çϱ⵵ Çß´Ù. ¹Î°¨ÇÑ Á¤º¸¸¦ ´Ù·ç´Â °³¹ßÀÚµé Áß ±êÇãºê »ç¿ëÀÚµéÀ» À§ÇÑ Æ¯¼ö ÀåÄ¡°¡ ÇÊ¿äÇÑ »óȲÀ̾ú´Ù. ±×·± »óȲ¿¡ ²À ÇÊ¿äÇÑ ÅøÀÌ ¹Ù·Î ±ê ÇÏ¿îµå·Î, ÀÚµ¿ È®ÀÎ ±â´ÉÀ» °®Ãß°í ÀÖ¾î ±êÇãºê¿Í °°Àº ÄÚµå ·¹Æ÷ÁöÅ丮¸¦ »ç¿ëÇÏ´Â »óȲ¿¡¼ÀÇ ¸®½ºÅ©¸¦ Å©°Ô ³·ÃçÁØ´Ù.
Åø ±¸ÇÏ´Â °÷ :https://github.com/ezekg/git-hound
5. ºê·¹ÀÌÅ©¸Ç(Brakeman)
¿ÀǼҽº Á¤Àû ÄÚµå ºÐ¼® Åø·Î, »ç¿ëÀÚ °£ Ä¿¹Â´ÏƼ°¡ È°¼ºÈµÇ¾î ÀÖ´Ù´Â °ÍÀÌ Å« ÀåÁ¡ÀÌ´Ù. ·¹ÀÏ(Rail) ¾ÖÇø®ÄÉÀ̼ÇÀÇ ·çºñ(Ruby)¿¡¼ º¸¾È Ãë¾àÁ¡À» ã¾Æ³»´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. 2013³â óÀ½ µîÀåÇÑ ÀÌÈÄ·Î ¸¹Àº ÆÒµéÀ» °Å´À¸®°í ÀÖÀ¸¸ç, ÃÖ±Ù 1õ 1¹é¸¸¹øÀÇ ´Ù¿î·Îµå ¼ö¸¦ ±â·ÏÇϱ⿡ À̸£·¶´Ù.
Åø ±¸ÇÏ´Â °÷ : https://brakemanscanner.org
6. ÆÄÀεå½ÃÅ¥¸®Æ¼¹÷½º(FindSecurityBugs)
ºê·¹ÀÌÅ©¸Ç°ú ºñ½ÁÇÑ µµ±¸·Î, ¿ª½Ã Á¤Àû ÄÚµå ºÐ¼® ÅøÀÌ¸ç ¹«·á´Ù. ºê·¹ÀÌÅ©¸ÇÀÌ ·çºñ¿¡¼ Ãë¾àÁ¡À» ã¾Æ³½´Ù¸é, ÆÄÀεå½ÃÅ¥¸®Æ¼¹÷½º´Â ÀÚ¹Ù ¾ÖÇø®ÄÉÀ̼ǿ¡¼ ÁÖ·Î °·ÂÇÔÀ» µå·¯³½´Ù. ÅëÇÕ °³¹ß ȯ°æ(IDE)À» Ãß±¸Çϸç, µû¶ó¼ Á¨Å²½º, ¿¡Å¬¸³½º(Eclipse), ¸ÞÀ̺ì(Maven)°ú °°Àº ½Ã½ºÅÛµéÀ» À§ÇÑ Ç÷¯±×ÀÎÀ» Á¦°øÇϵµ ÇÑ´Ù.
Åø ±¸ÇÏ´Â °÷ : https://find-sec-bugs.github.io
7. ¾Æó¸®(Archery)
¿ÃÇØ ÃÊ ¿¸° ºí·¢ÇÞ ¾Æ½Ã¾Æ(BlackHat Asia)¸¦ ÅëÇØ µ¥ºßÇÑ Åø·Î, ´Ù¸¥ Åøµé¿¡ ºñÇØ »ó´çÈ÷ ¡®µû²öµû²öÇÑ¡¯ ½Å»óÇ°ÀÌ´Ù. ¿ÀǼҽºÀÇ Ãë¾àÁ¡ Æò°¡ ¹× °ü¸® Åø·Î, ¼¿·¹´½À» È°¿ëÇÑ µ¿Àû ÀÎÁõ ½ºÄ³´×À» ½Ç½ÃÇÑ´Ù. ¶ÇÇÑ REST API¸¦ °³¹ßÀڵ鿡°Ô Á¦°øÇÔÀ¸·Î½á ±âÁ¸¿¡ »ç¿ëÇÏ´ø µ¥ºê¿É½º Åø°úÀÇ ¿¬µ¿µµ ½±°Ô ÀÌ·ïÁø´Ù.
Åø ±¸ÇÏ´Â °÷ : https://github.com/toolswatch/blackhat-arsenal
tools/blob/master/vulnerability_assessment/archery.md
8. CIS Äí¹ö³×Ƽ½º º¥Ä¡¸¶Å©(CIS Kubernetes Benchmark)
ÃÖ±Ù µ¥ºê¿É½º °³¹ßÀÚµéÀº ÄÜÅ×À̳ÊÈ µÈ ¿öÅ©·Îµå¸¦ ÅëÇÕÇØÁÖ´Â Ç÷§ÆûÀÎ Äí¹ö³×Ƽ½º¿¡ °ü½ÉÀÌ ¸¹´Ù. ÄÜÅ×À̳ÊÈ µÈ ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¹èÄ¡½Ãų ¶§ÀÇ °·ÂÇÑ È®À强°ú ¾ÈÁ¤¼ºÀÌ °³¹ßÀÚµéÀ» ¸ÅȤ½ÃÅ°°í Àֱ⠶§¹®ÀÌ´Ù. ÅëÇÕ ´Ü°è¿¡¼ÀÇ À§ÇèÀ» ÃÖ¼ÒÈ ÇØÁÖ°í, »ç¿ë¼ºÀÌ ³ª»Û °Íµµ ¾Æ´Ï¶ó´Â ÆòÀÌ ÁÖ¸¦ ÀÌ·é´Ù. ÀÌ¿¡ ÀÎÅÍ³Ý º¸¾È ¼¾ÅÍ(Center for Internet Security, CIS)¿¡¼ Å¥¹ö³×Ƽ½º¸¦ È°¿ëÇÑ ÅëÇÕ °ü¸® ÅøÀ» °³¹ßÇØ ¹ßÇ¥Çß´Ù. »ç¿ëÀÚ ±â¾÷À̳ª Á¶Á÷µéÀÌ º¥Ä¡¸¶Å©¸¦ µû¸¦ ¼ö ÀÖµµ·Ï ´Ù¾çÇÑ ÀÚµ¿ ½ºÅ©¸³Æ®¸¦ Á¦°øÇÑ´Ù.
Åø ±¸ÇÏ´Â °÷ : https://github.com/neuvector/kubernetes-cis-benchmark
9. Ŭ¶ó¿ìµå½ºÇ÷ÎÀÕ(Cloudsploit)
Áö³ ¸î ³â µ¿¾È Ŭ¶ó¿ìµå°¡ È®»êµÇ±â ½ÃÀÛÇÏ¸é¼ ¸¹Àº ±â¾÷µéÀÌ ¸Á½ÅÀ» ´çÇϱ⠽ÃÀÛÇß´Ù. ƯÈ÷ AWS S3 ¹öŶ ȯ°æ¼³Á¤À» À߸øÇÏ´Â ¹Ù¶÷¿¡ ÇØÅ· ´çÇÏÁöµµ ¾Ê¾ÒÀ¸¸é¼ ÇØÅ·À» ´çÇÑ °Í°ú °°Àº ÇÇÇظ¦ ÀÔ¾ú´Ù. ¹Î°¨ÇÑ Á¤º¸¸¦ ÀÎÅͳÝÀÇ ¸ðµç »ç¶÷µéÀÌ º¼ ¼ö ÀÖµµ·Ï Çصδ ¹Ù¶÷¿¡ ½É°¢ÇÑ À¯Ãâ »ç°í°¡ °÷°÷¿¡¼ ÅÍÁø °ÍÀÌ´Ù. Ŭ¶ó¿ìµå½ºÇ÷ÎÀÕÀº µ¥ºê¿É½º ÆÀµéÀÌ AWS ÀνºÅϽº¸¦ ½ºÄµÇØ ¼³Á¤ ¿À·ù µîÀÇ º¸¾È À§ÇèµéÀ» ã¾Æ³¾ ¼ö ÀÖµµ·Ï ÇØÁØ´Ù.
Åø ±¸ÇÏ´Â °÷ : https://github.com/cloudsploit/scans
10. ÀνºÆå(InSpec)
ÄÚµåÇü ÀÎÇÁ¶ó½ºÆ®·°Ã³(infrastructure-as-code, IaC) °³³äÀ» žÀçÇÑ ÀνºÆåÀº ÄÄÇöóÀ̾ð½º, º¸¾È, Á¤Ã¥¿¡ ÇÊ¿äÇÑ ¿©·¯ °¡Áö »çÇ×µéÀ» Çϳª·Î ¹¾î¼ °ü¸®ÇÏ°Ô ÇØÁØ´Ù. ¶ÇÇÑ º¸¾È Á¤Ã¥À» »ç¶÷°ú ±â°è°¡ ÀÐÀ» ¼ö ÀÖ´Â ¾ð¾î·Î º¯È¯ÇØÁØ´Ù. ÆÛÆê(Puppet) ȯ°æ¿¡¼µµ Àß ÀÛµ¿ÇÏÁö¸¸, µµÄ¿(Docker), ¾ÖÀú(Azure), AWS µî ´Ù¾çÇÑ Ç÷§Æû¿¡¼µµ ¹«¸® ¾øÀÌ ±â´ÉÀ» ¹ßÈÖÇÑ´Ù.
Åø ±¸ÇÏ´Â °÷ : https://www.inspec.io
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>