소프트웨어 취약점 이용한 공격이 대부분
시큐어코딩 적용하면 해킹 가능성 94% 이상 제거
[보안뉴스 김태형] 사물인터넷(IoT) 시대가 본격화되면서 스마트 사회의 가장 큰 위협으로 떠오르고 있는 건 소프트웨어(SW) 취약성으로 인한 보안사고다. SW의 설계 및 코딩 과정에서의 취약성으로 인해 보안사고가 발생하거나 SW 품질·안전성이 저하된다면 막대한 손실을 입을 수 있기 때문이다.
특히, 최근엔 정상적인 애플리케이션에 난독화된 스크립트를 삽입하는 지능형 공격과 정상 웹 서비스에 악성코드나 악성링크를 숨겨 이용자들을 감염시키는 공격도 증가하고 있는데, 이를 방어하기 위해서는 시큐어코딩(Secure Coding)이 필수다.
이에 행정자치부와 한국인터넷진흥원은 올해 초 ‘전자정부 SW IoT 보안센터’를 개소하고 그간 전자정부의 소프트웨어를 보호해온 ‘시큐어코딩’ 방식을 IoT와 모바일 분야까지 폭넓게 적용할 수 있는 방안을 마련해 관련기관에 보안기술을 지원키로 했다.
실제 소프트웨어 개발보안을 적용한 소프트웨어는 해킹 공격에 탁월한 예방 능력이 있는 것으로 나타났다. 시큐어코딩 방식을 적용하고 있는 전자정부 소프트웨어의 보안 효과성을 분석한 결과, 해킹 가능성이 94% 이상 제거되고 소스코드의 체계적인 관리로 ‘스파게티 코드 (Spaghetti Code: 스파게티처럼 복잡하게 얽혀있는 프로그램)’를 예방하는 효과도 있는 것으로 나타났다.
이처럼 시큐어코딩은 전자정부 이외의 민간 분야에도 빠르게 확산되고 있으며 이미 국방, 금융, 대기업 등 많은 기관들이 소프트웨어 개발보안 관련 자체 프로세스를 개발·적용하고 있다.
이에 대해 엔시큐어 손장군 이사는 “보안사고의 범위는 넓다. 침해사고 공격의 약 85% 이상이 소프트웨어 타깃이라는 측면에서 보면 상당 부분을 막을 수 있을 것이다. 요즘에는 한 가지 취약점만으로 공격이 이뤄지지 않는다”면서 “실제 사고가 발생하는 사례들을 살펴보면, 다양한 공격방법이 혼합되어 사용되는 것을 알 수 있다. 하지만 이런 공격들도 대부분 소프트웨어 취약점을 이용한 공격이기 때문에 결국 우리가 통제할 수 있는 소프트웨어냐 아니냐로 갈라진다”고 말했다.
이어서 그는 “우리가 개발한 소프트웨어나 웹사이트는 통제권을 가지기 때문에 취약점을 발견해서 조치하면 사전에 예방할 수 있다. 하지만 타사의 소프트웨어에 해커가 특정 취약점을 이용해 공격한다면 해당 소프트웨어에 대한 권한이 없기 때문에 사고가 발생해야 그 취약점이 존재하는지 알 수 있다”고 말했다.
결국 소프트웨어 개발 프로세스에서 가장 중요한 단계는 소프트웨어 결과물을 만들어내는 코딩단계이다. 프로그램 개발단계에서 소스코드의 취약점을 점검하고 이를 수정하면 운영단계에서 발생할 수 있는 수정 및 침해사고 비용을 최소화할 수 있다.
기업이나 공공기관에서는 웹방화벽 등 기본적인 보안 시스템은 대부분 구축해 놓은 상황이다. 웹방화벽 등은 성능 이슈로 인해 보안위협을 100% 차단할 수 없기에 소스코드 보안을 통한 애플리케이션 단에서의 보안으로 보안수준을 높이는 것이 필수적이다.
이처럼 소프트웨어 개발 단계에서 보안 취약점을 제거하는 시스템인 시큐어코딩 솔루션은 HP ‘포티파이(Fortify)’, IBM ‘앱스캔(AppScan) 소스 에디션’ 등의 외산 솔루션과 파수닷컴 ‘스패로우(SPARROW)’, 이븐스타 ‘빅룩(BigLook)’, 트리니티소프트 ‘코드레이 엑스지(CODE-RAY XG)’, 싸이버텍 ‘힐링시큐 스캔제이(HealingSecu ScanJ)’, 지티원 ‘시큐리티 프리즘(SecurityPrism)’, 소프트포럼 ‘소포스코딩(SOFOS Coding)’ 등의 국산 솔루션이 있으며, 인포섹은 소프트웨어 취약점에 대한 사전 점검·관리가 가능한 ‘시큐어코딩 이노베이션 관리시스템(SIMS:Secure-coding Innovation Management System)’을 공급하고 있다.
시큐어코딩 솔루션은 그간 외산 제품이 강세를 보여 왔지만, 지난 2012년 정부·공공기관의 소프트웨어 개발사업에 시큐어코딩 적용이 의무화되면서 국내 업체들이 두각을 나타내기 시작했다. 지난해 초 파수닷컴이 CC인증을 받았고, 이어 트리니트소프트, 싸이버텍, 지티원, 소프트포럼 등의 솔루션들이 잇따라 CC인증을 획득하고 공공분야를 적극 공략하면서 시장이 급성장하고 있는 상황이다.
시큐어코딩 전문 솔루션 포티파이는 기존에 지원되지 않았던 ‘Private 배열에 Public 데이터 할당’, ‘종료되지 않는 반복문 또는 재귀 함수’ 항목의 취약점을 추가 지원하면서 포티파이 4.0버전에서 정부의 시큐어코딩 가이드 모두를 지원한다. 또 공공기관의 모든 애플리케이션은 전자정부 프레임워크가 연관된 분석 기능이 반드시 지원되어야 하는데, 이러한 요구사항을 포티파이가 이미 지원하고 있어 우수한 분석 결과를 제공한다는 장점이 있다.
▲ 국내외 시큐어코딩 주요 업체 및 솔루션(업체명 가나다순)
또한, 개발 라이프사이클 상에서 보안 취약점을 조기에 발견해 침해 사고를 근본적으로 방어하며 21종의 다양한 언어, 특히 JAVA V5이상의 개발 스팩에 대한 분석과 HTML5, Annotation, 그리고 탁월한 모바일 분석(Android, iOS-Objective-C) 기능을 지원한다. 동적 분석과 정적 분석을 결합한 하이브리드 분석 및 대규모 작업환경에 맞춰진 클라우드 분석 등 다양한 최신 분석도 가능하다.
IBM의 ‘앱스캔 소스 에디션’은 일반적으로 애플리케이션이 실행되기 전에 취약점을 찾아내는 스캐닝 툴이다. 기업들은 이를 이용해 소프트웨어 개발 초기단계에서 소스코드를 자동으로 테스트하고 잠재적인 보안 및 컴플라이언스 관련 문제를 찾아낼 수 있도록 지원한다.
싸이버텍의 ‘힐링시큐 스캔제이’는 프로그램을 실행하지 않고도 소프트웨어(SW) 개발 전 과정에서 소스코드의 잠재적 오류와 보안약점을 자동으로 검출할 수 있다. 특히, 원시 소스분석이 아닌 실행파일 기반 해석의 정적분석 기술을 적용, 빠른 속도와 함께 오탐률을 최소화한 제품이다. 소스코드 보안약점 분석뿐 아니라, 소스코드 보안약점관리 라이프 싸이클을 적용해 재오탐 방지기능도 제공한다.
소프트포럼의 ‘소포스코딩’은 행정자치부의 소프트웨어 개발보안 가이드를 100% 지원하는 맞춤형 솔루션으로 효율적인 보안 취약점 분석이 가능한 제품이다. 특히 △원인중심의 데이터 추적 △정확한 원인 분석으로 취약점 중복 오탐 방지 △자체 기술로 만든 데이터 추적엔진(F-Tracking) 탑재 △별도의 컴파일러 없이 분석 가능 △보안약점의 중앙집중식 관리를 통한 편의성 및 효율성 극대화 등으로 소스 취약점에 대한 근본적인 문제를 해결해 준다.
파수닷컴의 ‘스패로우’는 시맨틱 기반의 정적분석 기술을 바탕으로 개발 단계부터 소스코드 상의 보안 약점을 검출해 제거하도록 지원한다. 정적분석 솔루션은 소스코드를 실제 실행하지 않고 분석하는 방법을 통틀어 일컬으며 여기에는 가장 간단한 문법 체크부터 프로그램이 실행 중 가질 수 있는 값을 미리 예측하는 의미 분석 기술까지 모두 포함된다. 특히, 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출하고 프로그램의 실행 의미를 분석하는 시맨틱(Semantic) 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 신택틱(Syntactic) 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 제공한다.
트리니티소프트의 ‘코드레이 XG’는 소프트웨어 분석 및 설계, 개발구현, 테스트, 운영단계에서 발생할 수 있는 보안약점을 관리하기 위한 단계별 소스코드 통합보안을 제공한다. 각 개발단계에서 소스코드 보안약점 분석기능, 식별 및 인증, 감사기록, 전송데이터 보호 등의 기능을 제공하여 소프트웨어에 존재하는 취약점을 최소화시킨다.
이븐스타의 ‘빅룩’은 Java, JSP, ASP, PHP, C/C++, .NET 등의 다양한 언어의 소스코드 취약점 분석 도구로 애플리케이션 보안사고로부터 애플리케이션과 데이터를 보호할 수 있도록 취약점의 근본적인 문제를 찾아내 보안성 향상을 지원한다. 개발단계부터 프로세스 안에 통합되어 프로그램 소스의 취약점을 점검하고 사용자는 내장된 컴플라이언스를 통해 쉽게 조직의 표준 지원 여부를 파악할 수 있으며, 개발자에게는 적용 가이드를 제공할 수 있다. 특히, 개발자와 관리자는 코드가 가지고 있는 여러 가지 취약점을 쉽게 파약할 수 있고 취약점의 중요도에 따라 적용순위를 결정할 수도 있다.
지티원의 ‘시큐리티 프리즘’은 행자부의 시큐어코딩 가이드는 물론 CWE, CERT, OWASP 등 국제표준 시큐어코딩 가이드도 지원하는 시큐어코딩 전문 솔루션으로, 일반 응용 프로그램, 웹 애플리케이션에서부터 모바일 앱에 이르기까지 개발 단계에서 개발자가 작성한 소스 코드만을 분석해 해커가 악용할 수 있는 잠재적인 보안 약점을 검출하고 수정할 수 있도록 가이드를 제공한다.
올해부터 전자정부에 적용되는 모바일 소프트웨어에 대해 개발단계에서부터 시큐어코딩 방식이 의무적으로 적용되면서 시큐어코딩 분야의 성장과 발전에 힘이 실리고 있다. 이에 따라 행정기관들은 모바일 서비스를 개시하기 전에 암호화 등 보안기능 적용 여부와 보안약점 점검 및 조치여부를 반드시 확인해야 한다.
[김태형 기자(boan@boannews.com)]
시큐어코딩 적용하면 해킹 가능성 94% 이상 제거
[보안뉴스 김태형] 사물인터넷(IoT) 시대가 본격화되면서 스마트 사회의 가장 큰 위협으로 떠오르고 있는 건 소프트웨어(SW) 취약성으로 인한 보안사고다. SW의 설계 및 코딩 과정에서의 취약성으로 인해 보안사고가 발생하거나 SW 품질·안전성이 저하된다면 막대한 손실을 입을 수 있기 때문이다.
특히, 최근엔 정상적인 애플리케이션에 난독화된 스크립트를 삽입하는 지능형 공격과 정상 웹 서비스에 악성코드나 악성링크를 숨겨 이용자들을 감염시키는 공격도 증가하고 있는데, 이를 방어하기 위해서는 시큐어코딩(Secure Coding)이 필수다.
이에 행정자치부와 한국인터넷진흥원은 올해 초 ‘전자정부 SW IoT 보안센터’를 개소하고 그간 전자정부의 소프트웨어를 보호해온 ‘시큐어코딩’ 방식을 IoT와 모바일 분야까지 폭넓게 적용할 수 있는 방안을 마련해 관련기관에 보안기술을 지원키로 했다.
실제 소프트웨어 개발보안을 적용한 소프트웨어는 해킹 공격에 탁월한 예방 능력이 있는 것으로 나타났다. 시큐어코딩 방식을 적용하고 있는 전자정부 소프트웨어의 보안 효과성을 분석한 결과, 해킹 가능성이 94% 이상 제거되고 소스코드의 체계적인 관리로 ‘스파게티 코드 (Spaghetti Code: 스파게티처럼 복잡하게 얽혀있는 프로그램)’를 예방하는 효과도 있는 것으로 나타났다.
이처럼 시큐어코딩은 전자정부 이외의 민간 분야에도 빠르게 확산되고 있으며 이미 국방, 금융, 대기업 등 많은 기관들이 소프트웨어 개발보안 관련 자체 프로세스를 개발·적용하고 있다.
이에 대해 엔시큐어 손장군 이사는 “보안사고의 범위는 넓다. 침해사고 공격의 약 85% 이상이 소프트웨어 타깃이라는 측면에서 보면 상당 부분을 막을 수 있을 것이다. 요즘에는 한 가지 취약점만으로 공격이 이뤄지지 않는다”면서 “실제 사고가 발생하는 사례들을 살펴보면, 다양한 공격방법이 혼합되어 사용되는 것을 알 수 있다. 하지만 이런 공격들도 대부분 소프트웨어 취약점을 이용한 공격이기 때문에 결국 우리가 통제할 수 있는 소프트웨어냐 아니냐로 갈라진다”고 말했다.
이어서 그는 “우리가 개발한 소프트웨어나 웹사이트는 통제권을 가지기 때문에 취약점을 발견해서 조치하면 사전에 예방할 수 있다. 하지만 타사의 소프트웨어에 해커가 특정 취약점을 이용해 공격한다면 해당 소프트웨어에 대한 권한이 없기 때문에 사고가 발생해야 그 취약점이 존재하는지 알 수 있다”고 말했다.
결국 소프트웨어 개발 프로세스에서 가장 중요한 단계는 소프트웨어 결과물을 만들어내는 코딩단계이다. 프로그램 개발단계에서 소스코드의 취약점을 점검하고 이를 수정하면 운영단계에서 발생할 수 있는 수정 및 침해사고 비용을 최소화할 수 있다.
기업이나 공공기관에서는 웹방화벽 등 기본적인 보안 시스템은 대부분 구축해 놓은 상황이다. 웹방화벽 등은 성능 이슈로 인해 보안위협을 100% 차단할 수 없기에 소스코드 보안을 통한 애플리케이션 단에서의 보안으로 보안수준을 높이는 것이 필수적이다.
이처럼 소프트웨어 개발 단계에서 보안 취약점을 제거하는 시스템인 시큐어코딩 솔루션은 HP ‘포티파이(Fortify)’, IBM ‘앱스캔(AppScan) 소스 에디션’ 등의 외산 솔루션과 파수닷컴 ‘스패로우(SPARROW)’, 이븐스타 ‘빅룩(BigLook)’, 트리니티소프트 ‘코드레이 엑스지(CODE-RAY XG)’, 싸이버텍 ‘힐링시큐 스캔제이(HealingSecu ScanJ)’, 지티원 ‘시큐리티 프리즘(SecurityPrism)’, 소프트포럼 ‘소포스코딩(SOFOS Coding)’ 등의 국산 솔루션이 있으며, 인포섹은 소프트웨어 취약점에 대한 사전 점검·관리가 가능한 ‘시큐어코딩 이노베이션 관리시스템(SIMS:Secure-coding Innovation Management System)’을 공급하고 있다.
시큐어코딩 솔루션은 그간 외산 제품이 강세를 보여 왔지만, 지난 2012년 정부·공공기관의 소프트웨어 개발사업에 시큐어코딩 적용이 의무화되면서 국내 업체들이 두각을 나타내기 시작했다. 지난해 초 파수닷컴이 CC인증을 받았고, 이어 트리니트소프트, 싸이버텍, 지티원, 소프트포럼 등의 솔루션들이 잇따라 CC인증을 획득하고 공공분야를 적극 공략하면서 시장이 급성장하고 있는 상황이다.
시큐어코딩 전문 솔루션 포티파이는 기존에 지원되지 않았던 ‘Private 배열에 Public 데이터 할당’, ‘종료되지 않는 반복문 또는 재귀 함수’ 항목의 취약점을 추가 지원하면서 포티파이 4.0버전에서 정부의 시큐어코딩 가이드 모두를 지원한다. 또 공공기관의 모든 애플리케이션은 전자정부 프레임워크가 연관된 분석 기능이 반드시 지원되어야 하는데, 이러한 요구사항을 포티파이가 이미 지원하고 있어 우수한 분석 결과를 제공한다는 장점이 있다.
▲ 국내외 시큐어코딩 주요 업체 및 솔루션(업체명 가나다순)
또한, 개발 라이프사이클 상에서 보안 취약점을 조기에 발견해 침해 사고를 근본적으로 방어하며 21종의 다양한 언어, 특히 JAVA V5이상의 개발 스팩에 대한 분석과 HTML5, Annotation, 그리고 탁월한 모바일 분석(Android, iOS-Objective-C) 기능을 지원한다. 동적 분석과 정적 분석을 결합한 하이브리드 분석 및 대규모 작업환경에 맞춰진 클라우드 분석 등 다양한 최신 분석도 가능하다.
IBM의 ‘앱스캔 소스 에디션’은 일반적으로 애플리케이션이 실행되기 전에 취약점을 찾아내는 스캐닝 툴이다. 기업들은 이를 이용해 소프트웨어 개발 초기단계에서 소스코드를 자동으로 테스트하고 잠재적인 보안 및 컴플라이언스 관련 문제를 찾아낼 수 있도록 지원한다.
싸이버텍의 ‘힐링시큐 스캔제이’는 프로그램을 실행하지 않고도 소프트웨어(SW) 개발 전 과정에서 소스코드의 잠재적 오류와 보안약점을 자동으로 검출할 수 있다. 특히, 원시 소스분석이 아닌 실행파일 기반 해석의 정적분석 기술을 적용, 빠른 속도와 함께 오탐률을 최소화한 제품이다. 소스코드 보안약점 분석뿐 아니라, 소스코드 보안약점관리 라이프 싸이클을 적용해 재오탐 방지기능도 제공한다.
소프트포럼의 ‘소포스코딩’은 행정자치부의 소프트웨어 개발보안 가이드를 100% 지원하는 맞춤형 솔루션으로 효율적인 보안 취약점 분석이 가능한 제품이다. 특히 △원인중심의 데이터 추적 △정확한 원인 분석으로 취약점 중복 오탐 방지 △자체 기술로 만든 데이터 추적엔진(F-Tracking) 탑재 △별도의 컴파일러 없이 분석 가능 △보안약점의 중앙집중식 관리를 통한 편의성 및 효율성 극대화 등으로 소스 취약점에 대한 근본적인 문제를 해결해 준다.
파수닷컴의 ‘스패로우’는 시맨틱 기반의 정적분석 기술을 바탕으로 개발 단계부터 소스코드 상의 보안 약점을 검출해 제거하도록 지원한다. 정적분석 솔루션은 소스코드를 실제 실행하지 않고 분석하는 방법을 통틀어 일컬으며 여기에는 가장 간단한 문법 체크부터 프로그램이 실행 중 가질 수 있는 값을 미리 예측하는 의미 분석 기술까지 모두 포함된다. 특히, 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출하고 프로그램의 실행 의미를 분석하는 시맨틱(Semantic) 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 신택틱(Syntactic) 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 제공한다.
트리니티소프트의 ‘코드레이 XG’는 소프트웨어 분석 및 설계, 개발구현, 테스트, 운영단계에서 발생할 수 있는 보안약점을 관리하기 위한 단계별 소스코드 통합보안을 제공한다. 각 개발단계에서 소스코드 보안약점 분석기능, 식별 및 인증, 감사기록, 전송데이터 보호 등의 기능을 제공하여 소프트웨어에 존재하는 취약점을 최소화시킨다.
이븐스타의 ‘빅룩’은 Java, JSP, ASP, PHP, C/C++, .NET 등의 다양한 언어의 소스코드 취약점 분석 도구로 애플리케이션 보안사고로부터 애플리케이션과 데이터를 보호할 수 있도록 취약점의 근본적인 문제를 찾아내 보안성 향상을 지원한다. 개발단계부터 프로세스 안에 통합되어 프로그램 소스의 취약점을 점검하고 사용자는 내장된 컴플라이언스를 통해 쉽게 조직의 표준 지원 여부를 파악할 수 있으며, 개발자에게는 적용 가이드를 제공할 수 있다. 특히, 개발자와 관리자는 코드가 가지고 있는 여러 가지 취약점을 쉽게 파약할 수 있고 취약점의 중요도에 따라 적용순위를 결정할 수도 있다.
지티원의 ‘시큐리티 프리즘’은 행자부의 시큐어코딩 가이드는 물론 CWE, CERT, OWASP 등 국제표준 시큐어코딩 가이드도 지원하는 시큐어코딩 전문 솔루션으로, 일반 응용 프로그램, 웹 애플리케이션에서부터 모바일 앱에 이르기까지 개발 단계에서 개발자가 작성한 소스 코드만을 분석해 해커가 악용할 수 있는 잠재적인 보안 약점을 검출하고 수정할 수 있도록 가이드를 제공한다.
올해부터 전자정부에 적용되는 모바일 소프트웨어에 대해 개발단계에서부터 시큐어코딩 방식이 의무적으로 적용되면서 시큐어코딩 분야의 성장과 발전에 힘이 실리고 있다. 이에 따라 행정기관들은 모바일 서비스를 개시하기 전에 암호화 등 보안기능 적용 여부와 보안약점 점검 및 조치여부를 반드시 확인해야 한다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
