SW가 4차 산업의 중심, SW 요구사항 커져
생산성 향상 기대되는 만큼 보안도 강화해야
데브섹옵스 방법론 채택하고 교육·연구 필요
[보안뉴스= 임채호 빛스캔 연구소장] 편의점에서는 2초에 값이 계산된다. 비즈니스도 마찬가지다. 초연결 시대(Hyper-Connectivity)다. 4차 산업혁명 시대 장밋빛 경제가 보인다. 기존 IT 기반의 사이버 물리(Cyber-Physics), 센서 기반의 사물인터넷(IoT), 인지 컴퓨팅(AI), 비용절감을 위한 클라우드 컴퓨팅(Cloud Computing) 환경이다.
[이미지=iclickart]
3차 산업이 90마력의 포니자동차 성능이라면 4차 산업은 700마력의 람보르기니 경주용 자동차 10대의 성능이다. 비용이 최대로 개선된다. 기계가 사람을 대신하고 기계는 소프트웨어(SW)가 운영한다. SW가 4차 산업의 중심이다. 사물인터넷 센서도 SW가 운영한다. 모든 조직은 개발·운영상의 비용 절감을 목적으로 SW를 클라우드에 이전한다. 데이터는 가치를 더해가고, SW는 데이터를 생산한다. 4차 산업혁명에서 SW 요구사항은 홍수처럼 밀려들 것이다,
“소프트웨어가 세상을 집어삼키고 있다(Software Eating the World).”
―로베르토 시그라리(Roberto Sigrari), 유로테크 SPA(Eurotech SPA)
해커는 SW 취약성 문제로 고민하고 있다
세계적인 부자인 빌 게이츠나 고인이 된 스티브 잡스가 차고에서 SW를 개발할 때 리처드 스톨만은 공개SW 정신으로 해커 문화를 외쳤다. 공개는 경제에 엄청난 영감과 발전을 가져왔다.
△빌 게이츠, 폴 알렌 : 마이크로소프트, 개인용 운영체제(MS-dos, Window)
△스티브 잡스, 스티브 워즈니악 : 애플 컴퓨터, 개인운영체제(매킨토시), 아이폰
△리처스 스톨만 : 프리 소프트웨어, 공개운영체제(GNU)
인터넷 웜 개발자인 로버트 모리스, 케빈 미트닉 등은 SW를 악용한 대표적인 블랙 햇 해커다. 소련의 사주를 받아 미국 국방망을 해킹한 독일 해커를 잡은 클리퍼 스톨, 케빈 미트닉을 잡은 시노무라 등은 대표적인 화이트 햇 해커다. 화이트 햇 해커는 취약점을 막으려 했고, 블랙 햇 해커는 취약성을 연구해 공격한 범죄 해커다. 이는 오늘날 공격자와 보안 담당자 간 관계다. 블랙 햇 해커가 취약성을 공격하고자 할 때 보안 담당자는 막아야 하는 것이다,
SW 취약성은 코드 취약성과 운영상의 구성 취약성이 있다. 2017년 마이크로소프트, 오라클, 시스코, IBM, 어도비 등에서 14,000건 가량의 신종 취약점이 미국에서 보고됐다. 그 중 응용프로그램 취약점이 90% 이상을 차지했다. 많은 고객을 보유한 대형 SW 취약점은 심각성의 정도가 크고, 로컬에서 개발된 응용 SW는 그 심각한 정도가 상대적으로 낮다.
미국 국토안보부(DHS)는 범죄자의 공격 경로를 다음과 같이 보고 있다.
△악성코드 전자우편 : 스피어 피싱, 스팸 이용 악성코드
△악성코드 웹 : 취약점을 이용한 악성코드
△웹 공격 : 웹 코드 취약성을 이용한 공격
△계정탈취 : 컴퓨터 및 SNS 계정 탈취
△DDoS 공격 : 네트워크 손상
APT 공격은 먼저 사람을 속이고 SW 취약성이 있는 PC나 서버를 감염시킨다. 백신 하나만으로 해결되지 않는다. 특히, 알려진 공격 증거값(Signature)을 통해 탐지하는 국내 백신은 이를 탐지하지 못하는 경우가 많다. 미국 국방부를 비롯한 서구 국가는 조직에 있는 모든 SW 변화를 탐지한다. 악성인지 아닌지 전량을 분석한다. 예를 들어, 모든 PC나 서버를 실시간으로 감시하고 새로운 이벤트를 탐지한다. HIDS(호스트 기반 침입탐지시스템)이지만 정상 행동 프로파일링 기법을 사용한 것이다,
사실 모든 이벤트가 분석 대상이다. 네이버는 7·7 DDoS 사태를 신속히 대응한 전례가 있다. 모든 PC를 감시하던 상황에서 담당자가 유입된 신종 악성코드를 분석, 공격을 알아내 신속 대응한 것이다, 또한 웹 공격에 대비해 웹 취약점을 매일 분석·탐지하고 개선 정보를 공유한 바 있다. 현재까지도 이러한 활동이 계속 이루어지고 있을 것이다.
이밖에 사이버 공격 기법 톱 10(Top 10)을 소개한다.
1) DoS/DDoS 공격
2) 중간 가로채기 공격(MitM: Man-in-th-Middle attack)
3) 스피어 피싱, 스팸
4) 드라이브 바이 다운로드 공격(Drive-by-download attack)
5) 계정 탈취(Password attck)
6) 웹 SQL 인젝션 공격
7) 웹 XSS 공격
8) 감청(Eavesdropping)
9) 해시 공격(Birthday attack)
10) 악성코드
조직에서 IT 환경은 SW의 집합이다. 응용 SW, 시스템·운영체제, 하드웨어로 나뉘지만 코드 검증, 평가, 운영 과정에서 변동 상황을 지속적으로 평가하고 계측하며 개선하느냐에 사이버 보안의 성공이 달려 있다.
사이버 범죄는 갈수록 증가하고 있다. 정부는 개인정보보호법을 통해 규제 강도를 높이고 있으며 벌금도 높아지는 추세다. 인터파크의 경우, 해킹을 당한 뒤 44억 원의 벌금을 선고 받았다. 4차 산업혁명은 산업 전반의 광범위한 생산성 향상을 기대케 하지만, 그만큼 높은 수준의 사이버 보안을 요구하고 있다.
SW 생산성 혁명을 위한 데브옵스(DevOps) 또는 데브섹옵스(DevSecOps)
패트릭 데비오스는 최근에 데브옵스(DevOps)를 주창하고 있다. 데브섹옵스(DevSecOps) 등으로도 불리는 이 새로운 SW 문화는 SW 부작용인 버그와 취약성을 개선하면서 SW의 성능을 급속도로 개선하고 있다. 4차 산업혁명 시대 또 다른 SW 혁명이다.
[자료=임채호]
데브섹옵스는 ①요구사항분석 ②설계 ③개발 ④시험 ⑤운영이라는 SDLC 절차를 준수하면서 성능을 크게 개선할 수 있는 4가지 키워드를 ‘CAMS’로 제시한다. CAMS는 △문화(C) △자동화(A) △측정(M) △공유(S)의 영문 앞글자를 딴 말이다.
SW 개발사 입장에서는 실제 운영 중 매우 많은 변화를 겪게 된다. 개발한 시스템의 위험 요소를 보유한 채 운영하는 경우가 많은데, 이 때문에 침해사고가 생긴다. 결국 자동화가 생산성 향상의 중요한 역할을 한다. 데브섹옵스는 개발 기한에 맞추면서 SW의 안정성도 맞춰준다. 이는 성능 개선 측면에서 놀라운 효과를 불러일으킨다.
현재 공공과 민간의 조직 대다수가 IT를 운영하며 수많은 SW를 개발·운영하고 있다. SW 개발과 운영에는 기획부, 사업부, 개발부, 운영부, 보안팀 등이 관여돼 있다. 특히, 보안팀은 모든 부서와 밀접하게 관여돼야 한다. SW 취약성은 초기 시험 평가에서 50~80% 탐지되고 제거된다. 나머지는 운영에서 평가돼야 한다. 제로데이 공격도 마찬가지로 평가돼야 마땅하다.
각국 정부는 기관 및 기업의 보안성 준수 여부를 확인하기 위해 △미국 연방정보보안관리법(FISMA) △미국 사베인스-옥슬리 법(SOX) △유럽 일반정보보호규정(GDPR) 등을 제정 및 시행하고 있으며, 우리나라도 △개인정보보호법 △ISMS 인증심사 △보안감사 △CC 인증 △시큐어 코딩 등을 시행하고 있다. 그러나 비용 효과적인 데브섹옵스 방식은 4차 산업혁명 시대 정부의 법적 준수사항을 충족하는데 가장 적절한 방법론이라 볼 수 있다.
▲데브섹옵스 개념[표=임채호]
▲데브섹옵스 성능[표=임채호]
사이버 보안은 국가 발전의 초석이다
시장조사기관 IDC에 따르면, 2020년 글로벌 사이버 보안 시장은 1,000억 달러(약 113조 500억 원) 규모로 전망되고 있다. 2016년 취약성 보안 시장은 60억 달러(약 6조 7,830억 원) 규모였으며, △IBM △HP △델(Dell) △스플렁크(Splunk) 등이 시장 지배적 사업자로 나타났다.
최근 시스코는 미국의 한국계 해커 송덕준의 기술을 2조 원에 사들였다. 송덕준은 2001년 한국과학기술원(KAIST)이 개최한 해킹대회 ‘킹 오브 킹(King of King)’에 참가해 IDS 문제점을 밝힌 바 있으며, dsniff를 개발하고 오랫동안 DDoS 탐지 분석을 수행했다. 한편으로, 안철수 박사가 국내 최초로 V3 백신을 개발한 지도 벌써 20년이 됐다. 시사점이 많다.
정부 주도로 정부·공공기관과 대학, 기업 등이 고성능의 SW 보안·개발 방법론을 채택하고 발전시킬 수 있도록 해야 한다. 대학에서는 전산 SW 관련 교육과 연구가 더 필요하다. 특히, 자동화를 연구하고 학습한 인재는 공공에서뿐만 및 민간 기업에서도 능력을 발휘할 수 있을 것이다.
[글_ 임채호 빛스캔 연구소장(skscogh@naver.com)]
생산성 향상 기대되는 만큼 보안도 강화해야
데브섹옵스 방법론 채택하고 교육·연구 필요
[보안뉴스= 임채호 빛스캔 연구소장] 편의점에서는 2초에 값이 계산된다. 비즈니스도 마찬가지다. 초연결 시대(Hyper-Connectivity)다. 4차 산업혁명 시대 장밋빛 경제가 보인다. 기존 IT 기반의 사이버 물리(Cyber-Physics), 센서 기반의 사물인터넷(IoT), 인지 컴퓨팅(AI), 비용절감을 위한 클라우드 컴퓨팅(Cloud Computing) 환경이다.
[이미지=iclickart]
3차 산업이 90마력의 포니자동차 성능이라면 4차 산업은 700마력의 람보르기니 경주용 자동차 10대의 성능이다. 비용이 최대로 개선된다. 기계가 사람을 대신하고 기계는 소프트웨어(SW)가 운영한다. SW가 4차 산업의 중심이다. 사물인터넷 센서도 SW가 운영한다. 모든 조직은 개발·운영상의 비용 절감을 목적으로 SW를 클라우드에 이전한다. 데이터는 가치를 더해가고, SW는 데이터를 생산한다. 4차 산업혁명에서 SW 요구사항은 홍수처럼 밀려들 것이다,
“소프트웨어가 세상을 집어삼키고 있다(Software Eating the World).”
―로베르토 시그라리(Roberto Sigrari), 유로테크 SPA(Eurotech SPA)
해커는 SW 취약성 문제로 고민하고 있다
세계적인 부자인 빌 게이츠나 고인이 된 스티브 잡스가 차고에서 SW를 개발할 때 리처드 스톨만은 공개SW 정신으로 해커 문화를 외쳤다. 공개는 경제에 엄청난 영감과 발전을 가져왔다.
△빌 게이츠, 폴 알렌 : 마이크로소프트, 개인용 운영체제(MS-dos, Window)
△스티브 잡스, 스티브 워즈니악 : 애플 컴퓨터, 개인운영체제(매킨토시), 아이폰
△리처스 스톨만 : 프리 소프트웨어, 공개운영체제(GNU)
인터넷 웜 개발자인 로버트 모리스, 케빈 미트닉 등은 SW를 악용한 대표적인 블랙 햇 해커다. 소련의 사주를 받아 미국 국방망을 해킹한 독일 해커를 잡은 클리퍼 스톨, 케빈 미트닉을 잡은 시노무라 등은 대표적인 화이트 햇 해커다. 화이트 햇 해커는 취약점을 막으려 했고, 블랙 햇 해커는 취약성을 연구해 공격한 범죄 해커다. 이는 오늘날 공격자와 보안 담당자 간 관계다. 블랙 햇 해커가 취약성을 공격하고자 할 때 보안 담당자는 막아야 하는 것이다,
SW 취약성은 코드 취약성과 운영상의 구성 취약성이 있다. 2017년 마이크로소프트, 오라클, 시스코, IBM, 어도비 등에서 14,000건 가량의 신종 취약점이 미국에서 보고됐다. 그 중 응용프로그램 취약점이 90% 이상을 차지했다. 많은 고객을 보유한 대형 SW 취약점은 심각성의 정도가 크고, 로컬에서 개발된 응용 SW는 그 심각한 정도가 상대적으로 낮다.
미국 국토안보부(DHS)는 범죄자의 공격 경로를 다음과 같이 보고 있다.
△악성코드 전자우편 : 스피어 피싱, 스팸 이용 악성코드
△악성코드 웹 : 취약점을 이용한 악성코드
△웹 공격 : 웹 코드 취약성을 이용한 공격
△계정탈취 : 컴퓨터 및 SNS 계정 탈취
△DDoS 공격 : 네트워크 손상
APT 공격은 먼저 사람을 속이고 SW 취약성이 있는 PC나 서버를 감염시킨다. 백신 하나만으로 해결되지 않는다. 특히, 알려진 공격 증거값(Signature)을 통해 탐지하는 국내 백신은 이를 탐지하지 못하는 경우가 많다. 미국 국방부를 비롯한 서구 국가는 조직에 있는 모든 SW 변화를 탐지한다. 악성인지 아닌지 전량을 분석한다. 예를 들어, 모든 PC나 서버를 실시간으로 감시하고 새로운 이벤트를 탐지한다. HIDS(호스트 기반 침입탐지시스템)이지만 정상 행동 프로파일링 기법을 사용한 것이다,
사실 모든 이벤트가 분석 대상이다. 네이버는 7·7 DDoS 사태를 신속히 대응한 전례가 있다. 모든 PC를 감시하던 상황에서 담당자가 유입된 신종 악성코드를 분석, 공격을 알아내 신속 대응한 것이다, 또한 웹 공격에 대비해 웹 취약점을 매일 분석·탐지하고 개선 정보를 공유한 바 있다. 현재까지도 이러한 활동이 계속 이루어지고 있을 것이다.
이밖에 사이버 공격 기법 톱 10(Top 10)을 소개한다.
1) DoS/DDoS 공격
2) 중간 가로채기 공격(MitM: Man-in-th-Middle attack)
3) 스피어 피싱, 스팸
4) 드라이브 바이 다운로드 공격(Drive-by-download attack)
5) 계정 탈취(Password attck)
6) 웹 SQL 인젝션 공격
7) 웹 XSS 공격
8) 감청(Eavesdropping)
9) 해시 공격(Birthday attack)
10) 악성코드
조직에서 IT 환경은 SW의 집합이다. 응용 SW, 시스템·운영체제, 하드웨어로 나뉘지만 코드 검증, 평가, 운영 과정에서 변동 상황을 지속적으로 평가하고 계측하며 개선하느냐에 사이버 보안의 성공이 달려 있다.
사이버 범죄는 갈수록 증가하고 있다. 정부는 개인정보보호법을 통해 규제 강도를 높이고 있으며 벌금도 높아지는 추세다. 인터파크의 경우, 해킹을 당한 뒤 44억 원의 벌금을 선고 받았다. 4차 산업혁명은 산업 전반의 광범위한 생산성 향상을 기대케 하지만, 그만큼 높은 수준의 사이버 보안을 요구하고 있다.
SW 생산성 혁명을 위한 데브옵스(DevOps) 또는 데브섹옵스(DevSecOps)
패트릭 데비오스는 최근에 데브옵스(DevOps)를 주창하고 있다. 데브섹옵스(DevSecOps) 등으로도 불리는 이 새로운 SW 문화는 SW 부작용인 버그와 취약성을 개선하면서 SW의 성능을 급속도로 개선하고 있다. 4차 산업혁명 시대 또 다른 SW 혁명이다.
[자료=임채호]
데브섹옵스는 ①요구사항분석 ②설계 ③개발 ④시험 ⑤운영이라는 SDLC 절차를 준수하면서 성능을 크게 개선할 수 있는 4가지 키워드를 ‘CAMS’로 제시한다. CAMS는 △문화(C) △자동화(A) △측정(M) △공유(S)의 영문 앞글자를 딴 말이다.
SW 개발사 입장에서는 실제 운영 중 매우 많은 변화를 겪게 된다. 개발한 시스템의 위험 요소를 보유한 채 운영하는 경우가 많은데, 이 때문에 침해사고가 생긴다. 결국 자동화가 생산성 향상의 중요한 역할을 한다. 데브섹옵스는 개발 기한에 맞추면서 SW의 안정성도 맞춰준다. 이는 성능 개선 측면에서 놀라운 효과를 불러일으킨다.
현재 공공과 민간의 조직 대다수가 IT를 운영하며 수많은 SW를 개발·운영하고 있다. SW 개발과 운영에는 기획부, 사업부, 개발부, 운영부, 보안팀 등이 관여돼 있다. 특히, 보안팀은 모든 부서와 밀접하게 관여돼야 한다. SW 취약성은 초기 시험 평가에서 50~80% 탐지되고 제거된다. 나머지는 운영에서 평가돼야 한다. 제로데이 공격도 마찬가지로 평가돼야 마땅하다.
각국 정부는 기관 및 기업의 보안성 준수 여부를 확인하기 위해 △미국 연방정보보안관리법(FISMA) △미국 사베인스-옥슬리 법(SOX) △유럽 일반정보보호규정(GDPR) 등을 제정 및 시행하고 있으며, 우리나라도 △개인정보보호법 △ISMS 인증심사 △보안감사 △CC 인증 △시큐어 코딩 등을 시행하고 있다. 그러나 비용 효과적인 데브섹옵스 방식은 4차 산업혁명 시대 정부의 법적 준수사항을 충족하는데 가장 적절한 방법론이라 볼 수 있다.
▲데브섹옵스 개념[표=임채호]
▲데브섹옵스 성능[표=임채호]
사이버 보안은 국가 발전의 초석이다
시장조사기관 IDC에 따르면, 2020년 글로벌 사이버 보안 시장은 1,000억 달러(약 113조 500억 원) 규모로 전망되고 있다. 2016년 취약성 보안 시장은 60억 달러(약 6조 7,830억 원) 규모였으며, △IBM △HP △델(Dell) △스플렁크(Splunk) 등이 시장 지배적 사업자로 나타났다.
최근 시스코는 미국의 한국계 해커 송덕준의 기술을 2조 원에 사들였다. 송덕준은 2001년 한국과학기술원(KAIST)이 개최한 해킹대회 ‘킹 오브 킹(King of King)’에 참가해 IDS 문제점을 밝힌 바 있으며, dsniff를 개발하고 오랫동안 DDoS 탐지 분석을 수행했다. 한편으로, 안철수 박사가 국내 최초로 V3 백신을 개발한 지도 벌써 20년이 됐다. 시사점이 많다.
정부 주도로 정부·공공기관과 대학, 기업 등이 고성능의 SW 보안·개발 방법론을 채택하고 발전시킬 수 있도록 해야 한다. 대학에서는 전산 SW 관련 교육과 연구가 더 필요하다. 특히, 자동화를 연구하고 학습한 인재는 공공에서뿐만 및 민간 기업에서도 능력을 발휘할 수 있을 것이다.
[글_ 임채호 빛스캔 연구소장(skscogh@naver.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
