랭섹 등 애플리케이션의 보안을 강화시켜 주는 기술 속속 등장
결국 생산이냐 보안 투자냐의 기로에 선 운영진들의 선택 문제
[보안뉴스 문가용] 이런 저런 말들이 많긴 했지만 지난 10년 동안 보안은 거의 변하지 않았다. 아직도 기업들은 대부분 공격 패턴을 매칭 시키는 방법으로 방어를 한다. 그리고 그건 여전히 충분치 않다.
그런데 해커들은 계속해서 새로운 방법들과 기술들을 찾아낸다. 그게 아니면 같은 멀웨어라도 활용법을 응용한다. 새로운 걸 계속해서 찾아내는 자를, 10년간 변하지 않는 자가 어떻게 막아낼까. 게다가 이를 두고 ‘해커들은 부지런하고 열정적이며 스마트한데 비해 보안은 느리고 굼뜨며 게으르다’고 말할 수 없다. 왜냐하면 처음부터 방어하는 쪽이 매우 불리할 수밖에 없는 싸움이기 때문이다. 공격하는 쪽은 모든 걸 쏟아 부어도 딱 한 번만 맞으면 성공인데, 방어는 모든 걸 다 막아내도 딱 한 번만 뚫려도 실패라는 굴레를 뒤집어쓴다. 단 한 번의 실패도 치명적인 입장에서, 변화를 꾀하기란 불가능에 가깝다.
그럼에도 이제는 사업의 환경이 앱 위주 혹은 소프트웨어 기반으로 바뀌었기 때문에, 드디어 보안이 변화를 감행해야 하는 때가 됐다. XSS 및 SQL 인젝션으로부터의 보안도 웹 브라우저나 데이터베이스 엔진의 시점에서 바라보고 애플리케이션 보안처럼 다루어야 한다. 네트워크나 게이트웨이 단계에서 막는 것만이 아니라 전혀 다른 단계에서의 방법을 고안해야 한다. 그런데 왜 지금 당장부터 바꿀 수 없는 걸까? 아직 앱 보안만으로는 불안하다고들 하는데, 글쎄...
1. 앱 보안이 기본이다
기존처럼 네트워크의 가장 바깥 쪽, 즉 경계선을 가장 중요한 보안의 지점으로 잡는 방식은 ‘이전에 알고 있던 것’을 바탕으로 결정을 내리는 체제를 가지고 있다. 하지만 보안 장치가 애플리케이션 자체에 마련되어 있다면, 해당 애플리케이션의 콘텍스트(누가, 언제, 어디서, 왜 사용하는지)를 실시간으로 파악하는 게 가능해지고, 이것이 판단 및 결정의 중요한 근거가 된다. 과거의 사실을 가지고 현재를 파악하는 것과, 현재의 것을 실시간으로 확보해 판단하는 것, 어떤 것이 더 정확하겠는가?
또한 앱들이 요즘 들어 주목을 받고는 있지만 사실 굉장히 오래전부터 있어왔다. 특히 2000년대 초반 앱의 수는 폭발적으로 늘었다. 그리고 이중에선 아직까지도 사용되고 있는 것들이 많다. 무슨 뜻인가? 언제 어디서 폭파해도 이상하지 않다는 것이다. 그렇기 때문에라도 앱 보안은 선택이 아니라 필수다.
게다가 앱 보안은 ‘싸고 효과적으로’라는 최근의 트렌드에 적합하다. 패치로 많이 해결할 수 있기 때문이다. 그러나 앞으로 웹 공간은 계속해서 불안해져만 갈 예정이다. 왜냐하면 필요한 패치를 올바로 제 때 적용하는 사람이 드물기 때문이다. 문제를 고치지 않는 사람들 투성인 공간이 어찌 온전할 수 있을까. 이런 곳, 이런 때에 적절한 질문은 ‘왜 패치를 하지 않을까?’이다. 이에 대해서는 어제 기사 ‘취약점과 패치’ 기사에서 다루었다.
2. 취약점 수정의 ROI
최근 대학에서 연구되고 있는 새로운 보안 주제가 있는데, 바로 랭섹(LANGSEC)이다. XSS, CSRF, SQL 인젝션 등에 대한 대처가 모두 가능해질 수 있다. 최근에서야 막 시장에 출현하기 시작한 랭섹은, 코드 패턴 및 데이터 포맷을 ‘언어’와 ‘문법’으로서 처리해 악성 코드가 아예 소프트웨어로 들어오지 못하게 하는 신개념 보안 기법이다.
랭섹은 이를테면 마치 ‘단어’를 아는 것에서부터 문장을 이해하게 되는 수준으로 진화하는 것과 같다. 랭섹은 입력된 데이터의 난독화를 없애 보안 장치가 필요한 타이밍과 장소에(보통은 앱이 실행될 때다) 정확하게 적용될 수 있도록 한다. 웹 브라우저, 데이터베이스, OS가 이해하는 데이터가 실시간으로 컴파일링 된다고 생각해도 된다. 이는 XSS와 SQL 인젝션과 같은 애플리케이션 단의 공격을 무력화시킨다.
그러나 이런 저런 ‘효율적인’ 솔루션들이 백날 등장해봐야 기업이 ‘이런 데 돈 쓰느니 물건이라도 하나 더 만들겠다’고 마음먹으면 아무 소용이 없다. 보안에 드는 비용과 자원이 0이 아닌 이상 이런 고민은 습관처럼 결정권자들의 마음을 스칠 것이다. 일어날지 안 일어날지 모르는 일에 투자를 할 것인가, 높은 확률로 수익을 낼 행위를 할 것인가? 여기엔 정답이 없다. 보안 업계에 있다고 해서 당연히 보안 쪽에 손들 수 없는 문제다. 그렇기에 보안은 앞에서 언급했다시피 ‘싸고 편한’ 트렌드를 따를 수밖에 없다.
결국 조금씩 누군가의 입들에서 흘러나오던 말들, “모든 기업이 소프트웨어 기업이 되고 있다”는 말이 일단 보안의 측면에서는 기정사실화 되고 있다. 아니, 이미 빠르게 이루어지고 있는 현상이다.
글 : 쿠날 아난드(Kunal Anand)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
결국 생산이냐 보안 투자냐의 기로에 선 운영진들의 선택 문제
[보안뉴스 문가용] 이런 저런 말들이 많긴 했지만 지난 10년 동안 보안은 거의 변하지 않았다. 아직도 기업들은 대부분 공격 패턴을 매칭 시키는 방법으로 방어를 한다. 그리고 그건 여전히 충분치 않다.
그런데 해커들은 계속해서 새로운 방법들과 기술들을 찾아낸다. 그게 아니면 같은 멀웨어라도 활용법을 응용한다. 새로운 걸 계속해서 찾아내는 자를, 10년간 변하지 않는 자가 어떻게 막아낼까. 게다가 이를 두고 ‘해커들은 부지런하고 열정적이며 스마트한데 비해 보안은 느리고 굼뜨며 게으르다’고 말할 수 없다. 왜냐하면 처음부터 방어하는 쪽이 매우 불리할 수밖에 없는 싸움이기 때문이다. 공격하는 쪽은 모든 걸 쏟아 부어도 딱 한 번만 맞으면 성공인데, 방어는 모든 걸 다 막아내도 딱 한 번만 뚫려도 실패라는 굴레를 뒤집어쓴다. 단 한 번의 실패도 치명적인 입장에서, 변화를 꾀하기란 불가능에 가깝다.
그럼에도 이제는 사업의 환경이 앱 위주 혹은 소프트웨어 기반으로 바뀌었기 때문에, 드디어 보안이 변화를 감행해야 하는 때가 됐다. XSS 및 SQL 인젝션으로부터의 보안도 웹 브라우저나 데이터베이스 엔진의 시점에서 바라보고 애플리케이션 보안처럼 다루어야 한다. 네트워크나 게이트웨이 단계에서 막는 것만이 아니라 전혀 다른 단계에서의 방법을 고안해야 한다. 그런데 왜 지금 당장부터 바꿀 수 없는 걸까? 아직 앱 보안만으로는 불안하다고들 하는데, 글쎄...
1. 앱 보안이 기본이다
기존처럼 네트워크의 가장 바깥 쪽, 즉 경계선을 가장 중요한 보안의 지점으로 잡는 방식은 ‘이전에 알고 있던 것’을 바탕으로 결정을 내리는 체제를 가지고 있다. 하지만 보안 장치가 애플리케이션 자체에 마련되어 있다면, 해당 애플리케이션의 콘텍스트(누가, 언제, 어디서, 왜 사용하는지)를 실시간으로 파악하는 게 가능해지고, 이것이 판단 및 결정의 중요한 근거가 된다. 과거의 사실을 가지고 현재를 파악하는 것과, 현재의 것을 실시간으로 확보해 판단하는 것, 어떤 것이 더 정확하겠는가?
또한 앱들이 요즘 들어 주목을 받고는 있지만 사실 굉장히 오래전부터 있어왔다. 특히 2000년대 초반 앱의 수는 폭발적으로 늘었다. 그리고 이중에선 아직까지도 사용되고 있는 것들이 많다. 무슨 뜻인가? 언제 어디서 폭파해도 이상하지 않다는 것이다. 그렇기 때문에라도 앱 보안은 선택이 아니라 필수다.
게다가 앱 보안은 ‘싸고 효과적으로’라는 최근의 트렌드에 적합하다. 패치로 많이 해결할 수 있기 때문이다. 그러나 앞으로 웹 공간은 계속해서 불안해져만 갈 예정이다. 왜냐하면 필요한 패치를 올바로 제 때 적용하는 사람이 드물기 때문이다. 문제를 고치지 않는 사람들 투성인 공간이 어찌 온전할 수 있을까. 이런 곳, 이런 때에 적절한 질문은 ‘왜 패치를 하지 않을까?’이다. 이에 대해서는 어제 기사 ‘취약점과 패치’ 기사에서 다루었다.
2. 취약점 수정의 ROI
최근 대학에서 연구되고 있는 새로운 보안 주제가 있는데, 바로 랭섹(LANGSEC)이다. XSS, CSRF, SQL 인젝션 등에 대한 대처가 모두 가능해질 수 있다. 최근에서야 막 시장에 출현하기 시작한 랭섹은, 코드 패턴 및 데이터 포맷을 ‘언어’와 ‘문법’으로서 처리해 악성 코드가 아예 소프트웨어로 들어오지 못하게 하는 신개념 보안 기법이다.
랭섹은 이를테면 마치 ‘단어’를 아는 것에서부터 문장을 이해하게 되는 수준으로 진화하는 것과 같다. 랭섹은 입력된 데이터의 난독화를 없애 보안 장치가 필요한 타이밍과 장소에(보통은 앱이 실행될 때다) 정확하게 적용될 수 있도록 한다. 웹 브라우저, 데이터베이스, OS가 이해하는 데이터가 실시간으로 컴파일링 된다고 생각해도 된다. 이는 XSS와 SQL 인젝션과 같은 애플리케이션 단의 공격을 무력화시킨다.
그러나 이런 저런 ‘효율적인’ 솔루션들이 백날 등장해봐야 기업이 ‘이런 데 돈 쓰느니 물건이라도 하나 더 만들겠다’고 마음먹으면 아무 소용이 없다. 보안에 드는 비용과 자원이 0이 아닌 이상 이런 고민은 습관처럼 결정권자들의 마음을 스칠 것이다. 일어날지 안 일어날지 모르는 일에 투자를 할 것인가, 높은 확률로 수익을 낼 행위를 할 것인가? 여기엔 정답이 없다. 보안 업계에 있다고 해서 당연히 보안 쪽에 손들 수 없는 문제다. 그렇기에 보안은 앞에서 언급했다시피 ‘싸고 편한’ 트렌드를 따를 수밖에 없다.
결국 조금씩 누군가의 입들에서 흘러나오던 말들, “모든 기업이 소프트웨어 기업이 되고 있다”는 말이 일단 보안의 측면에서는 기정사실화 되고 있다. 아니, 이미 빠르게 이루어지고 있는 현상이다.
글 : 쿠날 아난드(Kunal Anand)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
