애플리케이션 보안, 실시간으로 점검하거나 사전, 사후에 하거나
침투 한 번 성공이 승리는 아냐 - 빠른 복구 통해 완벽한 승리 방지 가능해
▲ 이제 겨우 1세트 끝이야!
[보안뉴스 문가용] 애플리케이션 보안이란 무엇일까? 정의하는 것부터가 곤혹이다. 10명의 보안 전문가들에게 물어보면 아마 다들 다른 답을 내놓을 것이다. 문제는 그 10개가 다 맞는 소리일 확률이 높다는 것. 그 맞는 소리들을 분류해보면 크게 두 가지로 종합이 되는데, 하나는 애플리케이션이 실행될 때 실시간으로 보안을 점검하는 것이고 또 다른 하나는 실행 후나 개발 단계에서 점검하는 것이다. 둘 다 반드시 필요하다. 다만 목적은 매우 다르다고 볼 수 있다.
1) 실시간 점검을 통해 보고자 하는 건 해당 애플리케이션이 나쁜 놈들에 비교해 ‘생산 과정’이 얼마나 안전한가, 이다. 사후 혹은 사전 점검은 애플리케이션 자체의 보안성을 절대적으로 평가하는 것이라고 볼 수 있다. 사실 가장 이상적인 건 개발 단계에서의 사전 점검을 통해 ‘절대적인’ 안전함을 도모하는 것이다.
2) 애플리케이션 보안 시험에서 취약점을 찾는 건 익스플로잇과도 매우 다른 행위다. 전문가나 해커 사이에서도 유난히 취약점을 잘 찾는 사람들이 있다. 그런데 이런 사람들이 익스플로잇을 반드시 잘하는 것은 아니다. 반대로 익스플로잇에는 능수능란한데 취약점 찾는 것이 쥐약인 사람들도 있다. sqlmap을 잘 사용하는 사람과 SQL 인젝션을 잘 찾는 사람이 따로 있다는 것이다.
3) 또 재미있는 건 취약점을 찾는 것이나 익스플로잇을 하는 것, 즉 애플리케이션 보안 점검을 하는 것이나 애플리케이션을 해킹하는 것이나 한 번에 끝나지 않는다는 점이다. 취약점이 어느 순간 발견되기는 하지만 그렇다고 5분 안에 모든 공격을 쏟아 부을 수 있는 건 아니다. 조치를 취할 수 있는 것 또한 아니다. 이처럼 공격이 한 번에, 혹은 한 시간 안에 끝나지 않는다는 건 방어자의 입장에서 매우 ‘재미있는’ 점이다. 왜냐하면 보안과 해킹에서의 ‘승리’가 단순히 ‘이겼다’와 ‘졌다’로 정의되지 않는다는 뜻이기 때문이다.
예를 들어, 보안 점검을 위해 보안 담당자인 당신에게 은행 서버의 루트 권한을 넘겨주었다고 하자. 먼저 당신은 여러 데이터를 추출하는 데에 시간을 투자할 것이다. 그런데 얼마 지나지 않아 공격이 탐지되었다. 실시간으로 들어오는 공격을 때마침 발견할 가능성은 거의 없으므로 이미 얼마 전에 들어와 있던 공격이라고 가정하자. 이런 상황에서 데이터 추출 과정을 계속해서 진행하거나 인터넷을 차단하거나 하는 등의 긴급조치를 취할 수 있게 된다. 즉 공격을 발견하는 순간부터 방어를 하게 되면 더 큰 손해를 방지할 수 있다는 것이다. 공격 자체가 성공했으니, 해커들이 승리했다고 볼 수 있지만 그렇다고 해커들이 원하는 것을 모두 다 가져갔다고도 볼 수 없으니 방어자도 어느 정도의 승리를 이끌어 낸 것이라고 할 수 있다.
4) 사이버 공간 여기저기엔 취약점이 굉장히 많다. 그러나 이를 해결할 수 있는 사람은 극소수다. 결국 사람들에게 필요한 건 그 취약점들을 보다 쉽고 간단히 해결할 수 있는 방법이다. 그러나 취약점 해결 방법이란 너무나 다양해 한 번에 모든 취약점을 지워주는 것일 수도 있고, 반만 삭제하는 것일 수도 있고, 하나만 해결해주는 것일 수도 있다. 즉, 사람들이 원하는 것과 실제로 나오는 것이 다르다는 거다. 이런 때에 주목받고 있는 건 RASP, 실시간 애플리케이션 자기보안(Realtime Application Self-protection) 기술이다. 이는 위에서 말한 것들 중 실시간 점검을 위한 것이며 승리가 한 순간에 결정되지 않는 사이버 범죄의 특성을 노려 재빠른 복구를 통한 손해 줄이기를 극대화하기 위한 기술이라고도 볼 수 있다.
5) 취약점에도 유행이 있고 베스트셀러가 있다. 보안 및 IT 매체들을 보면 취약점들을 무슨 서점가 베스트셀러들처럼 분류해놓는데, 내 경험상 실제 현장에서 이 유행은 거의 쓸모가 없다. 회사마다 조심해야 할 ‘Top 10 취약점’은 전부 다르다. 대유행 중인 취약점에 대한 정보를 알아두는 게 불필요한 건 아니지만, 그것에 총력을 기울이는 건 별로 좋은 생각이 아니다.
6) 결국 애플리케이션 보안의 궁극적인 목적은 딱 하나 ‘취약점을 전부 고치고 복구율을 100% 가까이로 늘리는 것’이라고 정리할 수 있다. 그 외의 것들은 모두 부차적인 것이다.
글 : 예레미야 그로스만(Jeremiah Grossman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
침투 한 번 성공이 승리는 아냐 - 빠른 복구 통해 완벽한 승리 방지 가능해
▲ 이제 겨우 1세트 끝이야!
[보안뉴스 문가용] 애플리케이션 보안이란 무엇일까? 정의하는 것부터가 곤혹이다. 10명의 보안 전문가들에게 물어보면 아마 다들 다른 답을 내놓을 것이다. 문제는 그 10개가 다 맞는 소리일 확률이 높다는 것. 그 맞는 소리들을 분류해보면 크게 두 가지로 종합이 되는데, 하나는 애플리케이션이 실행될 때 실시간으로 보안을 점검하는 것이고 또 다른 하나는 실행 후나 개발 단계에서 점검하는 것이다. 둘 다 반드시 필요하다. 다만 목적은 매우 다르다고 볼 수 있다.
1) 실시간 점검을 통해 보고자 하는 건 해당 애플리케이션이 나쁜 놈들에 비교해 ‘생산 과정’이 얼마나 안전한가, 이다. 사후 혹은 사전 점검은 애플리케이션 자체의 보안성을 절대적으로 평가하는 것이라고 볼 수 있다. 사실 가장 이상적인 건 개발 단계에서의 사전 점검을 통해 ‘절대적인’ 안전함을 도모하는 것이다.
2) 애플리케이션 보안 시험에서 취약점을 찾는 건 익스플로잇과도 매우 다른 행위다. 전문가나 해커 사이에서도 유난히 취약점을 잘 찾는 사람들이 있다. 그런데 이런 사람들이 익스플로잇을 반드시 잘하는 것은 아니다. 반대로 익스플로잇에는 능수능란한데 취약점 찾는 것이 쥐약인 사람들도 있다. sqlmap을 잘 사용하는 사람과 SQL 인젝션을 잘 찾는 사람이 따로 있다는 것이다.
3) 또 재미있는 건 취약점을 찾는 것이나 익스플로잇을 하는 것, 즉 애플리케이션 보안 점검을 하는 것이나 애플리케이션을 해킹하는 것이나 한 번에 끝나지 않는다는 점이다. 취약점이 어느 순간 발견되기는 하지만 그렇다고 5분 안에 모든 공격을 쏟아 부을 수 있는 건 아니다. 조치를 취할 수 있는 것 또한 아니다. 이처럼 공격이 한 번에, 혹은 한 시간 안에 끝나지 않는다는 건 방어자의 입장에서 매우 ‘재미있는’ 점이다. 왜냐하면 보안과 해킹에서의 ‘승리’가 단순히 ‘이겼다’와 ‘졌다’로 정의되지 않는다는 뜻이기 때문이다.
예를 들어, 보안 점검을 위해 보안 담당자인 당신에게 은행 서버의 루트 권한을 넘겨주었다고 하자. 먼저 당신은 여러 데이터를 추출하는 데에 시간을 투자할 것이다. 그런데 얼마 지나지 않아 공격이 탐지되었다. 실시간으로 들어오는 공격을 때마침 발견할 가능성은 거의 없으므로 이미 얼마 전에 들어와 있던 공격이라고 가정하자. 이런 상황에서 데이터 추출 과정을 계속해서 진행하거나 인터넷을 차단하거나 하는 등의 긴급조치를 취할 수 있게 된다. 즉 공격을 발견하는 순간부터 방어를 하게 되면 더 큰 손해를 방지할 수 있다는 것이다. 공격 자체가 성공했으니, 해커들이 승리했다고 볼 수 있지만 그렇다고 해커들이 원하는 것을 모두 다 가져갔다고도 볼 수 없으니 방어자도 어느 정도의 승리를 이끌어 낸 것이라고 할 수 있다.
4) 사이버 공간 여기저기엔 취약점이 굉장히 많다. 그러나 이를 해결할 수 있는 사람은 극소수다. 결국 사람들에게 필요한 건 그 취약점들을 보다 쉽고 간단히 해결할 수 있는 방법이다. 그러나 취약점 해결 방법이란 너무나 다양해 한 번에 모든 취약점을 지워주는 것일 수도 있고, 반만 삭제하는 것일 수도 있고, 하나만 해결해주는 것일 수도 있다. 즉, 사람들이 원하는 것과 실제로 나오는 것이 다르다는 거다. 이런 때에 주목받고 있는 건 RASP, 실시간 애플리케이션 자기보안(Realtime Application Self-protection) 기술이다. 이는 위에서 말한 것들 중 실시간 점검을 위한 것이며 승리가 한 순간에 결정되지 않는 사이버 범죄의 특성을 노려 재빠른 복구를 통한 손해 줄이기를 극대화하기 위한 기술이라고도 볼 수 있다.
5) 취약점에도 유행이 있고 베스트셀러가 있다. 보안 및 IT 매체들을 보면 취약점들을 무슨 서점가 베스트셀러들처럼 분류해놓는데, 내 경험상 실제 현장에서 이 유행은 거의 쓸모가 없다. 회사마다 조심해야 할 ‘Top 10 취약점’은 전부 다르다. 대유행 중인 취약점에 대한 정보를 알아두는 게 불필요한 건 아니지만, 그것에 총력을 기울이는 건 별로 좋은 생각이 아니다.
6) 결국 애플리케이션 보안의 궁극적인 목적은 딱 하나 ‘취약점을 전부 고치고 복구율을 100% 가까이로 늘리는 것’이라고 정리할 수 있다. 그 외의 것들은 모두 부차적인 것이다.
글 : 예레미야 그로스만(Jeremiah Grossman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
