마이크로소프트, 인공지능과 클라우드 기반으로 한 기술 개발
하지만 점검에 그칠 뿐...해결을 위해서는 추가 조치 필요
[보안뉴스 문가용 기자] 마이크로소프트가 클라우드를 기반으로 한 소프트웨어 취약점 탐지 툴을 발표했다. 시큐리티 리스크 디텍션(Security Risk Detection, SRD)이라고 하며 현재 ‘미리보기’ 버전이 리눅스 사용자들을 대상으로 공개된 상태다.
[이미지 = iclickart]
SRD가 최초로 발표된 것은 지난 9월의 일로, 버그 및 시스템 크래시 처리와 공격에 대한 대응 등 보안과 IT 팀을 시도 때도 없이 골치 아프게 하는 일들을 자동화된 퍼즈 테스팅(fuzz testing)을 통해 해결하는 것을 목적으로 한다. 퍼즈 테스팅이란 입력이 가능한 곳에 일부러 긴 문자열이나 악성 문자열을 삽입해 어느 부분에 오류가 발생하는지 확인하는 기술을 말한다. 기존 소프트웨어 제조사에서도 ‘사람을 통해’ 해오던 방법으로, 취약점에 대한 탐지가 좀 더 빨라진다는 장점을 가지고 있다.
SRD의 작동 방식은 다음과 같다. 1) 사용자들이 안전한 웹 포털에 로그인 하고 2) 소프트웨어의 바이너리를 가상 기기에 설치하는데, 3) 이 때 함께 실험하고 싶은 시나리오도 함께 입력한다. 4) 샘플 입력 파일이나 시드 파일(seed file)도 함께 올려두어 5) 퍼즈 테스팅의 시작점 역할을 할 수 있도록 한다.
거기서부터 SRD는 여러 방법을 동원해 소프트웨어에 대한 ‘퍼징’을 지속적으로 전개한다. 이 시점이 인공지능을 투입시키는 곳이다. 인공지능이 여러 가지 ‘혹시 이런 공격에는...’이라는 질문들을 계속해서 생성해내며 새로운 공격 시나리오를 설정한다. 정보보안에 대한 대단한 전문성이 없는 개발자라도 답을 할 수 있음직한 질문들이기도 하다.
SRD는 실행될 때마다 핵심적이고 치명적인 영역에서 오류를 찾아나서고, 결과는 웹 포털을 통해 공유한다. 사용자들은 이 실험 결과를 다운로드 받아 스스로 다시 비슷한 오류를 일으켜보고, 그것을 통해 더 뿌리 깊은 문제들을 찾아내 해결법을 모색할 수 있게 된다. 한 번 패치가 된 후 다시 SRD를 통해 추가 테스트를 진행하는 것도 가능하다.
이러한 서비스는 소프트웨어를 직접 개발하거나 기존 소프트웨어를 ‘고쳐서’ 사용하는 업체들, 혹은 오픈소스를 라이선싱하는 업체들을 대상으로 준비됐다. 내부 직원들만 사용하는 소프트웨어든 매장에 진열해놓고 파는 소프트웨어든 차별하지 않는다. 소스코드를 입력해야만 하는 것도 아니다. 이 프로젝트의 담당자인 데이비드 몰나(David Molnar)는 “오픈소스에 해당하는 것만 입력해되 된다”고 말한다.
SRD는 두 가지 ‘혁신’이 있었기에 가능해졌다고 몰나는 설명한다. “하나는 시간을 거슬러 올라가는 디버깅 기술입니다. 사용자들이 소프트웨어 개발 시기를 거슬러 올라가 어느 시점에 오류가 발생했는지 파악할 수 있게 해주는 것이죠. 다른 하나는 제약을 해결해주는 기술의 발전입니다. 이 기술은 취약점의 검색 방향을 사용자들에게 알려주는 걸 말합니다.”
이 두 기술을 탑재한 SRD의 가장 큰 효과는 “보안 전문가가 모자란 현상을 어느 정도 해소해 준다”는 것이다. 몰나는 “보안 전문 기술을 갖추지 않은 개발자들이 최소한의 오류와 버그만을 가지고 있는 소프트웨어를 개발할 수 있도록 해주는 기술이 바로 SRD”라며 보안의 높은 장벽을 어느 정도 낮춤으로서 보안 인력 기근 현상이 해소되는 데 일조할 것이라고 예상하고 있다.
사실 SRD가 하는 일은 개발자들이 이미 하고 있던 것들이다. 다만 인공지능의 힘으로 인해 훨씬 빨라지고 강력해진 것이다. 취약점 점검의 범위도 훨씬 커지고, 훨씬 정확해졌다. 다만 취약점을 검색하고 발견하는 작업의 밑바탕이 되는 기본 논리 자체는 그대로다. “보안 전문 인력을 따로 둘 수 없는 기업들에게 유용한 툴이 될 것으로 기대합니다.”
하지만 소프트웨어 보안 전문업체인 도큐사인(DocuSign)의 수석 책임자인 존 히즈만(John Heasman)은 “SRD를 사용하는 데에 보안 지식이 안 필요할 수도 있겠지만, SRD를 통해 발견한 문제를 해결하려면 보안 지식이 필요하다”고 말한다. 히즈만은 이 툴을 초기부터 실험해본 사람 중 하나다.
“결국 SRD가 하는 일은 테스트 사례들을 무수하게 열거해, 그것으로부터 나오는 결론을 개발자들에게 제공해주는 겁니다. 즉 이 자체로 보안 취약점을 해결해주는 게 아니라, 해결의 실마리를 제공해주는 것이죠. 이를 해결하는 것 자체는 온전히 담당자의 책임입니다.”
그렇지만 SRD는 점점 더 커질 것이라고 히즈만은 예상한다. “안정적으로 실험을 해볼 수 있다는 것만으로도 엄청난 것이죠. 실험도 어려웠던 게 보안의 현실이었거든요. 게다가 전문가 초빙하는 건 비용 지출도 만만치 않은 일이기도 했고요.”
[국제부 문가용 기자(globoan@boannews.com)]
하지만 점검에 그칠 뿐...해결을 위해서는 추가 조치 필요
[보안뉴스 문가용 기자] 마이크로소프트가 클라우드를 기반으로 한 소프트웨어 취약점 탐지 툴을 발표했다. 시큐리티 리스크 디텍션(Security Risk Detection, SRD)이라고 하며 현재 ‘미리보기’ 버전이 리눅스 사용자들을 대상으로 공개된 상태다.
[이미지 = iclickart]
SRD가 최초로 발표된 것은 지난 9월의 일로, 버그 및 시스템 크래시 처리와 공격에 대한 대응 등 보안과 IT 팀을 시도 때도 없이 골치 아프게 하는 일들을 자동화된 퍼즈 테스팅(fuzz testing)을 통해 해결하는 것을 목적으로 한다. 퍼즈 테스팅이란 입력이 가능한 곳에 일부러 긴 문자열이나 악성 문자열을 삽입해 어느 부분에 오류가 발생하는지 확인하는 기술을 말한다. 기존 소프트웨어 제조사에서도 ‘사람을 통해’ 해오던 방법으로, 취약점에 대한 탐지가 좀 더 빨라진다는 장점을 가지고 있다.
SRD의 작동 방식은 다음과 같다. 1) 사용자들이 안전한 웹 포털에 로그인 하고 2) 소프트웨어의 바이너리를 가상 기기에 설치하는데, 3) 이 때 함께 실험하고 싶은 시나리오도 함께 입력한다. 4) 샘플 입력 파일이나 시드 파일(seed file)도 함께 올려두어 5) 퍼즈 테스팅의 시작점 역할을 할 수 있도록 한다.
거기서부터 SRD는 여러 방법을 동원해 소프트웨어에 대한 ‘퍼징’을 지속적으로 전개한다. 이 시점이 인공지능을 투입시키는 곳이다. 인공지능이 여러 가지 ‘혹시 이런 공격에는...’이라는 질문들을 계속해서 생성해내며 새로운 공격 시나리오를 설정한다. 정보보안에 대한 대단한 전문성이 없는 개발자라도 답을 할 수 있음직한 질문들이기도 하다.
SRD는 실행될 때마다 핵심적이고 치명적인 영역에서 오류를 찾아나서고, 결과는 웹 포털을 통해 공유한다. 사용자들은 이 실험 결과를 다운로드 받아 스스로 다시 비슷한 오류를 일으켜보고, 그것을 통해 더 뿌리 깊은 문제들을 찾아내 해결법을 모색할 수 있게 된다. 한 번 패치가 된 후 다시 SRD를 통해 추가 테스트를 진행하는 것도 가능하다.
이러한 서비스는 소프트웨어를 직접 개발하거나 기존 소프트웨어를 ‘고쳐서’ 사용하는 업체들, 혹은 오픈소스를 라이선싱하는 업체들을 대상으로 준비됐다. 내부 직원들만 사용하는 소프트웨어든 매장에 진열해놓고 파는 소프트웨어든 차별하지 않는다. 소스코드를 입력해야만 하는 것도 아니다. 이 프로젝트의 담당자인 데이비드 몰나(David Molnar)는 “오픈소스에 해당하는 것만 입력해되 된다”고 말한다.
SRD는 두 가지 ‘혁신’이 있었기에 가능해졌다고 몰나는 설명한다. “하나는 시간을 거슬러 올라가는 디버깅 기술입니다. 사용자들이 소프트웨어 개발 시기를 거슬러 올라가 어느 시점에 오류가 발생했는지 파악할 수 있게 해주는 것이죠. 다른 하나는 제약을 해결해주는 기술의 발전입니다. 이 기술은 취약점의 검색 방향을 사용자들에게 알려주는 걸 말합니다.”
이 두 기술을 탑재한 SRD의 가장 큰 효과는 “보안 전문가가 모자란 현상을 어느 정도 해소해 준다”는 것이다. 몰나는 “보안 전문 기술을 갖추지 않은 개발자들이 최소한의 오류와 버그만을 가지고 있는 소프트웨어를 개발할 수 있도록 해주는 기술이 바로 SRD”라며 보안의 높은 장벽을 어느 정도 낮춤으로서 보안 인력 기근 현상이 해소되는 데 일조할 것이라고 예상하고 있다.
사실 SRD가 하는 일은 개발자들이 이미 하고 있던 것들이다. 다만 인공지능의 힘으로 인해 훨씬 빨라지고 강력해진 것이다. 취약점 점검의 범위도 훨씬 커지고, 훨씬 정확해졌다. 다만 취약점을 검색하고 발견하는 작업의 밑바탕이 되는 기본 논리 자체는 그대로다. “보안 전문 인력을 따로 둘 수 없는 기업들에게 유용한 툴이 될 것으로 기대합니다.”
하지만 소프트웨어 보안 전문업체인 도큐사인(DocuSign)의 수석 책임자인 존 히즈만(John Heasman)은 “SRD를 사용하는 데에 보안 지식이 안 필요할 수도 있겠지만, SRD를 통해 발견한 문제를 해결하려면 보안 지식이 필요하다”고 말한다. 히즈만은 이 툴을 초기부터 실험해본 사람 중 하나다.
“결국 SRD가 하는 일은 테스트 사례들을 무수하게 열거해, 그것으로부터 나오는 결론을 개발자들에게 제공해주는 겁니다. 즉 이 자체로 보안 취약점을 해결해주는 게 아니라, 해결의 실마리를 제공해주는 것이죠. 이를 해결하는 것 자체는 온전히 담당자의 책임입니다.”
그렇지만 SRD는 점점 더 커질 것이라고 히즈만은 예상한다. “안정적으로 실험을 해볼 수 있다는 것만으로도 엄청난 것이죠. 실험도 어려웠던 게 보안의 현실이었거든요. 게다가 전문가 초빙하는 건 비용 지출도 만만치 않은 일이기도 했고요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
