자체 개발하고 사용하는 앱, 기업이 자체 검사할 수 있도록
9월까지 공공 의견 수렴...모바일 앱 보안 강화해야 하는 건 맞아
[보안뉴스 문가용 기자] 미국 표준기술연구소(NIST)가 모바일 애플리케이션의 보안 검사와 관련된 특별 초안을 발표했고, 대중들의 견해를 기다리고 있다. 초안이라고 하지만 50 페이지에 달하는 문건이며, 기업들이 자체적으로 앱의 보안성을 검사하고 조직 내에서 사용해야하는 앱을 개발할 때 필요한 내용을 담고 있고, 인력과 도구 준비에 도움이 될 수 있는 안내문의 성격을 띠고 있다.
[이미지 = iclickart]
기업마다 자체적으로 앱을 개발해 직원들에게 배포하고, 이를 업무에 활용하도록 하는 사례가 늘어나고 있다. 하지만 이런 앱들에서는 보안 취약점이 자주 발견되기도 한다. 그렇다고 비싼 돈을 주고 앱의 보안 검사를 일일이 받는다는 것도 비현실적인 일이다. 그래서 그런 기업들을 돕고자 NIST가 준비한 것이 이번 초안인 것이다. 이 책자를 가지고(완성본이 나오면) 기업들은 자체 개발한 앱들을 자체적으로 검사하고 안전하게 배포할 수 있을 것이라고 NIST는 기대하고 있다.
이번 초안을 공동으로 작성한 컴퓨터 과학자 마이클 오가타(Michael Ogata)는 “모바일 기술의 변화 속도는 숨이 가쁠 정도”라며 “이번 초안과 같은 문건이 더 자주, 빨리 나와야 한다”고 강조했다. “이번 초안의 경우, 민간 기업과 정부 기관의 보안 전문가들이 힘을 합해 앱을 어떤 기업이든 자체적으로 검사해 보안 사고를 막을 수 있도록 했습니다.”
오가타에 의하면 초안 내용은 “기본적인 절차를 밟는 것”부터 시작한다고 한다. “여기에는 조직에게 해당하는 고유의 위험 감수도 등을 이해하는 것이 포함됩니다. 그 외에 산업 규제 기관이 정한 규정 준수, 보안 전문가들이 강조하는 실천 사항, 프라이버시 관련 리스크와 보안 위협들, 데이터와 자산의 이해도 높이기 등을 언급했습니다. 이런 배경 지식이 있어야 앱을 평가할 수 있게 됩니다.”
NIST는 여기에 더해 물리적인 확인 사항도 포함시켰다. “예를 들면 미국 국가 취약점 데이터베이스(NVD)에 등록된 취약점이 앱에 있는지 비교 검색해보는 것이 있습니다. 공개된 취약점이 있다면 앱의 배포를 즉각 멈춰야 하지요. 이렇게 간단하고 명료한 확인사항들도 이번 문건에 포함시켰습니다. 이 정도는 모든 기업들이 기본적으로 해야 할 일이라고 봅니다.”
앱의 보안성 등을 확인한다는 건 단체의 성격이나 맥락적 상황에 따라 달라진다. NIST가 모든 개별 상황들을 다 정리해서 포함시킬 수는 없지만, 중요한 건 “검사 프로세스는 항상 반복할 수 있어야 하고, 효율적이어야 하며, 효과적이어야 한다는 것”이라고 오가타는 강조한다. “또한 최대한 검사 프로세스 자체의 오류도 없어야 합니다.”
모바일 앱이 지금보다 훨씬 더 단단해져야 한다는 것은 명백한 사실이다. 구글 플레이 스토어나 애플 앱 스토어에서 유통되고 있는 많은 앱들에서 이미 수많은 취약점들 발견됐고 또 악용되어 왔다. 최근에만 해도 군인들의 위치와 작전 일부를 노출시키는 피트니스 앱부터, 사용자의 허락 없이 사진과 메시지를 발송하는 삼성 전화기의 오류들이 발견된 바 있다.
NIST는 이번 문건을 이 주소(https://csrc.nist.gov/CSRC/media/Publications/sp/800-163/rev-1/error/documents/sp800-163r1-draft.pdf)를 통해 발표했으며, 7월 23일부터 9월 6일까지 의견을 받는다.
[국제부 문가용 기자(globoan@boannews.com)]
9월까지 공공 의견 수렴...모바일 앱 보안 강화해야 하는 건 맞아
[보안뉴스 문가용 기자] 미국 표준기술연구소(NIST)가 모바일 애플리케이션의 보안 검사와 관련된 특별 초안을 발표했고, 대중들의 견해를 기다리고 있다. 초안이라고 하지만 50 페이지에 달하는 문건이며, 기업들이 자체적으로 앱의 보안성을 검사하고 조직 내에서 사용해야하는 앱을 개발할 때 필요한 내용을 담고 있고, 인력과 도구 준비에 도움이 될 수 있는 안내문의 성격을 띠고 있다.
[이미지 = iclickart]
기업마다 자체적으로 앱을 개발해 직원들에게 배포하고, 이를 업무에 활용하도록 하는 사례가 늘어나고 있다. 하지만 이런 앱들에서는 보안 취약점이 자주 발견되기도 한다. 그렇다고 비싼 돈을 주고 앱의 보안 검사를 일일이 받는다는 것도 비현실적인 일이다. 그래서 그런 기업들을 돕고자 NIST가 준비한 것이 이번 초안인 것이다. 이 책자를 가지고(완성본이 나오면) 기업들은 자체 개발한 앱들을 자체적으로 검사하고 안전하게 배포할 수 있을 것이라고 NIST는 기대하고 있다.
이번 초안을 공동으로 작성한 컴퓨터 과학자 마이클 오가타(Michael Ogata)는 “모바일 기술의 변화 속도는 숨이 가쁠 정도”라며 “이번 초안과 같은 문건이 더 자주, 빨리 나와야 한다”고 강조했다. “이번 초안의 경우, 민간 기업과 정부 기관의 보안 전문가들이 힘을 합해 앱을 어떤 기업이든 자체적으로 검사해 보안 사고를 막을 수 있도록 했습니다.”
오가타에 의하면 초안 내용은 “기본적인 절차를 밟는 것”부터 시작한다고 한다. “여기에는 조직에게 해당하는 고유의 위험 감수도 등을 이해하는 것이 포함됩니다. 그 외에 산업 규제 기관이 정한 규정 준수, 보안 전문가들이 강조하는 실천 사항, 프라이버시 관련 리스크와 보안 위협들, 데이터와 자산의 이해도 높이기 등을 언급했습니다. 이런 배경 지식이 있어야 앱을 평가할 수 있게 됩니다.”
NIST는 여기에 더해 물리적인 확인 사항도 포함시켰다. “예를 들면 미국 국가 취약점 데이터베이스(NVD)에 등록된 취약점이 앱에 있는지 비교 검색해보는 것이 있습니다. 공개된 취약점이 있다면 앱의 배포를 즉각 멈춰야 하지요. 이렇게 간단하고 명료한 확인사항들도 이번 문건에 포함시켰습니다. 이 정도는 모든 기업들이 기본적으로 해야 할 일이라고 봅니다.”
앱의 보안성 등을 확인한다는 건 단체의 성격이나 맥락적 상황에 따라 달라진다. NIST가 모든 개별 상황들을 다 정리해서 포함시킬 수는 없지만, 중요한 건 “검사 프로세스는 항상 반복할 수 있어야 하고, 효율적이어야 하며, 효과적이어야 한다는 것”이라고 오가타는 강조한다. “또한 최대한 검사 프로세스 자체의 오류도 없어야 합니다.”
모바일 앱이 지금보다 훨씬 더 단단해져야 한다는 것은 명백한 사실이다. 구글 플레이 스토어나 애플 앱 스토어에서 유통되고 있는 많은 앱들에서 이미 수많은 취약점들 발견됐고 또 악용되어 왔다. 최근에만 해도 군인들의 위치와 작전 일부를 노출시키는 피트니스 앱부터, 사용자의 허락 없이 사진과 메시지를 발송하는 삼성 전화기의 오류들이 발견된 바 있다.
NIST는 이번 문건을 이 주소(https://csrc.nist.gov/CSRC/media/Publications/sp/800-163/rev-1/error/documents/sp800-163r1-draft.pdf)를 통해 발표했으며, 7월 23일부터 9월 6일까지 의견을 받는다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
