웹 페이지의 대세로 떠오른 자바 스크립트...개발자가 마음껏 구현할 수 있도록 도와주는 도구
웹 서버와 웹 페이지 통신시 소스코드 그대로 드러나...문제 해결 시급
엔시큐어, 악산의 ‘악산 포 웹’ 들여와 자바 스크립트 보안 책임진다
[보안뉴스 원병철 기자] 깃허브(GitHub) 조사에서 ‘개발자가 가장 많은 관심을 보인 언어’로 꼽힌 ‘자바 스크립트(JavaScript)’는 최근 웹페이지 구축에서 가장 많이 사용되는 프로그래밍 언어다.
[이미지=iclickart]
우리가 보는 웹페이지는 ‘웹 브라우저(Web Browser)’와 ‘웹 서버(Web Server)’의 상호간 통신을 통해 완성된다. 웹 브라우저가 HTML과 CSS로 정적 화면을 구성하면 자바 스크립트로 동적 화면을 구성하는 식이다. 특히, 자바 스크립트는 다이내믹한 웹페이지를 만들 때 필수 언어로 손꼽히고 있다.
문제는 자바 스트립트가 코드 자체를 사용자의 웹 브라우저에 그대로 전송하면서 실행되는 형태라는 점이다. 즉, 사용자 누구라도 웹 브라우저를 통해 해당 웹 페이지의 소스코드를 그대로 볼 수 있기 때문에 악의적인 사용자가 웹 페이지의 소스코드를 복사해 이를 배껴쓸 수 있는 것은 물론 소스코드를 악용해 사이버 공격을 가할 수도 있다.
애플리케이션 보안분야 대표기업 엔시큐어의 손장군 이사는 “자바 스크립트는 개발자 입장에서 구현하고 싶은 기능을 모두 구현할 수 있도록 돕는 도구”라면서도 “다만 웹 브라우저가 소스코드를 그대로 받아오기 때문에 발생할 수 있는 문제들이 있기 때문에 일부 브라우저용 보안프로그램이나 소스코드 난독화 등을 통해서 해결하려는 개발자들이 있다”고 설명했다.
하지만 웹 브라우저용 보안프로그램 역시 자바 스트립트 기반으로 만들거나, 오픈소스 기반의 소스코드 난독화 기능을 구현한 탓에 문제가 여전한 경우가 많다고 손장군 이사는 설명했다.
또한, 보안전문회사 타이거팀(TigerTEAM)의 황석훈 대표 역시 “자바 스크립트의 활용성은 누구나 인정할 만하지만 보안문제 역시 누구나 인정하는 부분”이라면서, “서버로 전달 및 회신되는 모든 데이터는 Proxy 및 다른 도구 등을 통해서 위변조가 가능하다”고 지적했다.
“사실 자바 스크립트의 편리성은 누구나 인정하지만, 다른 사람들이 소스코드를 복사해 웹페이지의 디자인과 기능을 그대로 배낄 수 있기 때문에 개발자들이 위축되는 것이 사실입니다. 오히려 보안에 대한 걱정보다는 자사의 기술과 노하우를 빼앗길 우려가 더 크죠.” 이 때문에 황석훈 대표는 “자바 스트립트를 안전하게 사용할 수 있는 난독화 솔루션이 필요하다”고 강조했다.
▲Arxan for WEB[자료=엔시큐어]
이러한 상황에서 엔시큐어가 선택한 제품이 바로 Arxan의 ‘Arxan for WEB’이다. 악산(Arxan)은 2001년 미국의 정찰기와 중국 전투기가 충돌해 중국 하이난 섬에 불시착한 ‘하이난 섬 사건’ 당시 중국이 미국 정찰기에서 기술을 빼내자, 이를 방지하기 위해 소프트웨어 분석이 안되도록 하는 기술을 개발한 곳이다. ‘악산 포 웹(Arxan for WEB)’은 이러한 악산의 기술력이 응집된 솔루션으로 해외에서는 은행과 카드사 등 금융권에서 사용되고 있으며, 이미 국내에서도 금융사와 IT 서비스사가 도입해 활용하고 있다.
악산 포 웹은 강력한 ‘난독화’ 및 ‘위변조 방지’로 자바 스트립트를 보호한다. 이 때문에 개발자는 플랫폼에 대한 걱정 없이 자유롭게 개발하고 배포할 수 있으며, 보안담당자는 줄어든 자원과 서버 부하로 비용을 줄일 수 있게 된다. 또한, 악산 포 웹은 런타임 시 개발자 도구 등 디버거에 의한 분석, 위변조를 차단하기 위해 디버깅/위변조 시 탐지 기능을 제공한다. 아울러 DOM 객체에 대한 위변조를 차단해 다양한 방어 기능을 추가로 제공한다.
엔시큐어 손장군 이사는 “자바 스크립트 문제를 이야기하면 보통 보안담당자는 이에 대한 이해도가 낮거나 이미 난독화를 하고 있다고 대답한다”면서, “악산 포 웹을 사용하면 힘들게 개발한 웹페이지의 소스코드가 공개되지 않는 것은 물론, 보안과 관련된 자원소모도 줄일 수 있게 된다”며 악산 포 웹의 필요성을 강조했다.
[원병철 기자(boanone@boannews.com)]
웹 서버와 웹 페이지 통신시 소스코드 그대로 드러나...문제 해결 시급
엔시큐어, 악산의 ‘악산 포 웹’ 들여와 자바 스크립트 보안 책임진다
[보안뉴스 원병철 기자] 깃허브(GitHub) 조사에서 ‘개발자가 가장 많은 관심을 보인 언어’로 꼽힌 ‘자바 스크립트(JavaScript)’는 최근 웹페이지 구축에서 가장 많이 사용되는 프로그래밍 언어다.
[이미지=iclickart]
우리가 보는 웹페이지는 ‘웹 브라우저(Web Browser)’와 ‘웹 서버(Web Server)’의 상호간 통신을 통해 완성된다. 웹 브라우저가 HTML과 CSS로 정적 화면을 구성하면 자바 스크립트로 동적 화면을 구성하는 식이다. 특히, 자바 스크립트는 다이내믹한 웹페이지를 만들 때 필수 언어로 손꼽히고 있다.
문제는 자바 스트립트가 코드 자체를 사용자의 웹 브라우저에 그대로 전송하면서 실행되는 형태라는 점이다. 즉, 사용자 누구라도 웹 브라우저를 통해 해당 웹 페이지의 소스코드를 그대로 볼 수 있기 때문에 악의적인 사용자가 웹 페이지의 소스코드를 복사해 이를 배껴쓸 수 있는 것은 물론 소스코드를 악용해 사이버 공격을 가할 수도 있다.
애플리케이션 보안분야 대표기업 엔시큐어의 손장군 이사는 “자바 스크립트는 개발자 입장에서 구현하고 싶은 기능을 모두 구현할 수 있도록 돕는 도구”라면서도 “다만 웹 브라우저가 소스코드를 그대로 받아오기 때문에 발생할 수 있는 문제들이 있기 때문에 일부 브라우저용 보안프로그램이나 소스코드 난독화 등을 통해서 해결하려는 개발자들이 있다”고 설명했다.
하지만 웹 브라우저용 보안프로그램 역시 자바 스트립트 기반으로 만들거나, 오픈소스 기반의 소스코드 난독화 기능을 구현한 탓에 문제가 여전한 경우가 많다고 손장군 이사는 설명했다.
또한, 보안전문회사 타이거팀(TigerTEAM)의 황석훈 대표 역시 “자바 스크립트의 활용성은 누구나 인정할 만하지만 보안문제 역시 누구나 인정하는 부분”이라면서, “서버로 전달 및 회신되는 모든 데이터는 Proxy 및 다른 도구 등을 통해서 위변조가 가능하다”고 지적했다.
“사실 자바 스크립트의 편리성은 누구나 인정하지만, 다른 사람들이 소스코드를 복사해 웹페이지의 디자인과 기능을 그대로 배낄 수 있기 때문에 개발자들이 위축되는 것이 사실입니다. 오히려 보안에 대한 걱정보다는 자사의 기술과 노하우를 빼앗길 우려가 더 크죠.” 이 때문에 황석훈 대표는 “자바 스트립트를 안전하게 사용할 수 있는 난독화 솔루션이 필요하다”고 강조했다.
▲Arxan for WEB[자료=엔시큐어]
이러한 상황에서 엔시큐어가 선택한 제품이 바로 Arxan의 ‘Arxan for WEB’이다. 악산(Arxan)은 2001년 미국의 정찰기와 중국 전투기가 충돌해 중국 하이난 섬에 불시착한 ‘하이난 섬 사건’ 당시 중국이 미국 정찰기에서 기술을 빼내자, 이를 방지하기 위해 소프트웨어 분석이 안되도록 하는 기술을 개발한 곳이다. ‘악산 포 웹(Arxan for WEB)’은 이러한 악산의 기술력이 응집된 솔루션으로 해외에서는 은행과 카드사 등 금융권에서 사용되고 있으며, 이미 국내에서도 금융사와 IT 서비스사가 도입해 활용하고 있다.
악산 포 웹은 강력한 ‘난독화’ 및 ‘위변조 방지’로 자바 스트립트를 보호한다. 이 때문에 개발자는 플랫폼에 대한 걱정 없이 자유롭게 개발하고 배포할 수 있으며, 보안담당자는 줄어든 자원과 서버 부하로 비용을 줄일 수 있게 된다. 또한, 악산 포 웹은 런타임 시 개발자 도구 등 디버거에 의한 분석, 위변조를 차단하기 위해 디버깅/위변조 시 탐지 기능을 제공한다. 아울러 DOM 객체에 대한 위변조를 차단해 다양한 방어 기능을 추가로 제공한다.
엔시큐어 손장군 이사는 “자바 스크립트 문제를 이야기하면 보통 보안담당자는 이에 대한 이해도가 낮거나 이미 난독화를 하고 있다고 대답한다”면서, “악산 포 웹을 사용하면 힘들게 개발한 웹페이지의 소스코드가 공개되지 않는 것은 물론, 보안과 관련된 자원소모도 줄일 수 있게 된다”며 악산 포 웹의 필요성을 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
