파이사, 파이선 코드의 정적 분석을 해주는 도구...데이터 흐름과 관련된 문제 적발
올해 인스타그램 서버에서 발견된 취약점들의 44%가 파이사의 업적...오탐률도 낮아
[보안뉴스 문가용 기자] 페이스북이 파이사(Pysa)라는 분석 도구를 오픈소스로 전환했다고 발표했다. 파이사는 Python Static Analyzer의 준말로, 파이선으로 작성된 코드를 정적으로 분석해주는 도구다.
[이미지 = utoimage]
파이사는 파이어(Pyre)라는 도구를 바탕으로 만들어졌다고 한다. 파이어는 일종의 ‘형식 검사기(type checker)’로, 역시 페이스북이 파이선 환경에서 사용할 목적으로 만든 것이며, 코드들 사이로 데이터가 어떤 방식으로 흐르는지 분석한다. XSS나 SQL 주입 등 사용자 데이터를 보호하는 것과 관련된 문제를 파악하는 데 주로 활용된다.
파이어와 파이사 모두 여기(https://pyre-check.org/docs/pysa-basics.html)서 상세하게 열람 및 활용할 수 있다. 파이사에 대한 상세 정보는 여기(https://engineering.fb.com/security/pysa/)서 열람이 가능하다. 그 외에도 페이스북은 파이선 코드 분석 후 결과 이해를 돕고자 내부적으로 사용하는 정의들을 다수 공개하기도 했다.
파이사를 사용하면 중요한 데이터의 출처를 규정하고, 해당 데이터가 도달하면 안 될 곳을 정의할 수 있게 된다. 이렇게 데이터가 도달해서는 안 될 곳을 싱크(sink)라고 부른다. 이렇게 규정 과정이 끝나면 파이사는 출처에서 데이터를 수급하는 함수들과, 싱크로 도달하려는 함수들을 식별하고, 이 둘 사이에 연결고리가 발견될 경우 사용자에게 알린다.
파이사는 오탐을 최대한 줄이는 방식으로 설계되었고, 따라서 보안상 문제가 될 만한 부분을 최대한 정확히 파악해낸다고 페이스북은 설명한다. 보안 이슈가 많아지면 많아질수록 오탐은 많아질 수밖에 없는데, 이 때문에 페이스북의 엔지니어들은 오탐을 걸러주는 도구와 기능들을 계속해서 추가해왔다고 한다.
하지만 파이사가 완벽한 도구라는 건 아니라고 페이스북은 강조한다. “데이터의 흐름과 과련된 문제들에 집중한 도구이고, 시스템 퍼포먼스를 떨어트리지 않는 것을 중요하게 생각하면서 만든 도구입니다. 따라서 어느 정도 정확성에 대한 양보가 있을 수밖에 없었습니다.” 데이터 흐름과 관련된 보안 문제만 다룬다는 건, 그 외의 보안 및 프라이버시 문제에는 무력하다는 뜻이 된다.
“파이사를 사용할 경우 코드 내에 있는 기존 문제들을 탐지하고, 새로운 문제들을 찾아내는 데에 도움이 될 수 있습니다. 2020년 전반기 동안 파이사는 인스타그램 서버 코드베이스에서 상당량의 취약점을 찾아냈습니다. 전체 취약점의 44%가 파이사에 의해 탐지됐습니다.” 페이스북이 파이사를 발표하면서 주장한 내용이다.
페이스북은 “파이사가 잠재력이 높은 도구임은 분명하지만, 아직 더 발전할 여지가 있다”며 “오픈소스로 변환됨에 따라 커뮤니티의 참여로 잠재력이 극한으로 끌어올려지길 기대한다”고 발표했다.
3줄 요약
1. 파이선 코드에서 데이터 흐름과 관련된 보안 문제 탐구해주는 도구, 무료로 풀림.
2. 이 도구의 이름은 파이사로, 페이스북이 내부에서 사용해왔던 것임.
3. 파이사는 현재 페이스북 웹사이트 통해 공개되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
올해 인스타그램 서버에서 발견된 취약점들의 44%가 파이사의 업적...오탐률도 낮아
[보안뉴스 문가용 기자] 페이스북이 파이사(Pysa)라는 분석 도구를 오픈소스로 전환했다고 발표했다. 파이사는 Python Static Analyzer의 준말로, 파이선으로 작성된 코드를 정적으로 분석해주는 도구다.
[이미지 = utoimage]
파이사는 파이어(Pyre)라는 도구를 바탕으로 만들어졌다고 한다. 파이어는 일종의 ‘형식 검사기(type checker)’로, 역시 페이스북이 파이선 환경에서 사용할 목적으로 만든 것이며, 코드들 사이로 데이터가 어떤 방식으로 흐르는지 분석한다. XSS나 SQL 주입 등 사용자 데이터를 보호하는 것과 관련된 문제를 파악하는 데 주로 활용된다.
파이어와 파이사 모두 여기(https://pyre-check.org/docs/pysa-basics.html)서 상세하게 열람 및 활용할 수 있다. 파이사에 대한 상세 정보는 여기(https://engineering.fb.com/security/pysa/)서 열람이 가능하다. 그 외에도 페이스북은 파이선 코드 분석 후 결과 이해를 돕고자 내부적으로 사용하는 정의들을 다수 공개하기도 했다.
파이사를 사용하면 중요한 데이터의 출처를 규정하고, 해당 데이터가 도달하면 안 될 곳을 정의할 수 있게 된다. 이렇게 데이터가 도달해서는 안 될 곳을 싱크(sink)라고 부른다. 이렇게 규정 과정이 끝나면 파이사는 출처에서 데이터를 수급하는 함수들과, 싱크로 도달하려는 함수들을 식별하고, 이 둘 사이에 연결고리가 발견될 경우 사용자에게 알린다.
파이사는 오탐을 최대한 줄이는 방식으로 설계되었고, 따라서 보안상 문제가 될 만한 부분을 최대한 정확히 파악해낸다고 페이스북은 설명한다. 보안 이슈가 많아지면 많아질수록 오탐은 많아질 수밖에 없는데, 이 때문에 페이스북의 엔지니어들은 오탐을 걸러주는 도구와 기능들을 계속해서 추가해왔다고 한다.
하지만 파이사가 완벽한 도구라는 건 아니라고 페이스북은 강조한다. “데이터의 흐름과 과련된 문제들에 집중한 도구이고, 시스템 퍼포먼스를 떨어트리지 않는 것을 중요하게 생각하면서 만든 도구입니다. 따라서 어느 정도 정확성에 대한 양보가 있을 수밖에 없었습니다.” 데이터 흐름과 관련된 보안 문제만 다룬다는 건, 그 외의 보안 및 프라이버시 문제에는 무력하다는 뜻이 된다.
“파이사를 사용할 경우 코드 내에 있는 기존 문제들을 탐지하고, 새로운 문제들을 찾아내는 데에 도움이 될 수 있습니다. 2020년 전반기 동안 파이사는 인스타그램 서버 코드베이스에서 상당량의 취약점을 찾아냈습니다. 전체 취약점의 44%가 파이사에 의해 탐지됐습니다.” 페이스북이 파이사를 발표하면서 주장한 내용이다.
페이스북은 “파이사가 잠재력이 높은 도구임은 분명하지만, 아직 더 발전할 여지가 있다”며 “오픈소스로 변환됨에 따라 커뮤니티의 참여로 잠재력이 극한으로 끌어올려지길 기대한다”고 발표했다.
3줄 요약
1. 파이선 코드에서 데이터 흐름과 관련된 보안 문제 탐구해주는 도구, 무료로 풀림.
2. 이 도구의 이름은 파이사로, 페이스북이 내부에서 사용해왔던 것임.
3. 파이사는 현재 페이스북 웹사이트 통해 공개되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
