2024-04-23 19:50 (화)
[G-PRIVACY 2023-영상] 장기창 대표 “급증하는 SW 보안취약점 이용한 공격 대응 방안” 제시
상태바
[G-PRIVACY 2023-영상] 장기창 대표 “급증하는 SW 보안취약점 이용한 공격 대응 방안” 제시
  • 길민권 기자
  • 승인 2023.04.02 16:49
이 기사를 공유합니다
포티파이 엔터프라이즈, KOIST 정보보호제품 성능평가에서 정적 분석 도구로 최초 성능 평가 인증
G-PRIVACY 2023 하로스 장기창 대표
G-PRIVACY 2023 하로스 장기창 대표

2023년 3월 23일 데일리시큐 주최 상반기 최대 공공, 금융, 기업 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2023이 1,300여 명의 보안실무자가 참석한 가운데 성황리 개최되었다. 

이 자리에서 하로스 장기창 대표는 ‘SW 보안 취약점 공격과 대응’을 주제로 강연을 진행했다. 

사이버공격이 증가함에 따라 SW 보안 취약점을 이용한 공격이 증가하고 있다. 

NTT 애플리케이션 시큐리티에서 테스트한 결과, 2021년 전체 사이트의 50%가 하나 이상의 심각한 취약성을 갖고 있는 것으로 조사됐고, 1만8천건의 보안 사고 중 60% 이상이 웹어플리케이션의 취약점과 관련있다. 또 2020년에 3700만 개 이상의 레코드가 도난당했으며 웹 애플리케이션이 침해의 39%를 차지한 것으로 조사됐다. 

애플리케이션 보안취약점 공격이 많은 이유는 인터넷에 연결된 많은 웹 애플리케이션과 웹 애플리케이션의 복잡성, 업데이트 미비, 미처리된 입력 값 검증, 인증 및 권한 부여의 비미 등이 원인이다. 또한 개발 방법이 발전하면서 SW 보안 취약점에 대한 대응이 힘들어지고 있다.

하로스 장기창 대표는 이를 해결하기 위해서 SW 보안 취약점에 대응할 수 있는 정적분석도구에 대해 상세히 설명했다. 

과거에는 웹 개발을 위해 개발자가 직접 코드를 작성하는 경우가 많았다. 하지만 최근에는 다양한 프레임워크가 개발되면서, 개발자들은 프레임워크를 활용해 웹 애플리케이션을 보다 쉽고 빠르게 개발할 수 있게 되었다. 

이러한 프레임워크는 보안 취약점을 예방하는 기능이 내장되어 있는 경우가 많다. 예를 들어, 프레임워크에서는 CSRF, XSS, SQL Injection 등의 공격에 대한 방어 기능을 제공한다. 이러한 방어 기능을 활용해, 보안 취약점을 예방할 수 있다는 것이다. 

하지만 프레임워크는 모든 취약점을 예방할 수는 없다. 또한 개발자가 프레임워크를 제대로 이해하지 못하고 사용하는 경우에는 취약점이 발생할 수 있다. 따라서 보안을 강화하기 위해서는 정적분석도구를 활용해 추가적인 보안 검증을 수행해야 한다고 강조했다. 

정적분석도구는 프레임워크나 라이브러리와 같은 서드파티 컴포넌트의 취약점을 찾아내는데 효과적이다. 또한 프레임워크의 보안 기능과 개발자의 코드 작성 방법 등을 함께 고려해 보안 취약점을 탐지할 수 있다. 따라서 정적분석도구와 프레임워크는 보안 취약점 예방을 위한 보완적인 역할을 함께 수행하고 있다고 설명했다. 

또한 정적분석도구에서의 ‘Source’는 보안 취약점이 발생할 가능성이 있는 입력 값 또는 데이터를 의미하고, ‘Sink’는 입력 값 또는 데이터가 이용될 수 있는 보안 취약점이 발생할 수 있는 위치를 의미한다.

한편 그는 정적분석도구에서는 라이브러리의 소스와 싱크 정보를 제공해야 한다고 강조했다. 

라이브러리는 여러 소프트웨어에서 공통적으로 사용되는 기능을 모듈화해 제공하는 소프트웨어 모음이다. 라이브러리는 소프트웨어 개발 과정에서 자주 사용되며, 많은 오픈소스 라이브러리가 존재한다.

라이브러리를 사용하는 소프트웨어에서는 라이브러리가 보안 취약점을 내포하고 있을 가능성이 있다. 따라서 정적분석도구에서는 라이브러리의 소스코드를 분석해 보안 취약점을 탐지하고 개발자에게 수정할 수 있는 정보를 제공한다. 

또한 라이브러리를 사용하는 소프트웨어에서는 소스와 Sink 검사도 중요하다. 라이브러리가 제공하는 기능을 사용하는 경우, 라이브러리의 입력 값은 소스가 될 수 있고, 라이브러리의 출력 값은 Sink가 될 수 있다. 따라서 정적분석도구에서는 라이브러리의 소스코드를 분석해 소스와 Sink를 검사하고, 보안 취약점을 탐지하고 수정할 수 있는 정보를 제공한다.

그는 “정적분석도구에서는 라이브러리와 소스와 Sink 검사를 함께 수행해, 라이브러리가 내포하는 보안 취약점을 탐지하고, 수정할 수 있는 정보를 제공한다. 이를 통해 개발자는 안전하고 신뢰성 높은 소프트웨어를 개발할 수 있다”며 “소스코드 취약점 분석 글로벌 대표 솔루션 포티파이 엔터프라이즈(Fortify Enterprise)가 한국정보보안기술원(KOIST)에서 진행하는 정보보호제품 성능평가에 인증을 받았다. 정적 분석 도구로는 처음으로 성능 평가 인증을 받았다. 기업 뿐만 아니라 공공시장에서도 활발한 도입이 기대된다”고 소개했다. 

하로스 장기창 대표의 G-PRIVACY 2023 강연자료는 데일리시큐 자료실에서 다운로드 가능하며 보다 상세한 내용은 아래 강연 영상을 참고하면 된다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트