디지털타임스

 


"애플리케이션 해킹 꼼짝마!" 개발단계부터 막는다

프린트 페이스북 트위터 카카오스토리
개발자 소스작업서 취약점 이력추적까지 보안 적용
사전ㆍ사후 대책 수립 가능해져 개발비용ㆍ시간 절감
애플리케이션 취약점을 노린 공격을 철통 방어하기 위한 웹 애플리케이션 보안이 주목받고 있다.

웹 애플리케이션 기반의 업무가 늘어남에 따라 세계적으로 애플리케이션 해킹으로 인한 사고들이 늘어나고 있다. 가트너에 따르면 전체 사이버 공격의 75%가 애플리케이션 취약점을 악용했다. 최근 몇 년간의 해킹 경향을 보면 금전적 이득을 위한 시도가 늘고 있으며 이로 인한 기업의 피해 또한 과거와 비교할 수 없을 정도로 커졌다. 웹 애플리케이션이나 웹서버에 대한 취약점뿐 아니라 웹 애플리케이션의 논리적 오류를 찾아내 공격하는 등 애플리케이션 공격 유형도 점차 진화하고 있다.

이 같은 공격에 대비해 2000년대 초반부터 웹 보안 사고를 방지하기 위한 웹 애플리케이션 방화벽과 웹 스캐너 등이 국내에도 속속 출시됐다.

그러나 전문가들은 웹 방화벽과 웹 스캐너만으로 사이트 보안을 하는 것은 역부족이라고 지적한다. 애플리케이션 보안 취약점은 웹 방화벽과 같은 제품으로 어느 정도 방어가 가능하겠지만 정책 설정의 어려움, 가용성 문제 등 여러 가지 한계가 존재한다는 설명이다. 또 개발자가 소스코드를 수정해야 근본적으로 문제가 제거되는데, 개발 전문가가 아닌 보안팀 직원이 애플리케이션 보안을 다루는 등 내부적으로 어려움이 존재한다는 것이다.

이에 따라 솔루션뿐 아니라 개발 업무 프로세스와 연동시킨 웹 소스코드 보안관리체계 수립의 필요성이 제기되고 있다.

한국포티파이소프트웨어 관계자는 "웹 스캐너와 모의 해킹 등을 통한 애플리케이션 보안 검사는 개발 완료 후 사후 관점의 방법을 사용하는 만큼 한계가 존재한다"며 "개발 프로세스에 보안을 도입해 개발자가 애플리케이션 개발 시 보안 문제점을 분석, 사전에 문제를 제거함으로써 보안 취약점의 수를 급감시킬 수 있다"고 말했다.

이 시스템은 개발자 인증에서부터 소스작업, 취약점 분석, 개발자 작업현황이나 취약점 이력현황을 확인하는 이력추적까지 하나의 애플리케이션 개발을 둘러싼 모든 과정을 담고 있다. 애플리케이션 개발단계에서부터 보안이 철저히 적용해 사전, 사후 보안 대책을 모두 마련할 수 있다는 설명이다.

이동일 소프트와이드시큐리티 CTO는 "애플리케이션 보안은 이제 보안팀과 품질관리팀의 과제에서 개발자의 적극적인 참여과제로 발전하고 있다"며 "애플리케이션에 대한 보안성 향상을 통해 기업 이미지 쇄신 및 보안 신뢰도 강화에도 도움이 될 것"이라고 말했다.

김지선기자 dubs45@