°¡Æ®³Ê ¹ßÇ¥¿¡ µû¸£¸é »çÀ̹ö °ø°ÝÀÇ ¾à 75%°¡ ¼ÒÇÁÆ®¿þ¾îÀÇ Ãë¾àÁ¡ ¾Ç¿ëÀ¸·Î ¹ß»ýÇÏ°í ÀÖ´Ù. ÀÌ°°Àº ¼Ò½º ÄÚµå º¸¾È ¾àÁ¡À» ÅëÇÑ »çÀ̹ö °ø°Ý¿¡ ´ëÀÀÇÏ·Á¸é ±âÁ¸ ¹æȺ®, ħÀÔÂ÷´Ü½Ã½ºÅÛ µî ÀϹÝÀûÀÎ º¸¾È Àåºñ¸¸À¸·Î´Â ¸·±â ¾î·Æ´Ù.
¼ÒÇÁÆ®¿þ¾î °³¹ß´Ü°èºÎÅÍ º¸¾ÈÀ» °ÈÇÏ´Â `½ÃÅ¥¾îÄÚµù'À» Àû¿ëÇØ¾ß ÀÌ°°Àº Ãë¾àÁ¡ °ø°ÝÀ» ±×³ª¸¶ ¸·¾Æ³¾ ¼ö ÀÖ´Ù. ¶§¹®¿¡ ¾ÈÀüÇàÁ¤ºÎ´Â °ø°ø ±â°ü¿¡ ½ÃÅ¥¾îÄÚµùÀ» Àǹ«ÈÇϱ⵵ Çß´Ù.
Æļö´åÄÄÀÇ ½ÃÅ¥¾îÄÚµù ¼Ö·ç¼Ç ½ºÆзοì´Â ½Ã¸Çƽ ±â¹ÝÀÇ Á¤Àû ºÐ¼® ±â¼úÀ» Àû¿ëÇØ ¾Ç¼º °ø°ÝÀº ³ôÀº ºñÀ²·Î °É·¯³»¸é¼ ¿ÀŽÁöÀ²Àº ÃÖ´ëÇÑ ³·Ãá Áø´Üµµ±¸´Ù. ÇÁ·Î±×·¥ÀÇ ½ÇÇà Àǹ̸¦ ºÐ¼®ÇÏ´Â ½Ã¸Çƽ(Semantic) ºÐ¼® ¿£Áø°ú Á¤ÇØÁø ÆÐÅÏÀ» ¹ÙÅÁÀ¸·Î ºü¸£°í Á¤È®ÇÏ°Ô ±¸¹®À» ºÐ¼®ÇÏ´Â ½ÅÅ×ƽ(Syntactic) ºÐ¼® ¿£ÁøÀ» º¹ÇÕ Àû¿ëÇØ º¸¾È¾àÁ¡ ¿Ü¿¡ ¼Ò½ºÄÚµå Ç¥ÁØ, ½ÇÇà¿À·ù±îÁö ºüÁü¾øÀÌ °ËÃâÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¾ÈÀüÇàÁ¤ºÎ¿¡¼ ÁöÁ¤ÇÑ Çʼö Áø´Ü º¸¾È¾àÁ¡ ¿Ü¿¡µµ CWE/SANS Top25, OWASP Top10, CERT µî ±¹Á¦ Ç¥ÁØ ·¹ÆÛ·±½º¿¡ ÁöÁ¤µÈ À§Çèµµ ³ôÀº ¼ÒÇÁÆ®¿þ¾î º¸¾È ¾àÁ¡±îÁö ¸ðµÎ °ËÃâÇØ »çÀ̹ö°ø°Ý¿¡µµ ¾ÈÀüÇÑ ¼ÒÇÁÆ®¿þ¾î¸¦ °³¹ßÇÒ ¼ö ÀÖ´Ù.
Æļö´åÄÄ ÃøÀº "ÇöÀç ½ÃÁß¿¡ ³ª¿Â ½ÃÅ¥¾îÄÚµù Áø´Üµµ±¸ Áß¿¡¼ CCÀÎÁõÀ» ȹµæÇÑ °ÍÀº ½ºÆзο찡 À¯ÀÏÇÏ´Ù"¸é¼ "Á¤ºÎ Á¶´Þ Á¦Ç° µî·Ï±îÁö ¿Ï·áÇߴµ¥, À̸¦ ¹ÙÅÁÀ¸·Î °ø°ø, ±ÝÀ¶, ÀÇ·á µî ´Ù¾çÇÑ ·¹ÆÛ·±½º¸¦ È®´ëÇØ ³ª°¡°í ÀÖ´Ù"°í ¼³¸íÇß´Ù.
ÇÑÆí ½ºÆзοì´Â ¼¼°èÀûÀ¸·Î °ø½Å·Â ÀÖ´Â Á¤º¸º¸¾È ¾î¿öµå `ÀÎÆ÷ ½ÃÅ¥¸®Æ¼ ±Û·Î¹ú ¿¢¼³·±½º ¾î¿öµå'¿¡¼ Ãë¾à¼º Æò°¡ ºÎ¹® ±Ý»óÀ» ¼ö»óÇÏ¸ç ±¹³» ½ÃÀåÀº ¹°·Ð ±Û·Î¹ú ½ÃÀå¿¡¼µµ °æÀï·ÂÀ» È®º¸Çß´Ù. ¶Ç Áö³ÇØ 2¿ù GSÀÎÁõÀ» ÅëÇØ Ç°Áú¿¡ ´ëÇÑ ¿ì¼ö¼ºÀ» °ËÁõ ¹Þ¾ÒÀ¸¸ç, CWE(Common Weakness Enumeration) ÀÎÁõÀ» ȹµæÇϱ⵵ Çß´Ù.
°Àº¼º±âÀÚ esther@
[ ÀúÀÛ±ÇÀÚ ¨ÏµðÁöÅПÀÓ½º, ¹«´Ü ÀüÀç ¹× Àç¹èÆ÷ ±ÝÁö ]