º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Àüü±â»ç

[ÁÖ¸»ÆÇ] µ¥ºê¿É½º °³¹ßÀÚµéÀÌ ¹Ý±æ ¹«·á º¸¾È Åø 10

ÀÔ·Â : 2018-06-02 13:06
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
°³¹ßÀÚµéÀÇ »ç±â ÀúÇÏ ¿äÀÎ 1¼øÀ§ º¸¾È...´õ ½±°í °£ÆíÇÏ°Ô
Ŭ¶ó¿ìµå, ±êÇãºê, ¿ÀǼҽº, ½ºÄ³´× µî ´Ù¾çÇÑ ±â´É °¡Áø Åøµé


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] °³¹ßÀÚµéÀÌ ÃãÀ» Ãß¸ç °³¹ß ¾÷¹«¸¦ ÇÒ ¼ö ÀÖµµ·Ï ¸¸µå´Â ¹æ¹ý Áß Çϳª´Â º¸¾ÈÀ» ³Ê¹« °­Á¶Çϰųª Áö³ªÄ¡°Ô ¾î·Æ°í ±î´Ù·ÓÁö ¾Ê°Ô ¸¸µå´Â °ÍÀÌ´Ù. ¡®Á¦°¡ ¹» ¸¸µç °Å °°¾Æ¿ä¡¯¶ó°í ½Å³ª°Ô ¸»ÇÒ ¶§¸¶´Ù ¡®±×·¡¼­ º¸¾ÈÀº?¡¯À̶ó°í È­´äÇÏÁö ¾Ê´Â °Í¸¸À¸·Îµµ °³¹ßÀÚµéÀÇ °í»ß¸¦ Ç®¾îÁÙ ¼ö ÀÖ°Ô µÈ´Ù. ±×·¯¹Ç·Î µ¥ºê¼½¿É½º(DevSecOps)°¡ º»·¡ÀÇ ¸ñÀûÀ» ÀÌ·ç·Á¸é °³¹ßÀÚµéÀÌ ½È¾îÇÏÁö ¾ÊÀ»¸¸ÇÑ º¸¾È ÅøµéÀ» ²Ù¸®´Â °Ô Áß¿äÇÏ´Ù.

[À̹ÌÁö = iclickart]


¶ÇÇÑ ±×·¯ÇÑ ÅøµéÀ» ã¾Ò´Ù¸é º¸¾È °Ë»ç °úÁ¤°ú °³¹ßÀÚµéÀÌ ¼ÒÇÁÆ®¿þ¾î¸¦ ¸¸µå´Â °úÁ¤À» ºÎµå·´°Ô °áÇÕ½ÃÄÑ¾ß ÇÑ´Ù. ³Ê¹« ¾î·Á¿î °Í ¾Æ´Ï³Ä°í? ¸Â´Ù. »ç½Ç ¾î¶»°Ô Çصµ °³¹ßÀÚµéÀÌ º¸¾È °Ë»ç °úÁ¤À» ¡®ºÎµå·´°Ô¡¯ ´À³¥ ¼ö´Â ¾ø´Ù. ´Ù¸¸ ÀÌ ±«¸®¸¦ ÃÖ¼ÒÈ­ÇÏ·Á´Â ³ë·ÂÀÌ ²÷ÀÓ¾øÀÌ ÀϾ°í ÀÖ°í, ±× °á°ú¹°µéÀÌ Çϳª µÑ ¼¼»ó¿¡ ³ªÅ¸³ª°í ÀÖ´Ù. °Ô´Ù°¡ ¹«·á³ª ¸Å¿ì Àú·ÅÇÑ °¡°Ý¿¡ ¹èÆ÷µÇ´Â °Íµéµµ ¸¹´Ù. µ¥ºê¿É½º °³¹ß °úÁ¤À» º¸´Ù ¡®°³¹ßÀڵ鿡°Ô Ä£ÀýÇÏ°í¡¯ ¶ÇÇÑ ¾ÈÀüÇÏ°Ô ¸¸µå´Â °ª½Ñ ÅøµéÀ» ¸î °¡Áö ¼Ò°³ÇÑ´Ù.

1. OWASP Á¦µå ¾îÅà ÇÁ·Ï½Ã(Zed Attack Proxy, ZAP)
OWASPÀ̶ó´Â Á¶Á÷ÀÇ À̸§Àº ±Í¿¡ Àͼ÷ÇÒ °ÍÀÌ´Ù. OWASP ž 10 Ãë¾àÁ¡ ¸ñ·ÏÀ¸·Î À¯¸íÇÑ OWASPÀÌ °³¹ßÇÑ OWASP ZAPÀº °³¹ßÀÚµéÀÌ ÄÚµåÀÇ º¸¾È ½ºÄµÀ» ÀÏÀÏÀÌ ÇÏÁö ¾Ê¾Æµµ µÇ°Ô²û °³¹ß ȯ°æÀ» ¸¸µé¾îÁØ´Ù. ÀÚµ¿ ½ºÄ³´× ÅøÀÌÀ̱⠶§¹®ÀÌ´Ù. °Ô´Ù°¡ ¹«·á·Î ¹èÆ÷µÈ´Ù. ÀÌ¹Ì ¸¹Àº ´ë±â¾÷µé¿¡¼­ ³Î¸® È°¿ëµÇ°í ÀÖÀ¸¸ç, Á¨Å²½º(Jenkins) Ç÷¯±×Àΰúµµ ±ÃÇÕÀÌ Âû¶± °°¾Æ¼­ °³¹ßÀÚµéÀÇ ¾÷¹« °úÁ¤À» À¯¿¬ÇÏ°Ô ¸¸µé¾îÁÖ´Â µ¥ Å« µµ¿òÀÌ µÈ´Ù.

Åø ±¸ÇÏ´Â °÷ :
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project


2. °ÇƲ¸´(Gauntlt)
µ¥ºê¿É½º °³¹ß ÆÀµéÀÌ ¼±È£ÇÏ´Â Áö¼ÓÀû ÅëÇÕ(CI, continuous integration) ȯ°æ¿¡ ¿¥º£µå µÇµµ·Ï ¸¸µé¾îÁø º¸¾È °Ë»ç ÇÁ·¹ÀÓ¿öÅ©´Ù. °³¹ßÀÚµé°ú º¸¾È Àü¹®°¡µé »çÀÌ¿¡¼­ ÀαⰡ ºü¸£°Ô ¿Ã¶ó°¡°í ÀÖ´Â ÅøÀ̱⵵ ÇÏ´Ù. ±× ÀαâÀÇ ºñ°áÀº ÇöÁ¸ÇÏ´Â º¸¾È ÅøµéÀ» Å¥ÄĹö(Cucumber)¶ó´Â °Ë»ç ÇÁ·¹ÀÓ¿öÅ©¿¡ Á¢¸ñÇØ »ç¿ëÇÒ ¼ö ÀÖµµ·Ï ¸¸µé¾îÁÖ´Â °ÍÀÌ´Ù. Å¥ÄĹö ÇÁ·¹ÀÓ¿öÅ©´Â µ¥ºê¿É½º °³¹ßÀÚµéÀÌ °Ë»ç ÀÚµ¿È­¸¦ À§ÇØ Áñ°Ü »ç¿ëÇÏ´Â °ÍÀ̱⵵ ÇÏ´Ù. °³¹ßÀÚµé ÀÔÀå¿¡¼­´Â º¸¾È °Ë»çÀÇ ºÎ´ãÀ» Å©°Ô ´ú¾îÁÖ´Â ÅøÀ̱⵵ ÇÏ´Ù.

Åø ±¸ÇÏ´Â °÷ : http://gauntlt.org

3. BDD-Security
BDD-Security ¿ª½Ã º¸¾È °Ë»ç¸¦ À§ÇÑ ÇÁ·¹ÀÓ¿öÅ© Áß Çϳª·Î, À̸§ ±×´ë·Î BDD¶ó´Â °³³äÀ» ¹ÙÅÁÀ¸·Î ¸¸µé¾îÁ³´Ù. BDD´Â Behavior Driven DevelopmentÀÇ Áظ»·Î ÇàÀ§³ª µ¿ÀÛÀ» Áß½ÉÀ¸·Î ÇÏ´Â °³¹ß ¹æ¹ý·ÐÀÌ´Ù. BDD´Â µ¥ºê¿É½º ȤÀº ¾ÖÀÚÀÏ¿¡ µµÀԵǴ °³³äÀ̱⵵ ÇÏ´Ù. ¶Ç, BDD-Security´Â À§¿¡¼­ ¾ð±ÞÇÑ Å¥ÄĹö °Ë»ç ÇÁ·¹ÀÓ¿öÅ©¸¦ ±â¹ÝÀ¸·Î ÇÏ°í ÀÖ´Ù. Áï Å»ýºÎÅÍ µ¥ºê¿É½º ȯ°æ ģȭÀûÀ¸·Î ¸¸µé¾îÁø °ÍÀÌ´Ù. ¼¿·¹´½ À¥µå¶óÀ̹ö(Selenium/WebDriver), OWASP ZAP, SSLyz, ³×¼­½º(Nessus)¿Í ȣȯµÇ±âµµ Çϸç, ¼Ò½ºÄڵ忡 Á÷Á¢ Á¢±ÙÇÏÁö ¾Ê°íµµ ¿ÜºÎ ½ºÄµÀÌ °¡´ÉÇÏ°Ô ÇØÁØ´Ù.

Åø ±¸ÇÏ´Â °÷ : https://github.com/continuumsecurity/bdd-security

4. ±ê ÇÏ¿îµå(Git-Hound)
µ¥ºê¿É½º°¡ ¼­¼­È÷ ÀÚ¸® Àâ±â ½ÃÀÛÇϸ鼭 ¸¹Àº °³¹ßÀÚµéÀÌ ±êÇãºê(GitHub)¿¡ ÀÇÁ¸Çϱ⠽ÃÀÛÇß´Ù. ¿©±â¿¡¼­ Äڵ带 °øÀ¯ÇÏ°í ÇÁ·ÎÁ§Æ®¸¦ °øµ¿À¸·Î ÁøÇàÇϱ⠽ÃÀÛÇÑ °Çµ¥, ±×·¯¸é¼­ »õ·Î¿î ¸®½ºÅ©µéÀÌ »ý°Ü³ª±â ½ÃÀÛÇß´Ù. ÀϺΠ°³¹ßÀÚµéÀº ±êÇãºê¿¡ ¹Î°¨ÇÑ Á¤º¸¸¦ ±×´ë·Î ¹æÄ¡Çϱ⵵ ÇÏ°í, ÄÚµå ³»¿¡ »ðÀÔÇÑ ÈÄ ±× Äڵ带 °øÀ¯Çϱ⵵ Çß´Ù. ¹Î°¨ÇÑ Á¤º¸¸¦ ´Ù·ç´Â °³¹ßÀÚµé Áß ±êÇãºê »ç¿ëÀÚµéÀ» À§ÇÑ Æ¯¼ö ÀåÄ¡°¡ ÇÊ¿äÇÑ »óȲÀ̾ú´Ù. ±×·± »óȲ¿¡ ²À ÇÊ¿äÇÑ ÅøÀÌ ¹Ù·Î ±ê ÇÏ¿îµå·Î, ÀÚµ¿ È®ÀÎ ±â´ÉÀ» °®Ãß°í ÀÖ¾î ±êÇãºê¿Í °°Àº ÄÚµå ·¹Æ÷ÁöÅ丮¸¦ »ç¿ëÇÏ´Â »óȲ¿¡¼­ÀÇ ¸®½ºÅ©¸¦ Å©°Ô ³·ÃçÁØ´Ù.

Åø ±¸ÇÏ´Â °÷ :https://github.com/ezekg/git-hound

5. ºê·¹ÀÌÅ©¸Ç(Brakeman)
¿ÀǼҽº Á¤Àû ÄÚµå ºÐ¼® Åø·Î, »ç¿ëÀÚ °£ Ä¿¹Â´ÏƼ°¡ È°¼ºÈ­µÇ¾î ÀÖ´Ù´Â °ÍÀÌ Å« ÀåÁ¡ÀÌ´Ù. ·¹ÀÏ(Rail) ¾ÖÇø®ÄÉÀ̼ÇÀÇ ·çºñ(Ruby)¿¡¼­ º¸¾È Ãë¾àÁ¡À» ã¾Æ³»´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. 2013³â óÀ½ µîÀåÇÑ ÀÌÈÄ·Î ¸¹Àº ÆÒµéÀ» °Å´À¸®°í ÀÖÀ¸¸ç, ÃÖ±Ù 1õ 1¹é¸¸¹øÀÇ ´Ù¿î·Îµå ¼ö¸¦ ±â·ÏÇϱ⿡ À̸£·¶´Ù.

Åø ±¸ÇÏ´Â °÷ : https://brakemanscanner.org

6. ÆÄÀεå½ÃÅ¥¸®Æ¼¹÷½º(FindSecurityBugs)
ºê·¹ÀÌÅ©¸Ç°ú ºñ½ÁÇÑ µµ±¸·Î, ¿ª½Ã Á¤Àû ÄÚµå ºÐ¼® ÅøÀÌ¸ç ¹«·á´Ù. ºê·¹ÀÌÅ©¸ÇÀÌ ·çºñ¿¡¼­ Ãë¾àÁ¡À» ã¾Æ³½´Ù¸é, ÆÄÀεå½ÃÅ¥¸®Æ¼¹÷½º´Â ÀÚ¹Ù ¾ÖÇø®ÄÉÀ̼ǿ¡¼­ ÁÖ·Î °­·ÂÇÔÀ» µå·¯³½´Ù. ÅëÇÕ °³¹ß ȯ°æ(IDE)À» Ãß±¸Çϸç, µû¶ó¼­ Á¨Å²½º, ¿¡Å¬¸³½º(Eclipse), ¸ÞÀ̺ì(Maven)°ú °°Àº ½Ã½ºÅÛµéÀ» À§ÇÑ Ç÷¯±×ÀÎÀ» Á¦°øÇϵµ ÇÑ´Ù.

Åø ±¸ÇÏ´Â °÷ : https://find-sec-bugs.github.io

7. ¾Æó¸®(Archery)
¿ÃÇØ ÃÊ ¿­¸° ºí·¢ÇÞ ¾Æ½Ã¾Æ(BlackHat Asia)¸¦ ÅëÇØ µ¥ºßÇÑ Åø·Î, ´Ù¸¥ Åøµé¿¡ ºñÇØ »ó´çÈ÷ ¡®µû²öµû²öÇÑ¡¯ ½Å»óÇ°ÀÌ´Ù. ¿ÀǼҽºÀÇ Ãë¾àÁ¡ Æò°¡ ¹× °ü¸® Åø·Î, ¼¿·¹´½À» È°¿ëÇÑ µ¿Àû ÀÎÁõ ½ºÄ³´×À» ½Ç½ÃÇÑ´Ù. ¶ÇÇÑ REST API¸¦ °³¹ßÀڵ鿡°Ô Á¦°øÇÔÀ¸·Î½á ±âÁ¸¿¡ »ç¿ëÇÏ´ø µ¥ºê¿É½º Åø°úÀÇ ¿¬µ¿µµ ½±°Ô ÀÌ·ïÁø´Ù.

Åø ±¸ÇÏ´Â °÷ : https://github.com/toolswatch/blackhat-arsenal
tools/blob/master/vulnerability_assessment/archery.md


8. CIS Äí¹ö³×Ƽ½º º¥Ä¡¸¶Å©(CIS Kubernetes Benchmark)
ÃÖ±Ù µ¥ºê¿É½º °³¹ßÀÚµéÀº ÄÜÅ×À̳ÊÈ­ µÈ ¿öÅ©·Îµå¸¦ ÅëÇÕÇØÁÖ´Â Ç÷§ÆûÀÎ Äí¹ö³×Ƽ½º¿¡ °ü½ÉÀÌ ¸¹´Ù. ÄÜÅ×À̳ÊÈ­ µÈ ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¹èÄ¡½Ãų ¶§ÀÇ °­·ÂÇÑ È®À强°ú ¾ÈÁ¤¼ºÀÌ °³¹ßÀÚµéÀ» ¸ÅȤ½ÃÅ°°í Àֱ⠶§¹®ÀÌ´Ù. ÅëÇÕ ´Ü°è¿¡¼­ÀÇ À§ÇèÀ» ÃÖ¼ÒÈ­ ÇØÁÖ°í, »ç¿ë¼ºÀÌ ³ª»Û °Íµµ ¾Æ´Ï¶ó´Â ÆòÀÌ ÁÖ¸¦ ÀÌ·é´Ù. ÀÌ¿¡ ÀÎÅÍ³Ý º¸¾È ¼¾ÅÍ(Center for Internet Security, CIS)¿¡¼­ Å¥¹ö³×Ƽ½º¸¦ È°¿ëÇÑ ÅëÇÕ °ü¸® ÅøÀ» °³¹ßÇØ ¹ßÇ¥Çß´Ù. »ç¿ëÀÚ ±â¾÷À̳ª Á¶Á÷µéÀÌ º¥Ä¡¸¶Å©¸¦ µû¸¦ ¼ö ÀÖµµ·Ï ´Ù¾çÇÑ ÀÚµ¿ ½ºÅ©¸³Æ®¸¦ Á¦°øÇÑ´Ù.

Åø ±¸ÇÏ´Â °÷ : https://github.com/neuvector/kubernetes-cis-benchmark

9. Ŭ¶ó¿ìµå½ºÇ÷ÎÀÕ(Cloudsploit)
Áö³­ ¸î ³â µ¿¾È Ŭ¶ó¿ìµå°¡ È®»êµÇ±â ½ÃÀÛÇϸ鼭 ¸¹Àº ±â¾÷µéÀÌ ¸Á½ÅÀ» ´çÇϱ⠽ÃÀÛÇß´Ù. ƯÈ÷ AWS S3 ¹öŶ ȯ°æ¼³Á¤À» À߸øÇÏ´Â ¹Ù¶÷¿¡ ÇØÅ· ´çÇÏÁöµµ ¾Ê¾ÒÀ¸¸é¼­ ÇØÅ·À» ´çÇÑ °Í°ú °°Àº ÇÇÇظ¦ ÀÔ¾ú´Ù. ¹Î°¨ÇÑ Á¤º¸¸¦ ÀÎÅͳÝÀÇ ¸ðµç »ç¶÷µéÀÌ º¼ ¼ö ÀÖµµ·Ï Çصδ ¹Ù¶÷¿¡ ½É°¢ÇÑ À¯Ãâ »ç°í°¡ °÷°÷¿¡¼­ ÅÍÁø °ÍÀÌ´Ù. Ŭ¶ó¿ìµå½ºÇ÷ÎÀÕÀº µ¥ºê¿É½º ÆÀµéÀÌ AWS ÀνºÅϽº¸¦ ½ºÄµÇØ ¼³Á¤ ¿À·ù µîÀÇ º¸¾È À§ÇèµéÀ» ã¾Æ³¾ ¼ö ÀÖµµ·Ï ÇØÁØ´Ù.

Åø ±¸ÇÏ´Â °÷ : https://github.com/cloudsploit/scans

10. ÀνºÆå(InSpec)
ÄÚµåÇü ÀÎÇÁ¶ó½ºÆ®·°Ã³(infrastructure-as-code, IaC) °³³äÀ» žÀçÇÑ ÀνºÆåÀº ÄÄÇöóÀ̾ð½º, º¸¾È, Á¤Ã¥¿¡ ÇÊ¿äÇÑ ¿©·¯ °¡Áö »çÇ×µéÀ» Çϳª·Î ¹­¾î¼­ °ü¸®ÇÏ°Ô ÇØÁØ´Ù. ¶ÇÇÑ º¸¾È Á¤Ã¥À» »ç¶÷°ú ±â°è°¡ ÀÐÀ» ¼ö ÀÖ´Â ¾ð¾î·Î º¯È¯ÇØÁØ´Ù. ÆÛÆê(Puppet) ȯ°æ¿¡¼­µµ Àß ÀÛµ¿ÇÏÁö¸¸, µµÄ¿(Docker), ¾ÖÀú(Azure), AWS µî ´Ù¾çÇÑ Ç÷§Æû¿¡¼­µµ ¹«¸® ¾øÀÌ ±â´ÉÀ» ¹ßÈÖÇÑ´Ù.

Åø ±¸ÇÏ´Â °÷ : https://www.inspec.io
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë