Home > 전체기사
웹의 대세, 자바 스크립트의 마지막 퍼즐 ‘소스코드 보호’
  |  입력 : 2019-03-22 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹 페이지의 대세로 떠오른 자바 스크립트...개발자가 마음껏 구현할 수 있도록 도와주는 도구
웹 서버와 웹 페이지 통신시 소스코드 그대로 드러나...문제 해결 시급
엔시큐어, 악산의 ‘악산 포 웹’ 들여와 자바 스크립트 보안 책임진다


[보안뉴스 원병철 기자] 깃허브(GitHub) 조사에서 ‘개발자가 가장 많은 관심을 보인 언어’로 꼽힌 ‘자바 스크립트(JavaScript)’는 최근 웹페이지 구축에서 가장 많이 사용되는 프로그래밍 언어다.

[이미지=iclickart]


우리가 보는 웹페이지는 ‘웹 브라우저(Web Browser)’와 ‘웹 서버(Web Server)’의 상호간 통신을 통해 완성된다. 웹 브라우저가 HTML과 CSS로 정적 화면을 구성하면 자바 스크립트로 동적 화면을 구성하는 식이다. 특히, 자바 스크립트는 다이내믹한 웹페이지를 만들 때 필수 언어로 손꼽히고 있다.

문제는 자바 스트립트가 코드 자체를 사용자의 웹 브라우저에 그대로 전송하면서 실행되는 형태라는 점이다. 즉, 사용자 누구라도 웹 브라우저를 통해 해당 웹 페이지의 소스코드를 그대로 볼 수 있기 때문에 악의적인 사용자가 웹 페이지의 소스코드를 복사해 이를 배껴쓸 수 있는 것은 물론 소스코드를 악용해 사이버 공격을 가할 수도 있다.

애플리케이션 보안분야 대표기업 엔시큐어의 손장군 이사는 “자바 스크립트는 개발자 입장에서 구현하고 싶은 기능을 모두 구현할 수 있도록 돕는 도구”라면서도 “다만 웹 브라우저가 소스코드를 그대로 받아오기 때문에 발생할 수 있는 문제들이 있기 때문에 일부 브라우저용 보안프로그램이나 소스코드 난독화 등을 통해서 해결하려는 개발자들이 있다”고 설명했다.

하지만 웹 브라우저용 보안프로그램 역시 자바 스트립트 기반으로 만들거나, 오픈소스 기반의 소스코드 난독화 기능을 구현한 탓에 문제가 여전한 경우가 많다고 손장군 이사는 설명했다.

또한, 보안전문회사 타이거팀(TigerTEAM)의 황석훈 대표 역시 “자바 스크립트의 활용성은 누구나 인정할 만하지만 보안문제 역시 누구나 인정하는 부분”이라면서, “서버로 전달 및 회신되는 모든 데이터는 Proxy 및 다른 도구 등을 통해서 위변조가 가능하다”고 지적했다.

“사실 자바 스크립트의 편리성은 누구나 인정하지만, 다른 사람들이 소스코드를 복사해 웹페이지의 디자인과 기능을 그대로 배낄 수 있기 때문에 개발자들이 위축되는 것이 사실입니다. 오히려 보안에 대한 걱정보다는 자사의 기술과 노하우를 빼앗길 우려가 더 크죠.” 이 때문에 황석훈 대표는 “자바 스트립트를 안전하게 사용할 수 있는 난독화 솔루션이 필요하다”고 강조했다.

▲Arxan for WEB[자료=엔시큐어]


이러한 상황에서 엔시큐어가 선택한 제품이 바로 Arxan의 ‘Arxan for WEB’이다. 악산(Arxan)은 2001년 미국의 정찰기와 중국 전투기가 충돌해 중국 하이난 섬에 불시착한 ‘하이난 섬 사건’ 당시 중국이 미국 정찰기에서 기술을 빼내자, 이를 방지하기 위해 소프트웨어 분석이 안되도록 하는 기술을 개발한 곳이다. ‘악산 포 웹(Arxan for WEB)’은 이러한 악산의 기술력이 응집된 솔루션으로 해외에서는 은행과 카드사 등 금융권에서 사용되고 있으며, 이미 국내에서도 금융사와 IT 서비스사가 도입해 활용하고 있다.

악산 포 웹은 강력한 ‘난독화’ 및 ‘위변조 방지’로 자바 스트립트를 보호한다. 이 때문에 개발자는 플랫폼에 대한 걱정 없이 자유롭게 개발하고 배포할 수 있으며, 보안담당자는 줄어든 자원과 서버 부하로 비용을 줄일 수 있게 된다. 또한, 악산 포 웹은 런타임 시 개발자 도구 등 디버거에 의한 분석, 위변조를 차단하기 위해 디버깅/위변조 시 탐지 기능을 제공한다. 아울러 DOM 객체에 대한 위변조를 차단해 다양한 방어 기능을 추가로 제공한다.

엔시큐어 손장군 이사는 “자바 스크립트 문제를 이야기하면 보통 보안담당자는 이에 대한 이해도가 낮거나 이미 난독화를 하고 있다고 대답한다”면서, “악산 포 웹을 사용하면 힘들게 개발한 웹페이지의 소스코드가 공개되지 않는 것은 물론, 보안과 관련된 자원소모도 줄일 수 있게 된다”며 악산 포 웹의 필요성을 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향