½É°¢ÇÑ Ãë¾àÁ¡ ÀÚµ¿ °Ë»çÇÏ´Â Ãë¾àÁ¡ Á¡°Ë Åø, ÃÖ´ëÇÑ È°¿ë ÇÊ¿ä
[º¸¾È´º½º= ÀÓäȣ ºû½ºÄµ ¿¬±¸¼ÒÀå] ¹Ù¾ßÈå·Î ¡®SW È«¼ö¡¯ ½Ã´ë´Ù. 4Â÷ »ê¾÷Çõ¸í ½Ã´ë¿¡´Â ¸ðµç ±â¾÷ÀÌ SW Àü¹®±â¾÷ÀÌ´Ù. ¾Æ¸¶Á¸, MS. ±¸±Û, ³ÝÇø¯½º µîÀ» º¸¶ó. À̵éÀÌ SW Ãë¾àÁ¡ °ø°ÝÀ» ¹ÞÀ¸¸é ¾öû³ ¼öÁØÀÇ °³ÀÎÁ¤º¸ À¯Ã⡤ħÇØ»ç°í°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ½ÇÁ¦·Î ÀÎÅÍ³Ý ¹üÁË ¹ß»ý·üÀº Áõ°¡ Ãß¼¼´Ù. ÀÎÅͳݹüÁ˺¸°í¿¡ µû¸£¸é, 2018³â ÀÎÅÍ³Ý ¹üÁËÀÇ ¹ß»ý·üÀº 35¸¸1,937°ÇÀ¸·Î 14.3%p Áõ°¡Çß°í, ¼Õ½ÇÀº 14¸¸1,870¸¸ ´Þ·¯¿¡¼ 2¾ï7,640¸¸ ´Þ·¯·Î ¹«·Á 90.8%p°¡ Áõ°¡Çß´Ù.
ÇØÄ¿´Â SW Ãë¾àÁ¡À» ÀÌ¿ëÇØ °ø°ÝÇÑ´Ù. ¿©±â¿¡¼´Â SW Ãë¾à¼º°ú º¸¾È ½ºÄ³³Ê µµÀÔÀÌ ÇÊ¿äÇÑ Ãë¾à¼º 30°³¸¦ Á¤ÀÇÇØ °í°´ °ü¸®°¡ ÇÊ¿äÇÑ ±â¾÷ÀÇ °í°´ Áö¿ø¼ºñ½º ¹× ¿î¿µ¿¡ µµ¿òÀ» ÁÖ°íÀÚ ÇÑ´Ù. Ãë¾àÁ¡ÀÌ ¾ø´Ù¸é °ø°ÝÀº ¼º°øÇÒ ¼ö ¾ø±â ¶§¹®ÀÌ´Ù.
¿Ö SW Ãë¾àÁ¡Àΰ¡
º¸À× 737 Ã߶ô»ç°Ç, BMW ÈÀç»ç°Ç µîÀº ¸ðµÎ SW ¿À·ù·Î ¹ß»ýÇÑ »ç°í¿´´Ù. ƯÈ÷, Áö³ÇغÎÅÍ À¯·´ ÀÏ¹Ý °³ÀÎÁ¤º¸º¸È£¹ý(GDPR)À» ½ÃÇàÇÏ°í ÀÖ´Â À¯·´¿¡¼ SW ¹ö±× Ãë¾àÁ¡¿¡ µû¸¥ °ø°ÝÀ¸·Î °³ÀÎÁ¤º¸°¡ À¯ÃâµÇ¸é ¾öû³ °úÅ·Ḧ ¹° ¼öµµ ÀÖ´Ù. ¹«¾ùº¸´Ù SW Ãë¾à¼ºÀÇ Áõ°¡´Â º¸¾È À§ÇèÀ» Æò°¡ÇØ¾ß ÇÏ´Â º¹À⼺À» Áõ°¡½ÃŲ´Ù. »çÀ̹ö°ø°ÝÀº ¹°¸® º¸¾È°ú »çȸÀû º¸¾ÈÀ» Æ÷ÇÔÇÒ ¼ö ÀÖÁö¸¸, SW´Â ±¸Á¶Àû Ãë¾àÁ¡À» Æò°¡ÇØ¾ß ÇÑ´Ù.
¡ãSW ¹× ½Ã½ºÅÛ Ãë¾àÁ¡ ±¸Á¶¿Í ½ºÅÃ[Ç¥=ÀÓäȣ]
Ãë¾à¼ºÀº SW¸¦ °³¹ß ¹× ¿î¿µÇÏ´Â ±â¾÷À» Æ÷ÇÔÇØ ¸ðµç Á¶Á÷¿¡¼ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ¹Ì±¹ AST µµ±¸ÀÇ ÇǶó¹Ìµå ±¸Á¶ ÇÏ´Ü ½ÇÇà ºÎºÐ¿¡¼´Â SAST, DAST, SCA, DB¸¦ À§ÇÑ ½ºÄ³³Ê 4Á¾ÀÌ ÇÊ¿äÇÏ´Ù°í ±ÔÁ¤ÇÑ´Ù. ¡â¼Ò½º ºÐ¼® ¡â½ÇÇàÄÚµå ºÐ¼® ¡âÃë¾à¼º ±Ù°Å ºÐ¼® ¡âDB Ãë¾àÁ¡ÀÌ´Ù. ÇÏÁö¸¸ ÀÌ Á¢±Ù ¹æ½Ä¿¡´Â º°µµ DBÀÇ Áø´ÜÀ¸·Î Á¡°Ë ½Ã°£À» °¡Áß½ÃŲ´Ù´Â ¹®Á¦Á¡ÀÌ ÀÖ´Ù. Áø´Ü °á°ú´Â °³¹ßÀÚ¿¡°Ô ±³Á¤½Ã°£ °¡Áß µîÀ¸·Î À̾îÁø´Ù. ¹Ì±¹ ±¹¹æºÎ À¥ º¸¾ÈÀÇ 70%´Â ¡®À¥ º¸¾È ÀηÂÀÚ¿ø ºÎÁ·¡¯ÀÌ, 34%´Â ¡®±ä±Þ¹®Á¦ Ãë¾àÁ¡¡¯ÀÌ, 38%´Â ¡®Àç°³¹ß ½Ã°£ºÎÁ·¡¯ÀÌ ¹®Á¦·Î ²ÅÇû´Ù.
¡ãAST µµ±¸ ÇǶó¹Ìµå[Ç¥=¡®10 Types of Application Security Testing Tools¡¯]
°ø°ÝÀÚ´Â Ãë¾àÁ¡À» ¾Ç¿ëÇÒ ¶§ SW ųüÀÎÀÇ ÁÖ¿ä ÁöÁ¡¿¡ ÅõÀÚ¸¦ ÁýÁß½ÃÅ°´Â °èÃþÈµÈ µ¥ÀÌÅÍ ±â¹Ý ¹æ¾îÀü·«À» »ç¿ëÇÑ´Ù. ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡À» ã°í, ¾Ç¿ëÇϸç, È°¿ëÇÏ´Â °ÍÀÌ ¾î·Æ°í ºñ¿ëÀÌ ¸¹ÀÌ µå´Â ÀÌÀ¯´Ù. ±×·¸±â ¶§¹®¿¡ SW º¸¾ÈÀÇ ÃÖ¿ì¼± °úÁ¦´Â °ø°Ý ´ë»óÀ» ÁÙÀÌ°í, Ãë¾àÁ¡ÀÇ Æ¯Á¤ ÆÐÅÏÀ» ã¾Æ¼ ¿ÏÈÇØ Ãë¾à¼ºÀ» Á¦°ÅÇÏ´Â °ÍÀ̾î¾ß ÇÑ´Ù.
4Â÷ »ê¾÷Çõ¸í ½Ã´ë¿Í SW º¹Àâµµ
4Â÷ »ê¾÷Çõ¸í ½Ã´ëÀÇ ±â¾÷Àº SW Ãë¾à¼º, º¸¾ÈÀ§Çè, °³ÀÎÁ¤º¸ À¯ÃâÀ̶õ À§ÇèÀ» ¸¸³ª±â ½±´Ù. ½º¸¶Æ®Æù, Ŭ¶ó¿ìµå ÄÄÇ»ÆÃ, ºòµ¥ÀÌÅÍ ºÐ¼® ¹× °ü¸® Á¦¾î, µ¥ÀÌÅÍ ¼öÁý ½Ã½ºÅÛ ÀåÄ¡(SCADA), ÀÓº£µðµå, IoT µî »õ·Î¿î ȯ°æ°ú ¸Â´Ú¶ß·Á¾ß Çϱ⠶§¹®ÀÌ´Ù. ¹Ì±¹ Ãë¾àÁ¡°øÀ¯¼¾ÅÍ(NVD)¿¡ µû¸£¸é 2017³â ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ °áÇÔ(flaw)ÀÇ °³¼ö´Â 127%p°¡ Áõ°¡Çß´Ù.
NVD°¡ °ø°³ÇÑ ¿ÀǼҽº ºÎºÐ DB Ç÷§Æû »ç·Ê¸¦ º¸¸é, Ãë¾à¼º ¿¬±¸ÀÚ¿Í °ø°ÝÀÚ°¡ SW ½ºÅÿ¡ ´õ ±í¼÷ÀÌ Ä§ÅõÇÏ°í ÀÖ´Ù´Â »ç½ÇÀ» ÇÑ ´«¿¡ ¾Ë ¼ö ÀÖ´Ù. ¸¶ÀÌSQL(MySQL)Àº 2017³â¿¡¸¸ 85°ÇÀÇ Ãë¾àÁ¡ÀÌ º¸°íµÆ°í, ÀÚ¹Ù µðº§·Ó¸ÕÆ® Å°Æ®¿¡¼´Â 69°ÇÀÇ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ·£¼¶¿þ¾î °ø°ÝÀ¸·Î ´ë±Ô¸ð ÇÇÇظ¦ ÀÏÀ¸Å² ¿ö³ÊÅ©¶óÀÌ¿Í ³´ÆäÆ®¾ß´Â MS OSÀÇ SMBv1 ±¸Çö¿¡¼ ÀÌÅͳΠºí·ç ÀͽºÇ÷ÎÀÕÀÇ Ãë¾àÁ¡À» ¹ÙÅÁÀ¸·Î ½Ã½ºÅÛÀ» °¨¿°½ÃÄ×´Ù.
¡ã¡®NVD CVE Top 10¡¯ Ãë¾àÁ¡[±×·¡ÇÁ=ÀÓäȣ]
ÀÌ·¯ÇÑ »ç°ÇµéÀº Ãë¾àÁ¡ÀÌ ´õ ÀÌ»ó ¿î¿µÃ¼Á¦, ÀÀ¿ëÇÁ·Î±×·¥ ¶Ç´Â ³×Æ®¿öÅ· ÄÚµå·Î Á¦ÇѵÇÁö ¾Ê´Â´Ù´Â °ÍÀ» º¸¿©ÁØ´Ù. Àüü SW¸¦ °¨½ÃÇÏ°í, ¾ÈÀüÇÑ SW ÄÚµùÀ» À§ÇØ Ãë¾àÁ¡ Å×½ºÆ® °úÁ¤À» °ÅÃÄ¾ß ÇÏ´Â ±î´ßÀÌ´Ù. ƯÈ÷, °ø°ÝÀÚ°¡ ¾Ë·ÁÁöÁö ¾ÊÀº Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¸é ±â¾÷Àº Àü¹ÝÀûÀÎ º¸¾È Çâ»ó¿¡ ÃÊÁ¡À» ¸ÂÃç¾ß ÇÑ´Ù. ºñÁ¤»óÀûÀÎ È°µ¿Å½Áö´Â ¹°·Ð ¼ÒÇÁÆ®¿þ¾î ¼Ò½ºÄÚµå¿Í µ¥ºê¿É½ºÀÇ µÎ °¡Áö ¼ÒÇÁÆ®¿þ¾î ¿î¿µ Å×½ºÆ®¸¦ ÅëÇØ ±â¾÷ÀÌ ÀÚü ÄÚµåÀÇ Ãë¾àÁ¡À» ¹ß°ßÇØ¾ß ÇÑ´Ù.
¹ÌÈ®ÀÎ Ãë¾àÁ¡¿¡ ´ëÇÑ ¼ÒÇÁÆ®¿þ¾î ½ºÅà ³» ¼Ò½ºÄÚµå Á¾¼Ó¼ºÀ» Å×½ºÆ®ÇÏ´Â °Íµµ Áß¿äÇÏ´Ù. ¿©±â¼ ÇÙ½ÉÀº ÀÚµ¿È µµ±¸, Àη ¹× ºñ¿ëÀÌ´Ù. 4Â÷ »ê¾÷Çõ¸í ½Ã´ë¿¡´Â ºñ¿ëÀÌ ÃÖ¼ÒÈµÈ ¾ÈÁ¤ÀûÀÎ ÀÀ¿ë SW º¸¾È ¿î¿µÀÌ Áß¿äÇÏ´Ù. ¸ðµç »ê¾÷Àº SW º¹À⼺À¸·Î SW Ãë¾à¼º °ËÁõÀÇ ºñ¿ë ¹®Á¦¿¡ ÃÊÁ¡ÀÌ ¸ÂÃçÁ® Àֱ⠶§¹®ÀÌ´Ù.
±×·³ ´ë¾ÈÀº ¹»±î
UNÀº ÃÖ±Ù °¢±¹ÀÇ Áß¿äÇÑ »çÀ̹öº¸¾È °ø°Ý 10°¡Áö¸¦ ¹ßÇ¥Çß°í, ¹Ì±¹ CERT´Â ÀÀ¿ëÃë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°ÝÀÌ 84%¶ó°í ¹àÇû´Ù. ¹Ì±¹»Ó¸¸ ¾Æ´Ï¶ó ±¹³» Æ÷ÇÔ Àü ¼¼°è °³¹ßÀÚµéÀÇ À߸øµÈ ÄÚµùÀ» °ËÁõÇÏ°í °³¼±ÇÏÁö ¸øÇÏ´Â ÀÏÀÌ ¹ß»ýÇÏ°í ÀÖ´Ù.
CERT°¡ ÁöÀûÇÑ ´ë·Î À¥ ÀÀ¿ë Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°ÝÀÌ 84%¿¡ ´ÞÇÏ°í, SWÀÀ¿ë ÄÚµå°ËÁõ½ÃÇè¿¡ ¾ÆÁ÷ ¹®Á¦°¡ ÀÖ´Ù¸é ÇöÀç °¢Á¾ SW Ãë¾àÁ¡À» ÀÚµ¿À¸·Î °Ë»çÇÏ´Â Ãë¾àÁ¡ Á¡°Ë ÅøÀÌ ´ë¾ÈÀÌ µÉ ¼ö ÀÖ´Ù.
ÇöÀç ¸¹Àº Á¶Á÷ÀÌ ÀÀ¿ë SW¸¦ º¸À¯ ÁßÀ̸ç, ÀÀ¿ë º¸¾È ´ã´çÀÚ¸¦ °í¿ëÇϰųª ¿ÜÁÖ¸¦ ÁÖ°í ÀÖ´Ù. ÀÌ·¯ÇÑ »óȲ¿¡¼ Ãë¾àÁ¡ Á¡°Ë ÅøÀº ±â¾÷ÀÇ ÀÀ¿ëº¸¾È ºñ¿ëÀ» ¸¹°Ô´Â 10ºÐÀÇ 1±îÁö ³·Ãâ ¼ö ÀÖ´Ù. Àü¹®°¡¸¦ ´ë½ÅÇÒ ¼ö ÀÖ´Ù´Â ¼Ò¸®´Ù. ´Ü, ´Ù¾çÇÑ Á¡°Ë Åø °¡¿îµ¥¼µµ ¿Â¶óÀÎ Á¡°ËÀ» ÅëÇØ °³¹ßÀÚ¿Í º¸¾È ´ã´çÀÚÀÇ ¹®Á¦¸¦ ½Å¼ÓÇÏ°Ô ÇØ°áÇÒ ¼ö ÀÖ´Â ¼Ö·ç¼ÇÀ» ¼±ÅÃÇÑ´Ù¸é º¸´Ù ³ôÀº º¸¾È È¿°ú¸¦ ±â´ëÇÒ ¼ö ÀÖ´Ù.
[±Û_ ÀÓäȣ ºû½ºÄµ ¿¬±¸¼ÒÀå(skscogh@naver.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>