Home > 전체기사
소스코드 취약점, 정적·동적분석은 필수
  |  입력 : 2014-07-28 09:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

국가 기간망 SW 대상 폭 넓은 취약점 점검해야


[보안뉴스 김태형] 정부가 최근 시큐어코딩 제도 확대 적용에 나서면서 전자정부 운영과 유지보수에도 시큐어코딩이 적용될 것으로 보인다.


정부는 지난 2012년 소프트웨어 취약점을 이용해 전자정부 시스템에 대한 사이버 공격이 발생함에 따라 소프트웨어 개발단계부터 취약점을 점검하고 보안성을 강화해 개발하도록 하는 시큐어코딩 도입을 전 공공기관에 의무화했다.


이에 따라 올해는 20억원 이상 공공기관 IT 사업에 시큐어코딩을 적용해야 하며 2015년부터는 모든 공공기관 전자정부 사업에 시큐어코딩이 의무 적용된다.


이미 해외에서는 웹보안 취약점 등을 기준으로 OWASP 시큐어코딩 규칙에 따른 소프트웨어 취약점 점검 가이드와 소프트웨어 취약점 관련 단체, MITRE의 소프트웨어 취약점 가이드를 따르고 있으며 우리나라보다 5년이나 앞서 있는 상황이다.


특히 미국에서는 국가기간망에 들어가는 소프트웨어를 공급하기 위해서는 보안적합성 검증과 소스코드 보안취약점 점검을 받았다는 증명서가 첨부돼야 제공이 가능하도록 제도적 장치가 마련되어 있다.


하지만 우리나라는 안행부에서 시큐어코딩 가이드 필수 47개 보안취약점을 명시해 시스템 개발 시 참고하도록 하고 있어 다양하고 많은 소스코드 보안 취약점 가운데 최소한의 기준만 정해 점검하도록 정하고 있다.


이에 대해 MDS테크놀로지 이동재 대리는 “소스코드 취약점 점검을 위해서 안행부가 제시한 47개의 보안 취약점 점검만으로는 SW의 보안을 담보할 수 없다. 특히 국가기간망에 들어가는 소프트웨어에 대해서는 정적분석과 함께 동적분석, 즉 직접 공격값을 입력해 공격을 해보는 테스트와 실제 구현에서 기능상의 문제점을 점검하고 해당 취약점에 대해서는 보완을 해야 안전한 기간망 운영이 가능하다”고 말했다.


이어서 그는 “미국 정부단체 산하 비영리기관인 MITRE(소프트웨어 취약점에 대한 가이드라인 관련 단체, http://cwe.mitre.org)에서는 약 790여개의 소프트웨어 취약점 점검 기준을 제시하고 있다”면서 “소스코드 자체에 대한 취약점 분석도 중요하지만 이 소스코드로 만든 SW가 구현되었을 때 기능적인 문제점에 대한 점검도 필수적”이라고 강조했다.


이와 같이 웹 애플리케이션 및 웹 서비스에 대한 보안 테스트를 통한 취약점 탐지가 가능한 정적분석·동적분석 도구로 MDS테크놀로지의 웹 취약점 점검 도구 ‘Defensics’가 있다.

   MDS테크놀로지의 웹 취약점 점검 도구 ‘Defensics’의 특징

특히 ‘Fuzz Testing’을 통해 일반 동적 분석보다 훨씬 넓은 테스트 커버리지를 지원한다. 이는 해커가 보안취약점을 찾기 위해 비정상적으로 변형된 대량의 랜덤 데이터를 애플리케이션에 보내 오작동을 유도하는 동적분석의 특수한 형태이다. 또한 DDoS 공격과 같은 특수한 경우를 만들어 해당 시스템이 얼마나 강건한지 또는 취약점이 없는지 확인이 가능하다.


이 외에도 Defensics는 △200개 이상의 표준 프로토콜 지원 △프로토콜별 수만 개 이상의 테스트 케이스 지원 △웹, 네트워크, 무선, 디지털 미디어의 주요 공격 지점에 대한 보안취약점 테스트 △빠른 테스트 실행 시간으로 IPv4의 경우 1만 개 테스트 케이스 수행 시 3~4분 소요 △로그 및 테스트 케이스 통해 보안취약점 수정 가이드 등을 제공한다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)