전체메뉴보기

[GSC 2013] 애플리케이션 보안 취약점 분석방법론 소개

입력 2013-03-12 15:32:59
카카오톡 공유하기
프린트
2013년 3월 5일, 동아닷컴이 주최하고 게임동아가 주관하는 '제2회 게임 보안 컨퍼런스(이하 GSC 2013)'가 서울시 서초구 양재동에 위치한 엘타워에서 열렸다. 올해로 2회를 맞이하는 GSC는 최근 온라인 및 모바일 환경에서 자주 발생하는 해킹, 정보유출 등 보안 사고에 대한 방안을 제시하는 행사다. 특히, 각종 사고 사례를 통해 체계적이고, 실질적인 대처 방안을 논의해 많은 관심을 받고 있다. 작년에는 한게임, 넥슨, CJ E&M 등 주요 온라인 게임사의 보안 담당 실무자와 대표 보안 업체 관계자 등 약 100명이 참가했으며, 올해는 규모가 더 커졌다.

이번 GSC 2013에는 HP, IBM, 팔로 알토(Palo Alto), 파이어 아이 등 보안 업체 관계자와 학계 전문가 등이 연사로 참여해 해커들의 최근 공격 동향, 대처 방안 등의 정보를 제공했다. 특히, 최근 이슈가 되고 있는 모바일 게임 관련 보안 문제를 실제 사례 중심으로 설명해 눈길을 끌었다.



이날 행사에서 여섯 번째 세션은 '애플리케이션 보안 취약점 분석방법론 및 게임사 내부 시스템 모니터링 기법 소개'에 대한 내용으로, 한국HP의 위성표 이사가 발표를 진행했다.

보안 문제, 앱 개발 초기 단계부터 대비해야


최근 IT 업계에서 모바일 애플리케이션(이하 앱) 보안 사고가 자주 발생하고 있다. 해커들은 금전적 이익을 얻고자 앱에 있는 정보를 노리는데, 피해 규모는 경우에 따라 막대하다.
그런데 대부분의 앱 보안 사고는 앱 제작 시 보안 문제를 중요하게 고려하지 않아 일어나는 경우가 많다. 예를 들어 개발자가 보안성이 떨어지는 소프트웨어를 생산했을 경우, 이를 검증하지 않고 그대로 믿는 IT 부서가 많다. 테스트 시간, 기술, 권한 때문에 보안 문제를 철저히 하지 않는 경우도 있다. 그리고 실제 서비스를 시작한다. 보안에 대한 대처는 침해 사고가 난 뒤에서야 이루어지는 경우가 많다. 하지만 이 때 보안 취약점을 수정하기란 쉽지 않다. 시간과 비용이 많이 들기 때문이다.



하지만 애플리케이션 개발 및 운영 과정을 살펴보면, 초기 단계에서 보안 문제를 해결하는 것이 비용 절감 측면에서 훨씬 유리하다. 애플리케이션 개발 및 운영 과정은 대개 시스템 설계, 코딩, 단위 시스템 테스트, 시스템 테스트, 프로덕션 단계로 이루어진다. 보안 문제 해결 비용은 이후 단계로 갈수록 점점 늘어난다. 앱이 실제 서비스된 후 보안 문제를 해결하는 비용은 앱 제작 초기 단계에서 대처하는 것과 비교해 최대 30배 이상이나 된다.


보안 취약점 찾고 우선 순위까지 분석하는 '런타임 분석'이 유용


이에 대해 위 이사는 "앱 개발 과정과 보안 품질 점검을 체계적으로 접목해야 한다"고 말했다. 예를 들면 앱을 개발, 디자인할 때부터 보안 규격 시스템을 적용하는 것이다. 다시 말해 앱을 디자인하거나 개발 코드를 생성할 때, '보안을 위해 이러한 규격에 맞추어야 한다'라고 정해 놓고, 이를 지키지 않으면 다음 단계로 넘어가지 않는다. 실제 서비스 환경에서 앱을 설치하기 전에도 보안 품질 검사가 이루어져야 하며, 앱이 서비스 된 후에는 주기적으로 모니터링을 해야 한다. 또한, 각각의 단계에는 보안 품질을 철저하게 점검하도록 하는 룰이 함께 포함되어야 한다. 이 외에도 개발자에게 보안 관련 교육이 이루어져야 한다.



위 이사는 앱의 보안 취약점을 분석하는 기법에 대해서도 소개했다. 보안 취약점을 분석하는 방법으로는 '정적 분석', '동적 분석'을 들 수 있다. 정적 분석은 전반적으로 보안 취약점을 찾아내기에 적합하지만, 보안 취약점의 심각성에 따라 우선 순위를 세우기 어렵다는 단점이 있다. 반면, 동적 분석은 보안 취약의 심각성에 따라 우선 순위를 세우기에는 적합하지만, 보안 취약점을 발견해 내는 범위가 제약적이라는 단점이 있다.
이에 HP는 '런타임 분석' 기법을 고안해 냈다. 이 기법은 정적 분석과 동적 분석의 장점을 모두 합해, 모든 보안 취약점을 찾아낸 뒤 위험 순위가 높은 보안 취약점부터 순위대로 알려주는 것이다. 이를 통해 보안팀은 우선 순위에 따라 보안 취약점을 관리, 보완할 수 있다. 예를 들면 가장 심각한 보안 취약점부터 패치를 해 달라고 개발팀에 전달할 수 있다.
또한 'HP 포티파이 온 디맨드'는 점검하고자 하는 소스코드를 포티파이 클라우드에 업로드하면 포티파이의 전문가 집단이 정적 분석, 동적 분석, 런타임 분석을 통해 빠르게 결과를 추출하고 답변해 주는 솔루션이다. 상용, 오픈 소스, 서드 파티 등 다양한 형태의 앱 보안 테스트를 지원하며 패치 서비스도 제공한다.




글 / IT동아 안수영(syahn@itdonga.com)

※ 포털 내 배포되는 기사진과 기사 내용이 맞지 않을 수 있으며,
온전한 기사는 IT동사이서 보실 수 있습니다.

사용자 중심의 IT저 - IT동아 바로가기(http://it.donga.com)





    0 / 300
    占쎌쥙�⒳펺�뗭삕占쎈끉��뜝�덈열占쎈틶�앾옙�덇콬�좎룞�숋옙�얠삕占쎈뜆肉댐옙醫롫윥占쎈씛�숋옙�좎굲�좎럥�껇굜��숅넫濡レ쭢�좎럩�귨옙�뗭삕占쎌쥙援뀐옙醫롫윥占쎈끇援�옙癒�굲占썬꺂�ο옙琯�앾옙�됰탿�좎럩�귨옙�뗭삕�ル―�▼뜝�뚯쪠占싸우삕�용돂���좎룞�숋옙�낃퐵�β뼯爰껃퐲占쎌삕�ル∥�ゅ뜝�꾨옱占쎌닂�숋옙占쎄뎡占쎌쥙�⒳펺�곷쨨占쎈Ŋ�뺧옙�モ닪占싸듬쐻占쎈뜄嫄욑옙�먯삕占쎌늹�믣뜝�꾨렊占쎌쥙�ョ댆洹⑥삕�앾옙�귨옙占쎌뼔�ョ㎉怨ㅼ춻�용뿮占썬꺈�숅넫濡レ쑋�좎럡�э옙�뗭삕占쏙옙援꿨뜝�뚯쪠占썩댙�숋옙�곗맶�좎럥�o쭫議얜쐻占썩뫖占썲뜝�덊닰占쎌늸占썩뫀竊숈빱�좎럩伊숋옙館�숋옙醫롫윥甕겸뫅�숋옙��굲�좎룞�숋옙酉귥삕�ル∥�뚳옙�곷묄占쎌닂�숋옙醫롪뎡占쎌쥙猷욑옙�뗭삕占쎈뿭�뺧옙�モ닪占썬굝�앾옙袁⑥삺�좎럩�귨옙�곷돥占싸쇨뎡�좎럩伊숂뙴�묒삕占쎈뿭�뺝뜝�덉벞占쎌궍�앾옙�됰뮝嶺뚯옕짹占쎌빢�숋쭗袁⑸뮡�좎럥�띰옙�얠삕占쎈돉瑗ο옙醫롫윥占쎈씛�숋옙�좎굲�좎룞�숋옙�듭삕�ル∥�ε뜝�덉뵛占쎌닂�숋옙醫롪뎡占쎌쥙�ο옙�룸쨨占쎈Ŋ�뺧옙�モ닪占썬굢�븝옙�용빃�좎럩�쇽옙硫⑤쐻占쎈슢�у뜝�뚮듉占썬깺�먲옙�紐쀥뜝�덈쿅�용떦�잞옙�깆굲�좎럥肉�옙類앸쐻占쎌늿�뺧옙��占쎈Ŋ�뺧옙�モ닪筌욎�λ쐻占쎈슢�у뜝�뚮듉占쎈…�⑶뿙�닿엥�앾옙��볟뜝�몄슦�뺝뜝�덈걙占쎈틶�앾옙�덇콟占쎌뼔媛딉옙�얠삕占쏙옙鍮껓옙醫롫윪占쎈챿�숋옙�먯삕�좎럥�껓옙類㏃삕饔낅떽�볟뜝�숈삕占쎌늸�먲옙諭�援뀐옙怨뚰뇞泳��λ쐻占쎈���삣뜝�덉뒧占쎈슗�앾옙�덇볼�좎럩�귨옙�뗭삕�좎럥堉뚦뜝�뚯쪠占썬깺琉껓옙�좎굲�좎럩堉싷옙類잙꽠�ⓑ븍뜲�좎럡�댐옙�낅꽞嚥▲꺃�끻뜝�뚯쪠占싸쎌뵗占쎌쥙�θ린�⑥삕占쎄랜��嶺뚮ㅏ�o옙類앸쐻占쎈뜉�숋옙醫롫윥��뜝�덈꺼占쎌닂�숋옙占쎈뼌占쎌쥙�ο옙怨쀪뎡占쎌쥙�∽옙占쎈닱熬곻옙�꿨뜝�덇턁�곗뇯�앾옙��빃�좎럩�븀뙼占쏙옙醫롫윥�됯낀�숋옙�낃퐵�β뼯爰껓쭗�껊쐻占쎄쑵占쎌��삕占쎌늿�뺝뜝�덈열占쎈틶�앾옙�됯덫嶺뚮씭�쏉옙�낅꽞嚥▲꺃�뗰옙醫롫짗占쎌닂�쇽옙占쎈역�좎럩�⑨옙�얠삕占쏙옙泥볩옙醫롫뼢占쎄퀣援꿨뜝�뚯쪠占쎈뙋�숋옙�좎굲�좎룞�숋ℓ洹⑥삕�ル∥�ゅ뜝�꾨옱占쎌닂�숋옙�밸㎍占쎌쥙�ο옙袁ъ삕占쎌룇�뺧옙�モ닪占썬굢�븝옙�용빃�좎럩�귨옙�뗭삕�⑤챷�놅옙醫롫윥筌랃옙�숋옙�μ굲嶺뚮Ŋ�볢땻醫묒삕占썬뀼�わ옙�놁뒉筌뚭퍜�숂솒占쎄뎡�좎뜫爰귨옙恝彛わ옙貫�삣뜝�뚮듌占쎈틶�앾옙��빃�좎럩�밧뜝�숈삕�좎뜫�わ옙醫롫윪鴉딆닂�숁걹占쎌닂�숋옙�곴뎡占쎌쥙��땟戮녹삕占쏙퐢�삣뜝�덈쐞占쎌±�앾옙��펶�좎럩鍮�옙�뗭삕�좎럩�욃뜝�뚯쪠占썩뫜�숁뉩�μ굲�좎럥肉�옙類앸쐻占쎌늿�뺝뜝�숈삕

    뉴스스탠드