´º·¼¸¯Àº Áö³ 18ÀÏ ¹ßÇ¥¸¦ ÅëÇØ, ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Å×½ºÆÃÀ» À§ÇÑ ÀͽºÇ÷ÎÀÕ °ø°Ý °ËÁõ(Proof-of-Exploit) ¸®Æ÷Æà ±â´ÉÀ» Æ÷ÇÔÇØ ‘´º·¼¸¯ ÀÎÅÍ·¢Æ¼ºê ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Å×½ºÆ®(New Relic Interactive Application Security Testing, IAST)’ÀÇ ½Å±Ô ±â´ÉÀ» Ãâ½ÃÇß´Ù.
ÀÌ¿¡ µû¶ó, ´º·¼¸¯ ÀÌ¿ë ±â¾÷Àº ´º·¼¸¯¸¸ÀÇ µ¶ÀÚÀûÀÎ ±â¼úÀ» È°¿ëÇØ ¹®Á¦°¡ µÇ´Â ºÎºÐÀ» º¹Á¦ÇØ »õ·Î¿î Äڵ带 ÀÛ¼º Àü ¹Ì¸® À§Çù¿äÀÎÀÌ µÇ´Â ƯÁ¤ º¤Å͸¦ ±³Á¤, °ø°Ý¿¡ Ãë¾àÇÑ ºÎºÐÀ» ¹Ì¸® ÆľÇÇÒ ¼ö ÀÖ´Ù.
º¸¾È ¹× ¿£Áö´Ï¾î¸µ ºÎ¼µéÀÌ ½ÇÁ¦ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¹®Á¦¿¡ ´õ¿í ÁýÁßÇÒ ¼ö ÀÖµµ·Ï µµ¿ÍÁÖ¸ç ÀÌ ±â´ÉÀº ±¹Á¦ À¥º¸¾È ºñ¿µ¸®´Üü OWASPÀÇ º¥Ä¡¸¶Å© °á°ú Á¤È®µµ 100%·Î °ËÁõ¹ÞÀº ¿ÀŽÀ²(false positive)À» ÀÚ¶ûÇÑ´Ù.
|
|
|
¡ã ´º·¼¸¯ IAST Âü°í À̹ÌÁö.(Ãâó : ´º·¼¸¯ Á¦°ø) |
·¹°Å½Ã ÄÚµå ½ºÄ³³Ê´Â Á¾Á¾ ³Ê¹« ¸¹Àº º¸¾È ¾Ë¶÷À» °³¹ßÀÚ¿¡°Ô ¶ç¿ö °³¹ßÀÚµéÀº ÀÌ·¯ÇÑ ¾Ë¶÷À» ÀÏÀÏÀÌ È®ÀÎÇØ¾ß Çß´Ù.
ÀÌ¿¡ ÀϹÝÀûÀ¸·Î ¿£Áö´Ï¾îµéÀº °ø°Ý¹ÞÀ» ÀÏÀÌ ¾ø°Å³ª ºñÁî´Ï½º¿¡ Å©°Ô À§ÇùÀÌ µÇÁö ¾Ê´Â Ãë¾àÁ¡µé±îÁö È®ÀÎÇÏ°í ¼öÁ¤ÇÏ´À¶ó ¾÷¹«½Ã°£ÀÇ 60%±îÁö ¼ÒºñÇϸ鼵µ, Á¤ÀÛ °ø°Ý´ë»óÀÌ µÇ´Â Ãë¾àÁ¡Àº ¼öÁ¤ÀÌ µÇÁö ¾Ê´Â °æ¿ì°¡ ÀÖ¾ú´Ù.
°á±¹ ÀÌ´Â ¾÷¹«¸¦ °úÁß½ÃÄÑ ¿£Áö´Ï¾îµéÀÌ ´õ¿í ³ôÀº ¼öÁØÀÇ ¾ÖÇø®ÄÉÀ̼ÇÀ» °³¹ßÇÏ°í »ý»êÇϴµ¥ °É¸²µ¹ÀÌ µÇ±âµµ ÇÑ´Ù.
ÀͽºÇ÷ÎÀÕ °ø°Ý °ËÁõ ¸®Æ÷Æà ±â´ÉÀº ¾ÖÇø®ÄÉÀ̼ǵéÀ» ¾ÈÀüÇÔ(safe), °ø°Ý°¡´É(exploitable), È®ÀεÇÁö ¾ÊÀ½(untested) µîÀ¸·Î ºÐ·ùÇØ ¿£Áö´Ï¾îµéÀÌ Ãë¾àÁ¡À» ºü¸£°Ô È®ÀÎÇÒ ¼ö ÀÖ¾î ÃæºÐÇÑ Á¤º¸¸¦ ¹ÙÅÁÀ¸·Î ¾î¶² ¾ÖÇø®ÄÉÀ̼ÇÀ» ¹Ù·Î Á¦ÀÛ ¹× ¹èÆ÷Çصµ µÇ´ÂÁö ¶Ç´Â Àç°ËÅ並 ÇØ¾ß ÇÏ´ÂÁö °áÁ¤ÇÒ ¼ö ÀÖ´Ù.
°³¹ßÁֱ⿡ °ÉÃÄ º¸¾È À̽´¿¡ ´ëÇÑ Áï°¢ÀûÀÎ Çǵå¹éÀ» ÅëÇؼ º¸¾È ¹× ¿£Áö´Ï¾î¸µ ºÎ¼µéÀº Çù¾÷ÇØ ¾ÈÀüÇÏ°í ºü¸£°Ô Äڵ带 ¹èÆ÷ÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
¸¶³ªºê Äí¶ó³ª(Manav Khurana) ´º·¼¸¯ ÃÖ°íÁ¦Ç°Ã¥ÀÓÀÚ´Â “º¸¾ÈÀº °³¹ß¿¡ ÀÖ¾î ÃßÈÄ¿¡ »ý°¢ÇÏ´Â °ÍÀÌ ¾Æ´Ï¶ó °¡Àå ±âº»À¸·Î À¯³äÇؾßÇÒ ¿ä¼ÒÀÌ´Ù. ´º·¼¸¯ IAST´Â ¿£Áö´Ï¾î¸µ ¹× ITºÎ¼°¡ ¾ÖÇø®ÄÉÀÌ¼Ç ¼º´É ¸ð´ÏÅÍ Ç÷§Æû¿¡¼ ¹Ù·Î ½ÇÁ¦ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È À§ÇèÀ» ÆľÇÇÒ ¼ö ÀÖ°Ô ÇÑ´Ù. À̸¦ ÅëÇØ °³¹ßÀÚ¿Í º¸¾ÈºÎ¼°¡ Çù·ÂÇØ ¾ÈÀüÇÑ Äڵ带 ÀÛ¼ºÇØ ¹Ì·¡ÀÇ À§ÇùÀ» ¹æ¾îÇÏ°í ¼±Á¦ÀûÀÎ º¸¾È ż¼¸¦ À¯ÁöÇÏ¿© µ¥ºê¼½¿É½º(DevSecOps)¸¦ ´õ¿í °È½ÃÅ°°Ô µÈ´Ù. Áö³ 10³â°£, ´º·¼¸¯ Ç®½ºÅà ¿ÉÀú¹öºô¸®Æ¼ Ç÷§ÆûÀº ¹ÏÀ» ¼ö ÀÖ´Â ´ÜÀÏ Á¤º¸ ¼Ò½º¿Í ÅëÇÕµÈ À¯Àú ¿öÅ©ÇÃ·Î¿ì °æÇèÀ» Á¦°øÇØ ±â¾÷µéÀÇ »çÀÏ·Î Çö»ó ÇØ°áÀ» Áö¿øÇØ¿ÔÀ¸¸ç, ¾ÕÀ¸·Î ´º·¼¸¯ IAST¸¦ ÅëÇØ ÀÌ·¯ÇÑ ¿ª·®À» ´õ¿í È®´ë½Ãų °ÍÀÌ´Ù”°í ¸»Çß´Ù.
´º·¼¸¯ IASTÀÇ Ãß°¡ ¾÷µ¥ÀÌÆ® ³»¿ëÀ» º¸¸é…
- ÀͽºÇ÷ÎÀÕ °ø°Ý °ËÁõ(Proof-of-Exploit) ¸®Æ÷Æà = ´ÙÀ̳»¹ÍÇÑ Æò°¡ ¿ª·®À¸·Î °ø°Ý¿¡ Ãë¾àÇÑ ºÎºÐÀ» ¹ß°ß, ¼öÁ¤ ¹× °ËÁõ. ½ÇÁ¦ °ø°Ý »óȲÀ» ½Ã¹Ä·¹ÀÌ¼Ç ÇØ API ÄÝ(Call), ¸Þ¼Òµå ÄÝ(Method Call) ¶Ç´Â Ãë¾àÁ¡ Æ®·¹À̽º¸¦ Á¤È®È÷ ¤¾î ³½´Ù.
- º¸¾È ¼³°è(Secure by design) = »õ·Î¿î À§Çè ³ëÃâ ¹× Æò°¡ ±â´ÉÀº ¸ðµç Äڵ尡 º¯°æµÉ ¶§¸¶´Ù ÀáÀçÀû À§Çè ¶Ç´Â ½ÇÁ¦ È®ÀÎµÈ À§ÇèÀÎÁö ¾Ë·Á °¡½Ã¼ºÀ» Á¦°øÇÑ´Ù. À̸¦ ÅëÇØ °³¹ßÀÚ´Â ½Å¼ÓÇÏ°Ô º¹Á¦, ±³Á¤, ¹× °ËÁõÇÒ ¼ö ÀÖ´Ù.
- Áï°¢ÀûÀÎ ÅõÀÚ¼öÀÍ = ´º·¼¸¯ IAST´Â ÀüÀûÀ¸·Î »ç¿ë·® ±â¹Ý °ú±Ý ¸ðµ¨·Î ÀÌ¿ëÇÒ ¼ö ÀÖ´Â À¯ÀÏÇÑ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ¼Ö·ç¼ÇÀ̸ç, ÀÌ¿¡ ÀÌ¿ëÀÚµéÀº ¼³Ä¡¿¡ ¸î´ÞÀ̳ª ¼Ò¿äµÇ´Â º¸¾È ¼ÒÇÁÆ®¿þ¾î¸¦ Ãß°¡·Î ÀÌ¿ëÇÒ ÇÊ¿ä°¡ ¾ø´Ù.
- ÀνºÅÏÆ® ÀÓÆÑÆ® ºÐ¼®(Instant Impact Analysis) = Ãë¾à¼º °ü¸®(New Relic Vulnerability Management) ÇÁ·Î±×·¥°ú ÅëÇÕµÈ APM ÅÚ·¹¸ÞÆ®¸®¸¦ ÀÌ¿ëÇØ ¸®½ºÅ©¸¦ È®ÀÎÇÏ°í ÇØ´ç ¸®½ºÅ©ÀÇ ÀáÀçÀûÀÎ ½É°¢µµ¿Í Ãë¾à¼º¿¡ ÀÇÇØ ¿µÇâ¹Þ°Ô µÇ´Â ¾ÖÇø®ÄÉÀ̼ÇÀÇ ¼ö¸¦ ÆÄ¾Ç °¡´ÉÇÏ´Ù.
´º·¼¸¯ IAST´Â ´º·¼¸¯ÀÇ ¿ÃÀοø ¿ÉÀú¹öºô¸®Æ¼ Ç÷§Æû »ó¿¡¼ ¹Ù·Î »ç¿ëÇÒ ¼ö ÀÖÀ¸¸ç ÇÁ·Î±×·¥ ¼³Ä¡¸¦ À§ÇÑ ¿¡ÀÌÀüÆ®°¡ ÇÊ¿ä¾ø°í »ç¿ë·® ±â¹Ý °ú±Ý ¸ðµ¨·Î Á¤½Ä ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù.
ÀÌ Á¦Ç°À» ÀÌ¿ëÇÏ°íÀÚÇÏ´Â °æ¿ì, ´º·¼¸¯ ¾îÄ«¿îÆ® ´ã´çÀÚ¿¡°Ô ¹®ÀÇÇϰųª ¹«·á ȸ¿ø °¡ÀÔÀ» ÅëÇØ ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù.
±âÁ¸ ÀÌ¿ë ±â¾÷Àº ´º·¼¸¯ °èÁ¤¿¡ ·Î±×ÀÎÇØ ÇÁ¸®ºä ¹öÀüÀ» È®ÀÎÇÒ ¼öµµ ÀÖ´Ù. ·¹°Å½Ã ¹× »çÀÌÆ® ¶óÀ̼¾½º °èÁ¤Àº ÇÁ¸®ºä¸¦ À§Çؼ´Â »ç¿ë·® ±â¹Ý °ú±Ý ¸ðµ¨·Î º¯°æÇØ¾ß ÇÑ´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |