2024-03-29 01:25 (금)
OWASP, “보안 고려않는 개발관행 사라져야”
상태바
OWASP, “보안 고려않는 개발관행 사라져야”
  • 길민권
  • 승인 2011.07.10 13:56
이 기사를 공유합니다

김휘영 OWASP 한국 챕터 홍보분과 이사 인터뷰
“시큐어 코딩 가이드 적극활용해 보안문제 개선되길 희망”
OWASP(The Open Web Application Security Project) 코리아 챕터의 첫번째 산출물인 ‘OWASP 시큐어 코딩 규칙 참고 가이드 v2.0 한글판’이 지난달에 공개됐다.
 
이번에 발표된 한글판 가이드는 소프트웨어 개발 생명주기의 한 부분으로 통합해 사용할 수 있는 일반적인 소프트웨어 보안 코딩 규칙을 체크리스트 형태로 정의하고 있다. 가이드에서는 이 규칙을 적용한다면 가장 일반적인 소프트웨어 취약점을 완화시킬 수 있다고 밝히고 있다.   
 
OWASP 한국 챕터 홍보분과 김휘영 이사와 함께 OWASP 코리아의 다양한 임무와 이번에 발표한 시큐어 코딩 가이드에 대해 몇가지 질의응답 시간을 가졌다.
 
OWASP이란 어떤 일을 하는 조직인가?
OWASP(The Open Web Application Security Project)는 오픈 웹 어플리케이션 보안 프로젝트라는 이름으로 웹 응용 보안을 연구하는 비영리 단체이다. 미국에서 2001년 12월에 처음 온라인(www.owasp.org) 조직으로 시작하였으며, 이후 2004년 4월에 처음 정식 비영리 법인으로 출범하여 아래와 같은 웹 응용 보안에 관련된 연구를 수행하는 기관이다.
 
주요 업무는 웹 응용 보안 시험 도구 및 표준 문서 발간, 웹 응용 보안 시험, 안전한 코드 개발, 보안 코드 검토와 관련된 서적 발간, 표준 보안 통제와 라이브러리, 챕터 운영 및 교류, 전 세계 웹 응용 보안 컨퍼런스(AppSec) 개최 등이다.
 
OWASP는 OPEN(개방), INNOVATION(혁신), GLOBAL(세계적), INTEGRITY(헌신)라는 핵심가치를 기치로 전 세계적으로 챕터를 조직 운영하고 있다. OWASP 이사회, 글로벌 위원회, 지부대표, 프로젝트 리더와 프로젝트 회원을 포함하여, OWASP에 참여하는 거의 모든 분들은 자원봉사자들로 구성되어 활동을 하고 있다.
 
코리아 챕터는 어떻게 구성됐고 분과별로 어떤 일을 하고 있나?
코리아 챕터는 2010년 11월에 설립 위원회를 구성하여 첫 회의를 가진 후, 2011년 1월에 OWASP 코리아 챕터 이사회를 구성하여 본격적인 활동을 하고 있다. OWASP 한국 챕터는 글로벌 조직과 동일하게 7개의 분과로 구성되어 있으며 분과별로 다양한 일을 담당하고 있다. 그리고 향후 홈페이지를 공개할 예정이며 2011년 10월에는 처음으로 OWASP 코리아 챕터 세미나를 개최할 예정이다. 또 2012년 10월에는 글로벌 컨퍼런스를 개최할 예정으로 있다.
 
▶프로젝트 분과: 현재 OWASP 추진 프로젝트(도구개발, 문서개발)에 대한 관리 및 OWASP 프로젝트 결과물을 커뮤니티에 배포 담당
▶회원 분과: 회원 관리 및 확대, 관리를 위한 정책, 절차, 전략 수립 담당
교육 분과: 교육 서비스 기획, OWASP 교육을 산업계, 정부, 학계에 교육 서비스 제공 담당
▶컨퍼런스(conference) 분과: 국내외 컨퍼런스(conference) 장소, 시기, 발표자, 주제 등 담당 (컨퍼런스(conference)는 Global conferences Committee Governance 문서에 따라 진행함)
▶챕터(chapter) 분과: 챕터에 전체적인 관리 주관 (자금 관리, 회의 일정 관리, 챕터 마케팅, 챕터 설립/관리 등) 담당
▶산업분과: 산업계에 소프트웨어 보안 베스트 프랙티스를 활용하도록 인식확산 및 진흥 및 다른 기관과의 연계, 발표 담당
▶홍보 분과: OWASP 커뮤니티 간 연락/관계 구축, OWASP 기구, 행사, 프로젝트 홍보, OWASP 뉴스레터 발송, OWASP SNS 활동, OWASP와 다른 컨퍼런스 참가 활동 담당
 
이번에 공개한 시큐어 코딩 규칙 가이드의 의미가 있다면?
현재 보안 사고와 관련된 비용을 따지지 않더라도, 소프트웨어 패키지가 완성된 후 보안 문제를 수정하는 것보다 안전한 소프트웨어를 개발하는 것이 비용이 저렴하다. 본 시큐어 코딩 규칙 가이드는 소프트웨어 개발 생명주기의 한 부분으로 통합하여 사용할 수 있는 일반적인 소프트웨어 시큐어 코딩 규칙을 체크리스트 형태로 정의하고 있으며, 이 규칙을 적용한다면 가장 일반적인 소프트웨어 취약점을 완화시킬 수 있다고 생각한다.  
 
국내 소프트웨어 개발 환경에서 문제점이 있다면 어떤 것이 있을까?
현재 국내에서 소프트웨어 개발 프로젝트를 진행할 때 개발을 수행하는 업체(대형 SI업체 등)의 능력에 따라 보안성 평가를 수행하는 경우도 있지만, 전반적으로 보안에 대한 고려를 하지 않고 있다.
 
코드 구현 시 보안을 고려해 코딩을 수행하면 된다는 의식이 있지만 사실은 그렇지 않다. 설계 시점부터 고려되지 않은 보안은 우회할 수 있는 경로가 반드시 존재하며 이러한 경로를 통해 데이터 전체나, 외부 비 인가자에게 시스템의 권한을 탈취당할 수도 있다.
 
또한 기업 자체적으로 보안성 평가 및 시큐어 코딩에 대한 내용을 정책·지침으로 명시되어 있지 않는 기업이 많이 있다. 따라서 분석·설계 단계에서 보안성에 대한 평가가 필수적으로 수행되고, 그에 따른 테스트 계획이 만들어져서 보안성을 평가한 후, 단계별로 제대로 해당 작업이 수행되었는지 테스트를 수행해야 한다.
 
시큐어 코딩을 하지 않아 발생하는 문제점들은 어떤 것들이 있나?
OWASP의 경우, 웹 주요 취약점에 대한 내용이니 해당 내용에 대한 시큐어 코딩을 하지 않는 경우는 주요 웹 취약점에 노출될 가능성이 높아진다. 우리가 잘 알고 있는 XSS, SQL 인젝션 등에 노출될 가능성이 높아져서 해당 취약점을 통한 해킹의 위험이 커진다. 그리고 설계상의 문제로 인해 보안 문제점이 있다는 것을 발견해도 유지보수 비용이 증가하거나, 손 쓸 수 없는 경우까지 다다르게 된다.
 
국내 개발자들에게 당부하시고 싶은 말이 있다면?
“개발자는 기능 구현에 최우선의 노력을 하고 보안은 후 순위의 작업이다"라는 의식에 문제가 있다. 아무리 좋은 기능이 있는 프로그램이라도 그 프로그램의 데이터를 쉽게 유출하거나 조작할 수 있다면 결국 해당 프로그램의 데이터 신뢰도에 심각한 문제가 발생하기 때문에 사용할 수 없을 것이다. 중요 데이터 처리 시스템일수록 데이터의 처리 능력뿐 아니라 데이터의 무결성도 중요한 요소다. 무결성을 보장하기 위한 보안 노력도 반드시 필요하다.
 
개발자들이 이번 가이드를 어떻게 활용하면 개발 시에 도움이 될까?
두 가지 관점에서 활용을 하면 좋을 것 같다. 먼저, 기업에서 중요성을 의식해서 해당 내용을 정책/지침에 반영하여 주기적인 점검을 통해 위험성을 낮춰가야 한다고 생각한다. 또 다른 한가지는 프로젝트 개발 초기 단계에 가이드를 바탕으로 한 개발 교육을 실시한다면 개발자들의 인식제고를 함양하는데 도움이 될 것이다. [데일리시큐=길민권기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★