전 세계 오픈소스 기반 웹, 애플리케이션, 소프트웨어 보안 표준 기술을 선도하고 있는 OWASP의 한국 챕터는 개발된 코드 보안문제를 분석할 수 있는 “OWASP 코드 리뷰 가이드 V1.1“ 공식 한글판을 발간했다고 밝혔다.
 
현재 많은 조직에서 사업적인 목적으로 자체적인 애플리케이션을 개발하고, 보안 취약점을 방어하기 위해 침투시험, 보안장비 설치 등의 방어책을 적용하고 있지만, 보안 위험성을 완전히 해결하였는 지에 대해서는 자신하지 못하고 있으며, 외부의 공격에 노출되어 있다. 애플리케이션의 보안 문제를 확실히 해결할 수 있는 방법은 침투시험, 코드 개발시 보안가이드 뿐만 아니라, 개발된 코드를 검토하여 취약점을 제거하는 작업이 중요하다.
 
이번 OWASP 코드 리뷰 가이드는 애플리케이션 보안성을 향상하기 위해 공격 접점을 파악하고, 애플리케이션 취약점, 운영환경 및 개발환경까지 코드 자체에 내재하는 보안 문제점을 분석하고 취약점을 방어할 수 있는 방법을 제시하고 있다.
 
또 .NET, 자바, ASP등 다양한 개발 언어에 대해서 SQL 인젝션, 크로스사이트 스크립팅(XSS) 등 OWASP Top 10 애플리케이션 취약점에 대한 상세 코드 리뷰 방법뿐만 아니라, 데이터베이스, 로그기록관리, 플래쉬, 버퍼 오버플러우와 같은 다른 중요 취약점을 제거하기 위한 상세 샘플 코드도 포함하고 있어 애플리케이션 개발자 뿐만 아니라 조직의 품질관리부서에서 본 가이드의 활용하면 효과가 클 것으로 기대된다.
 
이번 프로젝트를 주도한 코리아 챕터 최용식 이사는 “보안 공격 기법은 급변하고 있어 전통적인 방어 대책이 유용하지 않을 수 있지만, 소프트웨어 코드에서 취약점을 방어할 수 있다면 대부분의 공격을 예방할 수 있다. 그동안 취약점 정보에 비해 애플리케이션 보안 가이드가 부족했던 국내에서, 본 가이드를 통해 소프트웨어 보안 기술을 한 단계 업그레이드 할 수 있을 것으로 기대한다”고 밝혔다.
 
코드 리뷰 가이드는 2008년에 버전 1.1이 출간되어, 애플리케이션 취약점을 방어할 수 있는 표준 가이드 역할을 하였으며, OWASP 코리아 커뮤니티에서는 2013년부터 2015년 6월까지 약 2년간 19명으로 구성된 전문가들의 연구, 번역 및 감수를 통해서 OWASP 코드 리뷰 가이드 한글판이 완성되었다.
 
이번 코드 리뷰 한글판 번역 및 감수 프로젝트는 OWASP 회원인 성윤기, 이효상, 김태균, 김휘영, 이상신, 이진영, 서완석, 이숙정, 장상민, 전영재, 정진, 진수희, 최훈진, 최만균, 박양환, 서영덕, 송보영, 이인상, 임성현 회원들이 공헌했으며, 보안전문기업 엔시큐어(대표 문성준)에서 공식 후원했다.
 
이번에 발표된 한글판은 OWASP 코리아 홈페이지 프로젝트 페이지(www.owasp.or.kr/projects)에 업로드되었으며, 누구나 다운로드 받을 수 있다. 또 데일리시큐 자료실에서도 다운로드 가능하다.
 
OWASP(www.owasp.org)는 웹/애플리케이션/소프트웨어 보안 기술을 논의하는 전 세계 전문가로 구성된 비영리 단체로 2004년에 설립되었다. OWASP는 전 세계 전문가가 자발적으로 참여하여 오픈소스 도구개발, 표준 문서 개발 등 약 200여개의 프로젝트가 진행되고 있다.
 
또한 모바일 보안, IoT 보안, 프라이버시 등 최신의 보안 이슈를 해결하기 위해 노력하고 있다. 코리아 챕터(www.owasp.or.kr)에서는 2011년에 결성되었으며, 2013년에는 ‘OWASP Top 10’ 공식 한글본 출간 및 OWASP 아시아 태평양 컨퍼런스 개최 등 연 2-3회 정기 워크샵을 개최하고 있다. 코리아 챕터는 올해 6월에서 부산에서 OWASP 코리아데이 2015 컨퍼런스 개최하였으며, 국내 보안 기술력향상을 위해 정기 워크샵 개최 및 IoT 등 다양한 기술문서를 발간할 계획이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com