2019-11-17 22:21 (일)
[PASCON 2016] “75%의 사이버 공격은 웹 어플리케이션을 타깃으로”
상태바
[PASCON 2016] “75%의 사이버 공격은 웹 어플리케이션을 타깃으로”
  • 길민권 기자
  • 승인 2016.11.03 07:30
이 기사를 공유합니다

리마 정윤석 상무 “어플리케이션 보안, 개발자가 시큐어코딩 도구 사용하는 것”

데일리시큐가 주최하는 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2016이 27일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업 보안실무자 700여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 리마 정윤석 상무는 ‘어플리케이션 보안, 시큐어코딩을 통한 보안수준 강화 방안’을 주제로 발표를 진행했다.

리마 정윤석 상무는 “어플리케이션에 대한 사이버 공격 위협은 심각한 수준이다. 75%의 사이버 공격은 웹 어플리케이션을 타깃으로 하고 있으며, 기존의 어플리케이션 중 약 80%가 이미 중대한 취약점에 노출되어 있다는 조사가 있다”며 “이렇듯 어플리케이션 보안이 중요함에도 불구하고, 아직 많은 조직들이 어플리케이션 보안의 강화에 어려움을 겪고 있는 실정이다. 그 주요 이유는 첫째, 보안팀, 개발팀, 사업 운영팀 간의 의사소통 부족(권한 및 책임의 분산), 둘째, 경영진의 낮은 의지(낮은 우선순위), 셋째, 대상 어플리케이션이 너무 많아 파악이 쉽지 않다(너무 넓은 범위)는 점 등을 들 수 있다”고 설명했다.

그는 이어 “이러한 문제점을 해결하고 어플리케이션 보안을 강화하기 위해 필요한 것이 바로 개발자가 원하는 시큐어코딩 도구를 사용하는 것이다. 개발자가 사용하기 편하고, 개발자의 시간을 줄여주고, 다양한 어플리케이션을 커버하기 위한 자동화 프로세스를 제공하는 시큐어코딩 도구가 필요하다”며 “보다 구체적으로 첫째, 취약점을 검출해 수정하는 전체 소요 시간이 짧아야 한다. 둘째, 사용하기 쉬워야 한다. 셋째, 쉽게 수정할 수 있도록 효과적인 가이드라인 및 교육을 제공해야 한다. 넷째, 조직의 개발환경에 맞춰 룰을 자유롭게 수정할 수 있어야 한다”고 강조했다.

이스라엘 체크막스(Checkmarx)사의 Cx SAST는 개발자가 선호하는 시큐어코딩 도구로써, 컴파일 및 환경구성이 필요없고, 새로 생성한 코드만 스캔하는 증분스캔 기능을 제공하며, 최적의 수정지점을 제시하여 총 소요시간을 줄여준다.

또한 SDLC 내의 시스템과 연동하여 자동화 프로세스를 구현할 수 있고, 데이터플로우 그래프를 통해 높은 가시성을 제공하고, 스캔 비교를 통해 이행점검을 용이하게 한다. 마지막으로 조직의 개발환경에 맞춰 룰을 쉽게 수정/생성할 수 있게 한다고 그는 덧붙였다.

리마 정윤석 상무의 PASCON 2016 상세 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★