저비용으로 안전하게 웹사이트 보안 강화할 수 있도록 지원

웹사이트 활용 기업 최종 고객들 개인정보 해커로부터  보호

IBM은 웹사이트 활용과 전자상거래량이 늘어나고 있는 가운데, 관심을 모으고 있는 보안 및 컴플라이언스에 관한 기업들의 고민을 덜어줄 솔루션을 발표했다.

기업들은 글로벌 환경에서 자사 웹사이트에 풍부한 기능을 제공하기 위해 웹(Web) 2.0 기능을 적극적으로 적용하고 있지만, 동시에 보안 취약점의 위험에도 함께 직면하고 있다.

IBM이 발표한 ‘래쇼날 앱스캔(Rational AppScan)’ 소프트웨어는 기업들이 웹 2.0 기반 애플리케이션을 지속적으로 테스트, 보안 취약점을 사전에 포착해 보완할 수 있도록 지원한다. 이는 궁극적으로 기업들이 고객에게 제공하는 웹 경험을 해커로부터 안전하게 보호할 수 있도록 돕는다. 또한, 래쇼날 앱스캔에 새롭게 추가된 기능들은 기업 웹사이트를 방문하는 고객들이 각종 규제 사항을 준수하고 비즈니스 정책들을 충족시킬 수 있도록 지원하게 된다.

웹 2.0 / SOA 취약점으로부터 온라인 비즈니스를 안전하게 보호

최근 발표된 2008 IBM X- Force 트랜드 보고서에 따르면, 보고된 보안 취약점 사례의 절반이 웹 애플리케이션에 기반하고 있다. 즉, 웹 애플리케이션은 보안 분야에서 가장 취약한 분야로 드러났다.

이러한 상황에서 기업들은 더욱 적극적으로 웹 공간을 고객들과의 대표적인 커뮤니케이션 창구로 내세우고 있으며, 오늘날 글로벌 경제에서 새로운 기회를 만들어내는 창구로 활용하고 있다. 또한, 많은 기관들은 경쟁력을 유지하기 위해 어도비 플래시(Adobe® Flash®) 플랫폼이나 AJAX (Asynchronous JavaScript and XML)와 같은 기술에 기인한 새로운 웹 2.0 기능들을 활용, 보다 쌍방향적이며 풍부한 그래픽의 웹사이트를 구축하고 있다.

또한 기업들은 이러한 기술들의 매우 동적이고 다변적인 속성으로 인해, 온라인 비즈니스의 컴플라이언스와 보안 요구 사항을 충족시켜야 하는 새로운 과제에 직면하게 되었다. 해커와 사이버 범죄자들은 인터넷 상에 널리 퍼진 웹 2.0 기술을 공략하고 있다.

선제적 예방을 지원하는 IBM 래쇼날 앱스캔 소프트웨어

웹 비즈니스 보안 취약점의 대부분은 선제적 보안으로 예방하거나 피할 수 있다. IBM은 ‘래쇼날 앱스캔 스탠더드 에디션(Rational AppScan Standard Edition) 7.8’ 소프트웨어를 발표하고, 기업들이 플래시 기반의 다양한 웹 콘텐츠 및 애플리케이션 보안의 허점을 사전에 검사하고 테스트할 수 있게 해주는 신기능들을 소개했다. 이 소프트웨어는 AJAX 기술로 구축된 웹사이트들의 검사도 지원한다.

어도비 시큐어 소프트웨어 엔지니어링(Adobe Secure Software Engineering)팀의 브래드 아킨(Brad Arkin) 팀장은 "어도비 플래시 플랫폼 기술을 사용하는 기업들이 점점 늘어나고 있는 상황에서, IBM 래쇼날 앱스캔 소프트웨어는 콘텐츠 제작자들이 선제적 보안에 나설 수 있도록 지원할 것"이라며, "이제 기업들은 초기 개발 단계에서 잠재적인 문제점들을 검사하고 테스트함으로써, 보안 및 컴플라이언스 문제점들이 현실화되기 이전에 이를 예방할 수 있게 되었다." 고 밝혔다.

IBM 래쇼날 앱스캔은 복잡한 서비스지향아키텍처(SOA; Service Oriented Architecture) 애플리케이션도 지원함으로써, 웹서비스도 웹 애플리케이션과 동일한 취약성에 직면할지 모른다는 기업들의 우려를 덜어주고 있다. IBM의 새로운 기술은 다양한 기업, 기관들이 제공하는 핵심 웹 서비스들을 검사할 수 있는 역량을 제공한다. 이는, SOA 환경에서 테스팅 지원 사양의 가능성을 한 단계 끌어올리는 매우 의미있는 발전이다.

컴플라이언스와 보안의 ┖지속적인┖ 관리

IBM 은 이번 래쇼날 앱스캔 신버전에서 새로운 위험 평가관리 기능을 선보였다. 새 기능은 고객들이 보안 취약점의 위치를 보다 쉽게 파악, 추가 위험 요소를 사전에 제거하기 위해 적절한 조치를 취할 수 있게 해 준다.

IBM 자체 연구 결과에 따르면, 래쇼날 앱스캔 사용자들은 보안 검색 결과를 관리하는 데 업무시간의 80%를 투입하고 있다. 문제점을 발견한 이후에도, 그 문제점을 이해하고, 정확한 위치와 심각성을 파악하며, 다른 팀과 적절한 대처 방안을 논의하는 데도 어려움을 겪을 수 있다. IBM 래쇼날 앱스캔은 비전문가들도 이해할 수 있는 일반적인 언어로 정리된 결과물을 사용자들에게 제공함으로써, 시간ž비용 효율적인 보안ž컴플라인언스 관리를 지원한다.

IBM ‘래쇼날 앱스캔 온디맨드(Rational AppScan OnDemand)’ 제품군을 통해 제공되는 새로운 모니터링 기능은 사용자들이 취약점을 포착해 감지할 수 있도록 지원함으로써, 훨씬 쉽고 빠르게 결함을 수정하고 컴플라이언스를 유지할 수 있도록 돕는다. 이는 특히 잦은 웹사이트 업데이트로 인해 지속적인 보안 취약점 검사가 요청되는 기관들에게는 필수적인 기능이다. 예를 들어, 매 15분마다 웹사이트를 업데이트하는 대기업의 경우 자동적으로 한 시간마다 네 번씩, 즉 하루 96번씩 온라인 애플리케이션을 모니터링함으로써 고객들에게 보다 안전한 웺 서핑 경험을 제공할 수 있게 된다.

또한 문제점이 발생할 때마다 보안 경고를 휴대폰으로 전송, 신속하게 취약점을 보완할 수 있도록 지원될 예정이다. 예전의 경우 보안 전문가들은 제작 전에만 애플리케이션을 테스트했기 때문에 애플리케이션 도입 이후에 생길 추가적인 위험요소는 해결할 수 없다는 문제점이 있었다. 기관들이 컴플라이언스 유지에 실패하거나 고객 데이터를 해커들에게 노출시켰을 경우의 시간ž비용 손실의 심각성을 고려할 때, 오늘날 역동적인 애플리케이션을 다루는 데는 스피드와 즉시성이 필요하다. IBM 래쇼날 앱스캔 온디맨드는 고객들이 안심하고 그들의 웹사이트를 보호하며 컴플라이언스 관련 위험 요소를 관리하도록 지원한다.

컴플라이언스와 보안의 ┖전 과정에 걸친┖ 관리

기업들은 애플리케이션 도입에서부터 제작 후에 이르는 전체 소프트웨어 서비스 적용 과정 동안 지속적으로 보안테스트를 수행함으로써 비용을 절감할 수 있다. 버그가 있거나 품질이 좋지 않은 소프트웨어는 매년 수십억 달러의 추가 비용을 발생시키고 있으며, 사용하고 있는 소프트웨어 제품의 문제점을 발견하고 수정하는 데는 한 건당 1만 6천 달러 이상의 비용이 소요된다. 최근 발표된 IBM ‘래쇼날 퀄리티 매니저(Rational Quality Manager)’ 소프트웨어에 IBM ‘래쇼날 앱스캔 테스터 에디션(Rational AppScan Tester Edition)’ 을 적용하면, 소프트웨어의 개발 적용 과정에 보안 및 컴플라이언스를 위한 테스트 단계를 포함시킬 수 있으며, 이를 통해 소프트웨어 적용 과정의 다른 단계에서 만났다면 더 많은 비용이 들어갔을 문제점들을 사전에 해결할 수 있게 된다.

IBM 래쇼날 소프트웨어 총괄임원 다니엘 사바(Daniel Sabbah) 박사는 "정부 차원에서 기업들에게 보안 테스트 기능을 갖춘 소프트웨어의 사용을 의무화하는 동향이 나타나고 있으며,  특히 애플리케이션 보안은 선택이 아닌 필수 컴플라이언스 사항이 돼가고 있다" 라며, "현재 기업들은 어느 때 보다 보안과 컴플라이언스를 최고 우선순위로 고려하고 있는 바, .IBM은 웹 2.0 / SOA 애플리케이션 개발 과정에서 지속적인 보안 테스팅 기능의 지원을 통해 비용을 절감하고 위험 요소를 철저히 관리하는 한편, 기업 최종 고객들의 온라인 서비스 경험 향상을 위해 지속해서 지원할 예정"이라고 말했다.

IBM 래쇼날은 개발에서부터 테스트, 적용, 운영에 이르는 애플리케이션 적용의 모든 분야를 아우르는 보안 솔루션을 제공하고 있다. 보다 자세한 정보는 www.ibm.com/software/rational/offerings/websecurity/에서 확인할 수 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>