[보안뉴스 김정완] 플랫폼으로서의 웹이 지속적으로 영역을 확대해 가고 있다. 크롬 브라우저가 탑재된 노트북이 출시되고 있으며 SNS를 기반으로 다양한 서비스가 개발되고 있다. 이에 따라 신규 웹 플랫폼에 나타나는 보안 이슈 및 프라이버시 이슈 발생은 자명하다.

이렇듯 웹 플랫폼의 진화에 따라 나타나는 보안 위협에 대응하기 위해서는 건강한 소프트웨어(Secure Software) 구현과 시큐어 코딩(Secure Coding) 등을 활용해 사전 방어와 예방책이 마련돼야 하겠다.

최진영 고려대학교 교수는 이러한 웹 플랫폼의 진화에 따른 보안위협에 대해 발표하면서 그에 따른 대응책 등을 내놓았다.

최진영 교수는 IT 보안 및 IT 거버넌스 전문교육기관 ITL-SANS Korea(대표 진수희)와 정보보호 전문회사 씨드젠(대표 김휘영)이 공동으로 13일, 삼성동 코엑스에서 개최한 ‘지능형 지속 해킹 공격(APT) 및 웹 플랫폼 위협 대응 전략 세미나’에서 ‘웹 플랫폼의 성장과 보안 위협’이란 주제로 발표했다.

우선 최진영 교수는 웹의 발전에 대해 개괄적인 설명을 하고 판다 보고서 및 마이크로소프트(MS) 보고서, 블루코트 악성코드 생태계 조사 보고서를 통해 웹 플랫폼의 성장에 따라 나타나는 보안 위협에 대해 설명했다.

또한 최진영 교수는 최근 발생한 소니와 RSA, 시티은행 보안사고를 통해 사고 원인에 대해 진단하고 (ICS)2의 보고를 인용해 “보안 침해의 약 75% 이상이 응용 소프트웨어와 관련돼 있고 소프트웨어 보안 결함으로 연간 1,800억 달러의 손실이 발생하고 있다”며 “프로그램 개발 시 보안을 처음부터 고려하고 구현해야 한다는 인식이 없다는 것이 문제의 핵심”이라고 발표했다.

아울러 최진영 교수는 △시스템 내 허점, 오류, 에러 △공격자가 그러한 결점에 접근 △공격자가 정보를 수정하거나 획득(exploit) 이상 세 가지 요소를 만족하는 취약점을 없애기 위한 방법으로 “해커가 원하는 정보를 보관하지 않는 것이 가장 좋겠지만 그렇지 못하다면 최소한의 암호화를 통해 보호할 필요가 있으며 위협모델링 등의 구조적 약점을 보강하는 한편 허점, 오류, 에러가 없는 프로그램인 건강한 SW(Secure SW)를 구현할 필요가 있다”고 밝혔다.

한편 이날 발표를 통해 최진영 교수는 “웹 플랫폼의 진화·발전에 따라 나타나는 보안 위협에 대해 사후대처에는 한계가 있는 만큼 사전에 방어·예방에 중점을 둘 필요가 있다”며 “그러한 사전 방어·예방을 가능하게 할 수 있는 시큐어 SW 구현과 시큐어 코딩 활용 등이 필요하다”고 결론지었다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>