주기적인 취약점 분석 의무화 돼 있어

[보안뉴스= 이창현 소프트와이드시큐리티 과장] 웹사이트 취약점 분석은 행정안전부의 정보통신기반 보호법 제9조(취약점 분석, 평가)에 의해 의무화되어 있다.

이는 ‘주요정보통신기반시설 취약점 분석·평가 기준’ 문서로 시행 방법에 대해서 안내하고 있으며 해당 내용을 보면 최초 주요정보통신기반시설로 지정된 첫 회는 6개월 이내에 취약점 분석 평가를 실시, 그 이후에는 2년마다 정기적으로 취약점 분석 ·평가를 실시하도록 되어있다. 하지만 정기 취약점 분석 ·평가를 실시하지 않는 연도에는 ‘간이 취약점 분석 ·평가’ 또는 ‘임의 취약점 분석·평가’에 대해 실시하도록 되어 있다.

일반적으로 웹 애플리케이션의 취약점을 점검하는 방법은 점검 툴을 사용하는 방법과 사람이 테스트 하는 방법 두 가지로 나뉘게 된다. 여기서는 취약점을 효과적으로 점검하는 방법을 설명하기 위해 툴을 이용한 취약점 점검 방법에 대해 알아보겠다.

툴을 이용하여 취약점을 점검하는 방법도 두 가지로 나뉘게 된다. 점검하는 방식에 따라 ‘White Box Test’와 ‘Black Box Test’로 나눌 수 있다. 원 White Box Test는 소스코드의 구문을 분석하고 흐름을 따라 점검하며 구문 흐름 중에 조치 여부를 판단해 취약점을 확인하는 방식이며 웹 애플리케이션 전체 페이지를 점검할 수 있지만 점검환경을 구현하기가 까다롭고 테스트 정책 항목이 많지 않다.

Black Box Test는 웹 서버에서 실행되고 있는 웹 애플리케이션을 브라우저 형태로 접속해 사용자가 입력 값을 정의하는 부분에 테스트 요청을 입력해 서버에서 응답하는 결과로 취약점을 확인하는 방법이며 점검하는 취약점 정책항목이 많고 White Box Test보다 점검결과가 간결하게 나오지만 점검되지 않는 페이지가 나타날 수 있다.

위 두 가지 점검방법은 모두 장단점을 가지고 있으며 점검하는 방법이 틀리기 때문에 점검되는 취약점 항목 역시 중복되나 결과가 완전히 달라질 수 있다. 웹 애플리케이션의 취약점을 효과적으로 분석하기 위해선 소프트웨어 개발주기(SDLC:Software Developer Life Cycle)내에서 두 가지 방법을 적용하여 웹 애플리케이션을 개발할 때부터 배포하기 전에 취약점 점검을 수행하고 취약점을 조치하는 것이다.

그러면 취약점 점검도구인 White Box Test와 Black Box Test는 개발주기 내에 어떻게 사용 되어야 하는지 살펴보면 개발주기는 크게 기획-디자인-개발-테스트-배포 5단계로 나뉘게 된다.

개발단계에서는 개발자가 코딩한 일부 구문만으로도 White Box로 점검할 수 있기 때문에 유용하게 점검할 수 있으며 테스트와 운영단계에서는 웹 서버를 구동하기 때문에 Black Box를 이용해 취약점 점검을 하는 것이 좋다. 또 운영단계에서 Black Box를 이용한 주기적인 취약점 점검으로 신규 취약점에 대한 내용을 확인하고 조치해 안전한 웹 애플리케이션을 운영할 수 있다.

웹 애플리케이션은 취약점 조치를 개발 공정의 앞 단계일수록 비용 절감 효과를 높일 수 있다고 정통부에서 밝힌 바 있다. 비용절감 효과는 설계 단계에서 보안을 고려했을 경우 21%, 개발단계에서 15%, 테스트 단계에서 12%의 비용을 절감할 수 있다고 한다. 효과적인 웹 애플리케이션의 취약점 점검은 개발주기 내에서 전체적으로 이루어져야 하며 각 주기에 따라 적절한 점검 툴을 사용해야 한다.

[글_이 창 현 소프트와이드시큐리티 과장(lch@softwidesec.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>