피에르 노엘 MS 아시아총괄 CSO, MS SDL 적용사례 발표

[보안뉴스 김태형] “현재 운영체제 보안은 점점 더 강화되고 있어 해커들이 노리는 것이 SW, 즉 애플리케이션으로 바뀌고 있다. 앞으로는 이러한 애플리케이션단의 공격을 막기 위해서 SW 개발단계, 즉 SDL(Secure Development Lifecycle)에서 부터 보안을 생각해야 한다.”

피에르 노엘(Pierre Noel) MS 아시아총괄 CSO는 28일 개최된 ‘2012 SW 개발보안 컨퍼런스’에서 이와 같이 말하고 “지난 20년간 해커들의 공격 방법이 점차 진화했고 다앙해졌다”고 덧붙였다.

   ▲ 웹 사이트를 통해 심플한 MS SDL을 다운로드 받아 활용할 수 있다.

즉, 최근에는 그냥 자기능력을 과시하는 실력 있는 해커, 공격을 통해 금전적 이익을 취하려는 마피아 같은 해커. 그리고 다른 나라를 공격하기 위해서 훈련 받은 해커 등 다양한 공격자들이 존재한다는 것.

특히, 마피아와 같은 해커들은 공격에 시간과 에너지를 투자하면서 이를 회수하기 위해 공격을 통해 얻은 신용카드 정보와 아이디, 은행계좌 등의 정보들을 각각 적게는 50센트에서 많게는 1,000달러에 판매한다고 그는 설명했다.  

이에 앞으로 SW를 개발할 때 더욱 안전을 고려해야 하고 이를 위해서는 SDL 적용이 필수라는 것.

피에르 CSO는 “그동안 MS도 SW 개발 보안에 많은 노력을 기울였다. MS는 윈도우 비스타 개발부터 SDL을 적용했으며, 현재는 MS가 내놓는 모든 SW에 SDL이 적용돼 있어 보안이 강화됐다”면서 “SDL을 적용했다고 완벽한 보안은 아니지만 SDL을 적용한 후에 취약점이 현저하게 줄어들었다”고 설명했다.

그는 “SDL은 SW 출시 전에 소스코드를 점검해 보안 취약점이 발생하지 않도록 하기 위한 개발 프로세스다. 개발자는 SW의 보안 취약성을 예방하기 위해 SDL에 따라 잠재적인 보안문제가 될 수 있는 소스코드를 점검하고 오류나 문제를 수정한다. 현재 MS SDL을 활용하는 기업은 어도비, 시스코, 인벤시스 등이 있다”고 설명했다.

다시 말해 SDL은 SW의 위험한 부분에 대한 해결책을 제시한다. 위험이나 문제있는 부분을 미리 예측하고 미연에 예방책을 구현할 수 있다는 얘기다.

대부분의 기업들은 방화벽 등 다양한 보안장비를 구축해 놓고 있다, 하지만 이러한 보안장비가 완벽하게 구축되어 있다고 해도 애플리케이션의 코딩 자체가 취약하다면 공격자가 애플리케이션을 공격하는 것은 아주 쉬운 일이라는 게 그의 지적이다.  

MS는 현재 미국 정부, 아시아 정부들에게 MS의 SDL을 표준으로 도입하기 위해 논의 중에 있으며 국제 표준인 ISO 인증을 받기 위한 노력을 진행 중인 것으로 알려졌다. 그는 “한국도 이제 SW 개발 보안이 의무화됐고, 이를 적용해야 하기 때문에 SDL을 적용한다면 한국의 SW에 대해서 보안성에 대한 신뢰성을 확보하고 보안 수준을 높일 수 있을 것”이라고 강조했다.

한편, MS는 MS SDL을 간편하게 다운로드 받아 적용할 수 있도록 MS SDL 포털이나 MS SDL 블로그 등을 통해 제공하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>