[보안뉴스 김태형] 시큐어코딩 솔루션의 선택기준으로 다양한 개발언어 분석, 다양한 점검 규칙, 소스코드 관리체계 구축, 웹보안성 강화 등이 제시됐다.

트리니티소프트 장용희 팀장은 8일 ‘시큐어코딩 솔루션의 선택기준’이라는 강연에서 이 같이 말했다.

장용희 팀장은 이날 발표에서 “지난 2013년은 다양한 침해사고가 발생했다. 특히 악성코드 은닉 사이트의 증가로 이를 이용한 해킹이나 홈페이지 변조 및 정보유출, 전산망 마비 사건 등으로 큰 피해를 봤다”면서 “또한 APT 공격으로 특정 기업이나 기관에 대해 지속적이고 지능적인 침해행위가 이어졌고, 파밍을 통해 가짜 웹사이트로 접속하도록 해 개인정보를 탈취하는 사례가 많았다”라고 설명했다.

이처럼 웹은 모든 사용자들에게 오픈되어 있는 구조이기 때문에 기본적인 취약성을 포함하고 있어 다양한 보안위협이 존재한다. 특히 최근엔 웹서비스의 전문화로 인해 금융·유통·공공 등 다양한 분야에서 웹 서비스가 이루어지고 있어 웹 취약점은 매우 심각한 피해를 가져올 수 있는 상황이다.

특히 이러한 취약점을 악용해 공격자들은 개인정보 또는 금융정보 등을 빼내고 금전적 이득을 취하고 있어 주요 타깃이 되고 있다는 것.

장 팀장은 “이러한 웹 취약성을 근본적으로 해결하고 보안을 강화할 수 있는 방안 중 하나가 시큐어코딩”이라고 강조했다.

이러한 시큐어코딩은 기존 모의해킹 서비스와 웹방화벽의 한계로 인해 필요성이 점차 증가하게 됐다. 이를 효과적으로 활용하면 개발 프로젝트의 시작 및 최종 검수단계, 그리고 개발 어플리케이션에 대한 소스코드 전수검사를 수행할 수 있어 보안이 강화된다. 이에 올해부터는 20억원 이상 규모의 공공기관 정보화 사업에 시큐어코딩이 의무화됐다.

시큐어코딩 점검 기준은 웹보안약점 등을 기준으로 OWASP 등을 따르고 있지만 안전행정부에서는 47개 항목의 점검기준 지침을 마련해 이를 기준으로 하고 있다. 특히 △SQL 인젝션 취약점 △에러메시지 노출 취약점 △보안결정을 신뢰할 수 없는 입력값에 의존하는 취약점 △신뢰하지 않는 URL 주소로 자동접속 연결 취약점 △버퍼사이즈 계산오류 취약점 등이 주요 점검 대상의 취약점이다.

장용희 팀장은 “시큐어코딩 솔루션을 효과적으로 선택하기 위해서는 다양한 개발언어 분석 지원뿐만 아니라 국내외 다양한 취약점 분석 및 점검규칙 지원, 자가 생성이 가능한 다양한 점검 규칙과 형상관리·배포통제 기능 등을 포함한 소스코드 관리체계 구축이 무엇보다 중요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>