| 필수적인 통합 ‘보안과 확장’ | 2007.05.23 | |
2007 Readers┖ Choice Award (4) 응용프로그램 보안에 대한 문제를 해결하기 위해서는 확장주기 안에서 대처해야 한다
상위 10위에 드는 금융기관의 전 최고 보안관리자였던 스티브 짐머만(Steve Zimmerman)은 2년 전의 합병이 온라인 뱅킹과 다른 인터넷형 응용프로그램의 출시를 쏟아지게 했던 것을 기억한다. 이들 자생적인 응용프로그램에 대한 침투검사와 취약성 검사는 걱정스럽지만 고칠 수 있는 결과들을 낳았다. 짐머만은 “우리가 알게 된 것은 우리에게는 훌륭한 프로그래머들이 있지만 그 중 많은 사람들이 보안이 필요하지 않은 내부 응용프로그램을 상대하고 있다는 것이다”라며 “그 확장의 끝에서는 침투 테스트만으로는 충분하지 않다는 것을 알게 되었다. 우리는 확장주기 내에서 고칠 수 있었던 너무 많은 오류들을 발견했다”고 말했다. 그는 보안을 확장과정과 통합하는 것이 피할 수 없는 것임을 알게 되었는데 이것은 코더의 속성과는 반대되는 것이다. 그리고 원래부터 그것은 험난한 길이었다. 사업은 새로운 응용프로그램의 출시일을 연장하는 장애물과 부딪히고 보안은 빠른 속도로 지원자에서 방해자가 되었다. 짐머만의 팀은 업무에 대한 지시사항을 공표하기보다 코더의 노력으로 보안증서와 균형을 유도하기 위한 현재의 위협과 도구에 대한 안내역할을 제공했다. 그는 “우리는 마지막에 문제를 고치려 하기보다 프로세스 과정에 개입해서 도움을 주기 위해 노력한다”며 “우리는 네이밍 컨벤션이나 변수를 만드는 방법을 말해주려고 여기 있는 것이 아니고 네트워크 상의 보안환경에서 우리가 보는 것에 대해 충고하기 위해 여기 있는 것이다. 우리는 그들이 코딩에 집중하도록 백지와 보안해결책을 함께 제공했다”고 말했다. 웹 응용프로그램은 빠른 속도로 해커들의 놀이터가 되고 있다. 대부분의 이커머스 응용프로그램들은 고객의 데이터를 저장한 데이터베이스와 연결되고 조직적인 범죄의 만만한 목표물이 되고 있다. 짐머만은 “정적인 HTML 대신에 더 활발한 페이지들을 보게 될 것이다. 이런 일이 일어나면 스스로 함정을 열게 되는데, 이것은 모든 것들이 실시간으로 묘사되기 때문이다. 미래를 바라보면 이런 코딩은 더 빨리, 더 효과적으로 분석되어야 하고 결과는 더 정확해야 한다”고 말했다. 짐머만은 그의 은행에서 SPI 다이내믹스의 웹인스펙트 제품을 인터넷형 응용프로그램 상에서 운영함으로써 양성오류가 많이 줄어들었다고 말했다. 그는 “이런 제품들이 시장을 처음 강타할 때 되돌아온 것의 50%는 양성오류인 것을 보고 있었다. 가장 최근에는 약간만을 보았을 뿐이다. 우리는 침투검사를 50~75% 줄였는데, 이것은 예전처럼 많은 문제들을 검사할 필요가 없기 때문이다”고 말했다. GUIDANCE 일반적으로 응용프로그램은 데이터베이스로의 게이트웨이이고 관리통치의 시대에서는 모든 취약점을 다루어야 한다. 역동적인 시장을 위한 역동적인 성능 응용프로그램 보안 스캐너들은 취약성에 대한 소스 코드를 평가하고 이것이 확장주기 내에서라면 더할 나위 없이 좋은 것이다. Size 2007년 1억 4천 3백만 달러 (IDC) Maturity 초기 Leaders IBM, SPI 다이내믹스, 워치파이어 Contenders 포티파이, 오운스랩스, 클락워크, 화이트햇 시큐리티, 비욘드 시큐리티 Innovation AJAX와 자바스크립트에 의한 위협에 대처하기 위해서 다이내믹 응용프로그램 검사 기능 필수 Disruptions 판매자들은 만만찮은 틈새시장을 가지고 있고 BEA, 선, 오라클 같은 확장 플랫폼 판매자들 및 다른 업체들이 통합할 업체를 찾기 시작하는 것은 단지 시간문제일 뿐 Copyright ⓒ 2006 Information Security and TechTarget
[월간 정보보호21c 통권 제81호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
