Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.boannews.com/media/view.asp?idx=54237&kind=0 
4년 만에 취약점 목록 발표한 OWASP, 뭐가 바뀌었나?
  |  입력 : 2017-04-12 16:00
 
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가장 큰 변화는 API의 추가...개발 환경 트렌드 변화 잘 파악한 듯
“추가 툴 도입하라” 촉구하기도...방어의 방식 바뀌어야 한다는 선언


[보안뉴스 문가용 기자] 4년 동안 침묵했던 OWASP이 이번 주 ‘OWASP 선정 최고의 취약점 10’(이하 OWASP Top 10)을 발표했다. 그런데 이 목록이 심상치 않다고 전문가들은 기쁘게 말하고 있다. 새롭게 애플리케이션 프로그래밍 인터페이스, 즉 API들이 추가되었기 때문이다. 이는 위협의 지형도 자체가 크게 변했다는 걸 의미하며, OWASP이 이를 잘 나타내 준 것이라고 관계자들은 분석하고 있다.

owasp-body.jpg

▲ 메리 오와습마스!


애플리케이션 보안 세계에서 굉장한 영향력을 가지고 있는 OWASP Top 10은 원래 개발자들을 돕기 위해 만들어진 것이다. 또한 보안 팀이 취약점 점검을 할 때 어느 정도 표준적인 기준이 되어 주기도 한다. 이 표를 바탕으로 다양한 제품 평가 알고리즘이 탄생하기도 한다.

보안 업체인 콘트라스트시큐리티(Contrast Security)의 CTO인 제프 윌리엄즈(Jeff Williams)는 이번에 발표된 목록을 보고 “OWASP Top 10이 현대의 고속화된 소프트웨어 개발 환경을 충실히 반영한 것으로 보인다”며 “이전 버전, 즉 2013년 Top 10에서는 볼 수 없었던 변화”라고 설명한다. “취약점 자체는 겹치는 게 많습니다. 하지만 API들이 추가되었고, 공격에 대한 대처법들이 더해져 조직들이 주요 이슈들을 위주로 보안 방책을 마련할 수 있게 되었습니다.”

또 다른 보안 업체인 프레보티(Prevoty)의 CTO인 쿠날 아난드(Kunal Anand) 역시 “API가 추가된 것이 이 목록에서 가장 중요한 점”이라고 짚어낸다. “최근 기업들은 API를 기반으로 한 마이크로서비스 위주의 데브옵스와 애자일 환경을 적극 도입하고 있죠. 한 마디로 개발의 체질 개선이 세계적으로 이루어지고 있다는 건데, 그것의 핵심이 API입니다.”

쿠날 아난드에 따르면 금융, 도소매 등을 포함한 다양한 산업에서 현재 ‘해체’가 이루어지고 있다고 한다. “대형 애플리케이션은 가고, 작고 재빠른 서비스들이 오고 있죠. 그렇기 때문에 한 개의 페이지를 만들어내기 위해 애플리케이션들에서 API 요청이 수도 없이 이루어지는 식으로 구조가 바뀌고 있습니다. 아니, API 자체로 이미 하나의 애플리케이션이나 다름없는 시대가 되었어요. 이미 사이버 공격은 API 프레임워크를 노리는 표적형 공격으로 전환되었고요.”

화이트햇 시큐리티(WhiteHat Security)의 부회장인 라이언 올리어리(Ryan O’Leary)는 “오랜만에 발표된 OWASP Top 10의 변화가, API 보안의 중요성에 대한 인식을 키워줄 것으로 보인다”고 기대감을 나타냈다. “시기적절한 변화입니다. 그러므로 매우 중요하기도 하죠. 세상에서 실제로 일어나고 있는 변화가 그대로 반영된, 놀라운 결과물이라고 보입니다.”

그렇지만 아난드와 올리어리 모두 “이런 변화가 결과물로 반영되기까지 너무 오랜 시간이 걸렸다”는 데에 동의한다. “OWASP Top 10은 매우 중요한 자료입니다. OWASP 측에서 이 자료에 조금 더 신경을 써줬으면 해요. 이번 목록이 발표되기 전에 애플리케이션 보안 관계자들은 전부 2013년 것을 사용했는데, 그때와 지금의 개발 환경은 대단히 달라서 효용성이 떨어지던 게 사실이었습니다. 아쉬운 측면이죠.”

아난드는 현재 반영되어야 할 추세가 API 말고도 더 있다고 지적한다. “서버가 없는, 서버리스 기술, 컨테이너화, 리액트(React)와 같은 모바일 개발 프레임워크 등의 속속 등장하고 있으며, 중요한 게임 체인저(game changer)의 역할을 하고 있습니다. 이런 것들 역시 조만간 반영이 되어야 할 겁니다. 다음 OWASP Top 10에서라면, 아마 필수적인 요소가 되지 않을까 하고 생각합니다. 다만 그 다음 OWASP Top 10이 언제 나올지가 관건이죠.”

하지만 애플리케이션 세계의 문제라는 게 지난 14년 동안 그다지 역동적으로 변화해오지는 않았다. OWASP이 게으르게 일한 건 아니라는 뜻. “그때 그때 취약점을 더하거나 빼거나 하는 작업은 항상 해왔습니다. 하지만 그 변화가 엄청나게 극적이지는 않았어요. 중요한 건 이 목록의 ‘전체’가 무엇을 뜻하고 있는가, 어떤 변화를 반영하고 있는가, 어떤 트렌드가 보이는가,를 읽어낼 줄 알아야 한다는 겁니다. 세부적인 취약점들 하나하나에 대해서는 동의하지 않을 수 있어요. 그러나 그 전체가 눈에 보이지 않게 드러내는 정보가 있다는 거죠.” 뉴콘텍스트서비스(New Context Services)의 보안 책임자인 벤 톰헤이브(Ben Tomhave)의 설명이다.

“취약점 하나하나의 큰 변화가 없다면, 매년 목록을 발표해야 할 필요도 없어 보입니다. 지금까지 나온 목록들을 쭉 비교해 봐도 큰 변화는 없어왔죠. 변화라는 게 우리가 두려워하는 것만큼 빨리 일어나는 건 아니라는 소리입니다. 또한, 취약점과 관련하여, 현재 우리가 가지고 있는 해결 방식이나 교육법이 효과적이지 않다는 뜻도 되지요. 지난 수년 간 작성되어 온 이 Top 10 목록에 큰 변화가 없다는 것만으로도 이런 중요한 결론들을 끌어낼 수 있습니다. 그렇다면 이런 ‘읽기’를 통해 더 나은 결과를 만드는 것이 우리 몫이겠죠.”

올리어리는 최근 OWASP에서도 벤의 말과 맥락을 같이하는 발표가 있었다며, “OWASP 역시 기업들이 WAF나 RASP 기술을 갖출 필요가 있다고 촉구했다”는 사실을 언급했다. “WAF나 RASP 기술을 통해 탐지하고, 대응하고, 패치해야 한다는 게 OWASP 측의 설명입니다. OWASP은 ‘주요 취약점에는 어떤 게 있으며, 어떻게 고쳐야 하는지’를 중점적으로 다뤄왔는데, WAF와 RASP 기술을 갖추라고 말함으로써 ‘서드파티 툴이나 서비스를 이용해야 할 때가 됐다’고 선언한 것이나 다름없거든요. 한 마디로 ‘이제 방식을 바꿀 때가 되었다’고 발표한 겁니다.”

올리어리는 OWASP의 등장으로 당분간 API와 WAF, RASP 등에 대한 이야기가 계속해서 나올 것이라고 예상하고 있다.


출처:http://www.boannews.com/media/view.asp?idx=54237&kind=0

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.04.14 02:52
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

profile

부활청담동파

2017.04.15 18:43
가입일:
총 게시물수: 0
총 댓글수: 42

감사합니다. 잘 보고 가요~

profile

슈가프리

2017.06.01 19:12
가입일: 2017:06.01
총 게시물수: 1
총 댓글수: 89

감사합니다

List of Articles

IT정보 "스피커+저장장치 조립" 삼성, 원통형 디자인 '아트PC' 공개

풀 메탈 원통형 디자인, '229만원' 원통형 하만카돈 360도 스피커+1TB HDD 기본 제공 HDD 유닛 추가 가능 …6세대 인텔 코어 i7 프로세서 탑재 [출처 : 아시아경제...

  • 등록일: 2016-10-25

162

VIEWS

3

COMMENTED

IT정보 LG V20, 갤노트7 대안으로 떠오르나? 판매량 2배 가까이 '급증'

삼성전자 갤럭시노트7가 단종되면서 해외폰 중에서는 아이폰7, 아이폰7 플러스가 국내폰 중에서는 LG전자 V20이 반사이익을 얻고 있는 것으로 알려졌다. 24일 이...

  • 등록일: 2016-10-24

492

VIEWS

7

COMMENTED

IT정보 삼성전자, 프랑스 명품 오디오업체 포칼 인수 추진

삼성, 세계 최강 車전장업체 포석 이재용 부회장 의지 반영 인수가격 2천억~3천억대   삼성전자가 프랑스 오디오업체 인수를 추진 중인 것으로 확인됐다.   이는...

  • 등록일: 2016-10-24

160

VIEWS

2

COMMENTED

IT정보 구글, 개인정보정책 '선' 넘었다…"개인식별정보와 광고 결합 가능"

지난 6월 개인정보보호 정책 변경 뒤늦게 알려져 G메일 ·검색기록 ·웹사이트 방문 기록 등 개인식별정보와 결합 가능해져 더블체크 광고 정확도 높이려는 의도 구...

  • 등록일: 2016-10-24

252

VIEWS

4

COMMENTED

IT정보 노트7→S7·S7 엣지 교환고객, S8·노트8 교체시 할부금 50% 면제

[출처 : 아시아경제 김유리 기자] 삼성전자가 '갤럭시노트7' 교환 고객을 대상으로 '갤럭시 업그레이드 프로그램'을 운영한다. 갤럭시 업그레이드 프로그램은 갤...

  • 등록일: 2016-10-24

343

VIEWS

9

COMMENTED

IT정보 갤노트7 단종 보름…교환율은 여전히 '10% 미만'

[출처 : 뉴시스 김지은 기자] 삼성전자가 갤럭시 노트7의 단종을 선언한 지 약 보름 가량이 지났지만 교환율은 지난 주와 다름없이 10%를 넘지 못하고 있는 것으...

  • 등록일: 2016-10-24

76

VIEWS

5

COMMENTED

IT정보 "샤오미 제품이 미국 대규모 해킹 유발"

[출처 : 전자신문 방은주 기자] 지난 주말 미국을 대혼란으로 몰아넣은 대규모 해킹에 중국 샤오미가 만든 전자 제품이 숙주로 악용된 것으로 나타났다. 이전과 ...

  • 등록일: 2016-10-24

149

VIEWS

3

COMMENTED

IT정보 LGU+, 내달 고화질 DMB 전용폰 출시…'U시리즈' 첫선

LG전자와 기획 단계부터 협업…해상도·메모리 강점 중저가폰 [출처 : 연합뉴스 한지훈 기자] LG유플러스가 다음 달 고화질 DMB 기능을 탑재한 LG전자 스마트폰을 ...

  • 등록일: 2016-10-23

168

VIEWS

4

COMMENTED

IT정보 왜 마우스 커서는 45도 기울어졌을까

[출처 : 아시아경제 박충훈 기자] 모니터에서 보는 마우스 커서 화살표는 왜 살짝 기울어져 있을까? 컴퓨터 사용자들에게 익숙한 이 커서 디자인에는 사실 남다...

  • 등록일: 2016-10-23

220

VIEWS

12

COMMENTED

IT정보 라인, 지진 정보 전달하는 '재해 속보' 계정 운영

[출처 : 지디넷코리아=안희정 기자] 모바일 메신저 라인은 '라인 재해 속보' 공식 계정을 개설했다고 21일 밝혔다. 국내서 강도 2.0 이상 지진 발생 시 누구보다 ...

  • 등록일: 2016-10-22

177

VIEWS

6

COMMENTED

IT정보 '블루코랄' 갤럭시S7엣지 내달 나온다...삼성, 공식 발표

삼성 싱가포르법인 공식발표 …내달 5일 출시 한국 ·미국 등 주력 시장에도 출시할 듯 갤럭시노트7 단종 후 갤럭시S7 판매 확대 포석 [출처 : 아시아경제 강희종 ...

  • 등록일: 2016-10-22

540

VIEWS

10

COMMENTED

IT정보 "카피캣 오명은 그만"…中 스마트폰, 고급 브랜드 진화

500불 이상 고가 시장에서도 점유율 40% [출처 : 뉴스1 정혜민 기자] 지난 2~3년 동안 중국의 주요 스마트폰 제조사들은 글로벌 브랜드로 성장했다. 이제 세계 10...

  • 등록일: 2016-10-22

122

VIEWS

4

COMMENTED

IT정보 美 웹호스팅업체 디도스 공격…"미 인터넷 절반 마비"

"트위터 넷플릭스 NYT 등 총 76개 사이트 서비스 장애" 누구 소행인지 불분명, 미 당국 "잠재적 모든 원인 조사중" [출처 : 샌프란시스코ㆍ워싱턴=연합뉴스 김현...

  • 등록일: 2016-10-22

54

VIEWS

5

COMMENTED

IT정보 스팸차단앱 ‘후후’, 스미싱 확인서비스 강화

[출처 : 디지털데일리 최민지 기자] 후후앤컴퍼니(www.whox2.com 대표 신진기)의 스팸차단앱 ‘후후’는 이용자의 스미싱 피해 예방을 위해 한층 강화된 스미싱 확...

  • 등록일: 2016-10-21

242

VIEWS

7

COMMENTED

IT정보 '아이폰7' 미국 이어 호주에서 '펑'…"차량 내부 완전 불에 타"

애플, 제품 결함 문제인지 여부 조사 나서 [출처 : 뉴스1 박희진 기자] 미국에 이어 호주에서 애플의 신제품 '아이폰7'이 폭발했다는 주장이 제기됐다. 20일(현지...

  • 등록일: 2016-10-21

189

VIEWS

13

COMMENTED

IT정보 단종된 갤노트7 구원투수되나…“갤S8 기대할 만한 가치 있다”

[출처 : 중앙일보 곽재민 기자] 삼성전자가 내년 2월 26일 스페인 바르셀로나에서 열리는 ‘2017 MWC’에서 차기 플래그십 스마트폰 갤럭시 S8을 공개할 것으로 알...

  • 등록일: 2016-10-21

228

VIEWS

11

COMMENTED

IT정보 인프라웨어 '폴라리스 OS' 출시, Remix OS랑 경쟁하나?

인프라웨어 '폴라리스 OS' 출시, Remix OS랑 경쟁하나? '폴라리스 오피스' 앱으로 유명한 인프라웨어에서 PC용 무료 안드로이드 OS '폴라리스 OS'를 출시했다. 폴...

  • 등록일: 2016-10-21

498

VIEWS

9

COMMENTED

IT정보 360 클라우드가 서비스를 종료합니다. file

360 클라우드로 업로드 하려고 접속하니 평소와 다르게 팝업창이 하나 뜨네요. 각종 범죄에 사용되고 포르노등 성인물로 피해가 커서 클라우드 서비스를 종료하...

  • 등록일: 2016-10-20

363

VIEWS

12

COMMENTED

IT정보 LG전자 “모듈형 스마트폰 없던 일로”

[출처 : 전자신문 윤건일 기자] LG전자가 내년 출시할 전략 스마트폰 `G6(가칭)`에 모듈 구조를 적용하지 않는다. G5에 첫 도입하던 모듈 전략을 1년 만에 사실상...

  • 등록일: 2016-10-20

197

VIEWS

9

COMMENTED

IT정보 카카오, 샵검색 개선…관련 검색어·맞춤법 검사 제공

4만4000여개 단어 맞춤법 검사 가능 카카오 서비스와 연계 기능 강화 [출처 : 아시아경제 한진주 기자] 카카오톡 샵검색이 더 편리해진다. 검색어 추천 기능과 맞...

  • 등록일: 2016-10-20

556

VIEWS

3

COMMENTED