Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.boannews.com/media/view.asp?idx=54237&kind=0 
4년 만에 취약점 목록 발표한 OWASP, 뭐가 바뀌었나?
  |  입력 : 2017-04-12 16:00
 
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가장 큰 변화는 API의 추가...개발 환경 트렌드 변화 잘 파악한 듯
“추가 툴 도입하라” 촉구하기도...방어의 방식 바뀌어야 한다는 선언


[보안뉴스 문가용 기자] 4년 동안 침묵했던 OWASP이 이번 주 ‘OWASP 선정 최고의 취약점 10’(이하 OWASP Top 10)을 발표했다. 그런데 이 목록이 심상치 않다고 전문가들은 기쁘게 말하고 있다. 새롭게 애플리케이션 프로그래밍 인터페이스, 즉 API들이 추가되었기 때문이다. 이는 위협의 지형도 자체가 크게 변했다는 걸 의미하며, OWASP이 이를 잘 나타내 준 것이라고 관계자들은 분석하고 있다.

owasp-body.jpg

▲ 메리 오와습마스!


애플리케이션 보안 세계에서 굉장한 영향력을 가지고 있는 OWASP Top 10은 원래 개발자들을 돕기 위해 만들어진 것이다. 또한 보안 팀이 취약점 점검을 할 때 어느 정도 표준적인 기준이 되어 주기도 한다. 이 표를 바탕으로 다양한 제품 평가 알고리즘이 탄생하기도 한다.

보안 업체인 콘트라스트시큐리티(Contrast Security)의 CTO인 제프 윌리엄즈(Jeff Williams)는 이번에 발표된 목록을 보고 “OWASP Top 10이 현대의 고속화된 소프트웨어 개발 환경을 충실히 반영한 것으로 보인다”며 “이전 버전, 즉 2013년 Top 10에서는 볼 수 없었던 변화”라고 설명한다. “취약점 자체는 겹치는 게 많습니다. 하지만 API들이 추가되었고, 공격에 대한 대처법들이 더해져 조직들이 주요 이슈들을 위주로 보안 방책을 마련할 수 있게 되었습니다.”

또 다른 보안 업체인 프레보티(Prevoty)의 CTO인 쿠날 아난드(Kunal Anand) 역시 “API가 추가된 것이 이 목록에서 가장 중요한 점”이라고 짚어낸다. “최근 기업들은 API를 기반으로 한 마이크로서비스 위주의 데브옵스와 애자일 환경을 적극 도입하고 있죠. 한 마디로 개발의 체질 개선이 세계적으로 이루어지고 있다는 건데, 그것의 핵심이 API입니다.”

쿠날 아난드에 따르면 금융, 도소매 등을 포함한 다양한 산업에서 현재 ‘해체’가 이루어지고 있다고 한다. “대형 애플리케이션은 가고, 작고 재빠른 서비스들이 오고 있죠. 그렇기 때문에 한 개의 페이지를 만들어내기 위해 애플리케이션들에서 API 요청이 수도 없이 이루어지는 식으로 구조가 바뀌고 있습니다. 아니, API 자체로 이미 하나의 애플리케이션이나 다름없는 시대가 되었어요. 이미 사이버 공격은 API 프레임워크를 노리는 표적형 공격으로 전환되었고요.”

화이트햇 시큐리티(WhiteHat Security)의 부회장인 라이언 올리어리(Ryan O’Leary)는 “오랜만에 발표된 OWASP Top 10의 변화가, API 보안의 중요성에 대한 인식을 키워줄 것으로 보인다”고 기대감을 나타냈다. “시기적절한 변화입니다. 그러므로 매우 중요하기도 하죠. 세상에서 실제로 일어나고 있는 변화가 그대로 반영된, 놀라운 결과물이라고 보입니다.”

그렇지만 아난드와 올리어리 모두 “이런 변화가 결과물로 반영되기까지 너무 오랜 시간이 걸렸다”는 데에 동의한다. “OWASP Top 10은 매우 중요한 자료입니다. OWASP 측에서 이 자료에 조금 더 신경을 써줬으면 해요. 이번 목록이 발표되기 전에 애플리케이션 보안 관계자들은 전부 2013년 것을 사용했는데, 그때와 지금의 개발 환경은 대단히 달라서 효용성이 떨어지던 게 사실이었습니다. 아쉬운 측면이죠.”

아난드는 현재 반영되어야 할 추세가 API 말고도 더 있다고 지적한다. “서버가 없는, 서버리스 기술, 컨테이너화, 리액트(React)와 같은 모바일 개발 프레임워크 등의 속속 등장하고 있으며, 중요한 게임 체인저(game changer)의 역할을 하고 있습니다. 이런 것들 역시 조만간 반영이 되어야 할 겁니다. 다음 OWASP Top 10에서라면, 아마 필수적인 요소가 되지 않을까 하고 생각합니다. 다만 그 다음 OWASP Top 10이 언제 나올지가 관건이죠.”

하지만 애플리케이션 세계의 문제라는 게 지난 14년 동안 그다지 역동적으로 변화해오지는 않았다. OWASP이 게으르게 일한 건 아니라는 뜻. “그때 그때 취약점을 더하거나 빼거나 하는 작업은 항상 해왔습니다. 하지만 그 변화가 엄청나게 극적이지는 않았어요. 중요한 건 이 목록의 ‘전체’가 무엇을 뜻하고 있는가, 어떤 변화를 반영하고 있는가, 어떤 트렌드가 보이는가,를 읽어낼 줄 알아야 한다는 겁니다. 세부적인 취약점들 하나하나에 대해서는 동의하지 않을 수 있어요. 그러나 그 전체가 눈에 보이지 않게 드러내는 정보가 있다는 거죠.” 뉴콘텍스트서비스(New Context Services)의 보안 책임자인 벤 톰헤이브(Ben Tomhave)의 설명이다.

“취약점 하나하나의 큰 변화가 없다면, 매년 목록을 발표해야 할 필요도 없어 보입니다. 지금까지 나온 목록들을 쭉 비교해 봐도 큰 변화는 없어왔죠. 변화라는 게 우리가 두려워하는 것만큼 빨리 일어나는 건 아니라는 소리입니다. 또한, 취약점과 관련하여, 현재 우리가 가지고 있는 해결 방식이나 교육법이 효과적이지 않다는 뜻도 되지요. 지난 수년 간 작성되어 온 이 Top 10 목록에 큰 변화가 없다는 것만으로도 이런 중요한 결론들을 끌어낼 수 있습니다. 그렇다면 이런 ‘읽기’를 통해 더 나은 결과를 만드는 것이 우리 몫이겠죠.”

올리어리는 최근 OWASP에서도 벤의 말과 맥락을 같이하는 발표가 있었다며, “OWASP 역시 기업들이 WAF나 RASP 기술을 갖출 필요가 있다고 촉구했다”는 사실을 언급했다. “WAF나 RASP 기술을 통해 탐지하고, 대응하고, 패치해야 한다는 게 OWASP 측의 설명입니다. OWASP은 ‘주요 취약점에는 어떤 게 있으며, 어떻게 고쳐야 하는지’를 중점적으로 다뤄왔는데, WAF와 RASP 기술을 갖추라고 말함으로써 ‘서드파티 툴이나 서비스를 이용해야 할 때가 됐다’고 선언한 것이나 다름없거든요. 한 마디로 ‘이제 방식을 바꿀 때가 되었다’고 발표한 겁니다.”

올리어리는 OWASP의 등장으로 당분간 API와 WAF, RASP 등에 대한 이야기가 계속해서 나올 것이라고 예상하고 있다.


출처:http://www.boannews.com/media/view.asp?idx=54237&kind=0

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

프리네

2017.04.14 02:52
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정보 감사합니다.

profile

부활청담동파

2017.04.15 18:43
가입일:
총 게시물수: 0
총 댓글수: 42

감사합니다. 잘 보고 가요~

profile

슈가프리

2017.06.01 19:12
가입일: 2017:06.01
총 게시물수: 1
총 댓글수: 89

감사합니다

List of Articles

IT정보 [KISA] 신종 안드로이드 랜섬웨어 등장

신종 안드로이드 랜섬웨어 등장2017.04.10 개요   보안전문기업 Zscaler의 ThreatLabZ팀, 안티바이러스 프로그램에 탐지되지 않는 신종 안드로이드 랜섬웨어 발견...

  • 등록일: 2017-04-19

691

VIEWS

15

COMMENTED

IT정보 [KISA] 애플社, iOS 10.3.1 Wi-Fi 취약점 패치

애플社, iOS 10.3.1 Wi-Fi 취약점 패치2017.04.17 개요    구글프로젝트제로, 애플社의 iOS 10.3 취약점 발견 * 구글프로젝트제로 : 구글에서 자체적으로 운영하...

  • 등록일: 2017-04-19

274

VIEWS

6

COMMENTED

IT정보 TV겸용 모니터 못믿을 표시성능… 실성능 비교한 결과

[디지털타임스 김은 기자]TV와 모니터로 동시에 사용할 수 있는 제품 중 상당수가 표시 성능보다 실제 기능이 떨어진다는 지적이 나왔다.  소비자시민모임은 시중...

  • 등록일: 2017-04-18

579

VIEWS

17

COMMENTED

일반정보 [긴급] ‘인터파크 개인정보 유출관련 사과공지 메일’ 위장한 랜섬웨어 등장

[긴급] ‘인터파크 개인정보 유출관련 사과공지 메일’ 위장한 랜섬웨어 등장 | 입력 : 2017-04-13 16:25 인터파크 사칭해 고객의 개인정보 침해사고가 일어났다며 ...

  • 등록일: 2017-04-14

829

VIEWS

26

COMMENTED

IT정보 KT 고객이면 스마트폰 배터리 최대 45% 오래 쓴다

배터리 절감기술 전국 네트워크망에 최초 적용 KT가 스마트폰을 최대 45% 더 오래 쓸 수 있는 배터리 절감기술(C-DRX)을 전국 네트워크망에 최초로 적용했다. 데...

  • 등록일: 2017-04-13

523

VIEWS

15

COMMENTED

기타정보 국내 윈도10 사용자, 엣지보다 크롬 더 쓴다 file

국내 윈도10 사용자, 엣지보다 크롬 더 쓴다 국내 윈도10 사용자들이 마이크로소프트(MS)의 최신브라우저 엣지보다 구글의 크롬 브라우저를 더 선호하는 것으로 ...

  • 작성자: Op
  • 등록일: 2017-04-13

301

VIEWS

11

COMMENTED

MS소식 고생했다 비스타…비운의 OS를 보내며 file

고생했다 비스타…비운의 OS를 보내며 윈도 운영체제(OS) 중 가장 많은 구설수에 휘말렸던 윈도 비스타가 비운의 생을 마감했다. 마이크로소프트(MS)가 예정대로 2...

  • 작성자: Op
  • 등록일: 2017-04-13

259

VIEWS

8

COMMENTED

IT정보 [긴급] 한글문서 포함한 국내 타깃 랜섬웨어 ‘워너크립터’ 등장

[긴급] 한글문서 포함한 국내 타깃 랜섬웨어 ‘워너크립터’ 등장   |  입력 : 2017-04-12 11:30       한글 문서 파일도 감염대상에 포함되어 유포 중 [보안뉴스 ...

  • 등록일: 2017-04-13

425

VIEWS

6

COMMENTED

IT정보 4년 만에 취약점 목록 발표한 OWASP, 뭐가 바뀌었나?

4년 만에 취약점 목록 발표한 OWASP, 뭐가 바뀌었나?   |  입력 : 2017-04-12 16:00       가장 큰 변화는 API의 추가...개발 환경 트렌드 변화 잘 파악한 듯 “추...

  • 등록일: 2017-04-13

156

VIEWS

3

COMMENTED

IT정보 PC시장 5년째 위축···'덱스'가 종말 부를까

5년째 줄어들고 있는 데스크톱PC의 위기 분기별 글로벌 PC 출하량, 10년만에 6,300만대 미만 스마트폰 PC처럼 쓰는 삼성 덱스 등장으로 데스크톱 종말 가속화 [서...

  • 등록일: 2017-04-13

241

VIEWS

9

COMMENTED

윈도정보 Windows 10 누적 업데이트입니다.

1. Windows 10 Version 1703 (KB4015583) : 15063.138   [x64] http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/04/windows10.0-kb40...

  • 등록일: 2017-04-12

502

VIEWS

14

COMMENTED

윈도정보 국내 윈도10 사용자, 엣지보다 크롬 더 쓴다 file

국내 윈도10 사용자들이 마이크로소프트(MS)의 최신브라우저 엣지보다 구글의 크롬 브라우저를 더 선호하는 것으로 나타났다. 아직 윈도10 점유율이 전체 데스크...

  • 등록일: 2017-04-11

620

VIEWS

15

COMMENTED

IT정보 '갤럭시노트5' 안드로이드 7.0 누가 업데이트 - 국내 진행 file

http://www.kbench.com/?q=node/177508 케이벤치 내용입니다. 현재 국내에서 진행 되고 있나 보네요 오늘 핸드폰 확인 중에 알았습니다. 사용자 분들은 확인 한번...

  • 등록일: 2017-04-09

1211

VIEWS

22

COMMENTED

IT정보 삼성 덱스, 기업용 시장서 애플 꺾을까

삼성전자가 갤럭시S8와 함께 공개한 ‘삼성 덱스’에 대한 관심이 높다. 덱스는 갤럭시S8을 모니터와 연결해 PC처럼 쓸 수 있게 해주는 기기로 기존 모바일 애플리...

  • 등록일: 2017-04-09

266

VIEWS

7

COMMENTED

일반정보 딥러닝으로 열공중인 삼성의 인공지능 비서 ‘빅스비’

딥러닝으로 열공중인 삼성의 인공지능 비서 ‘빅스비’

  • 등록일: 2017-04-08

375

VIEWS

9

COMMENTED