![swork.org [anti-hackers lab][정보보호] [에스테크스타닷컴]](http://www.stechstar.com/user/swork/wp-content/uploads/2015/01/swork_logo02.png){kind=logo}
뽐뿌 등 초보적인 해킹 예방하려면…보안취약점 점검부터
보안취약점 진단 도구 활용으로 기본적인 보안위협 대응
[보안뉴스 김태형] 최근 인기 온라인 커뮤니티 사이트 ‘뽐뿌’가 해킹 공격으로 회원정보가 유출되면서 허술한 보안실태가 드러났다. 기초적인 SQL인젝션 해킹으로 회원들의 개인정보가 유출됐다는 것은 아주 기본적인 취약점 확인이나 점검조차 제대로 되어 있지 않았다는 반증이기도 하다.
▲ 취약한 부분이 있으면 무너지기 마련이다.
또한, 지난 2014년 9월 24일, 쉘쇼크(Shellshock)라는 버그가 처음 공개돼 오픈소스, 리눅스, OS X, 임베디드 시스템, 유닉스 등이 모두 영향권 아래 들어갔으며, 해당 제조사들은 취약점 패치에 비상이 걸렸다. 시스템과 직접 연관된 취약점들은 매우 치명적인 문제로 작용하기 때문이다. 현재 대부분 패치가 이루어지기는 했지만 플랫폼 하나 패치한다고 취약점 문제가 모두 해결되는 것은 아니다. 어떤 취약점에 대한 패치를 다운로드 받고 적용하는 것보다는 그 취약점이 어떤 사태로 발전할 수 있는지를 예상하고 그 후폭풍까지도 대응해야 한다.
이러한 보안취약점에 대응하기 위해서는 주기적인 보안취약점 진단 및 점검이 필요하다. 이러한 가운데 최근 보안취약점 진단도구를 활용하는 경우가 많아지고 있다. 보안 컨설턴트들에 의한 취약점 점검시 소요되는 비용을 최소화하고, 비교적 빠르게 쉽게 취약점을 찾아낼 수 있기 때문이다. 뿐만 아니라 새로운 취약점에 대한 빠른 업데이트로 새로운 보안위협이나 공격의 피해를 최소화할 수 있다.
이와 같은 보안취약점 진단은 웹, IT인프라, 애플리케이션 등 3개 부분으로 나눌 수 있다. 특히, 웹 취약점 진단은 드라이브 바이 다운로드, 워터링홀 공격 등 웹애플리케이션 취약점을 악용한 공격을 예방하는 것으로 웹서버와 웹 애플리케이션의 소스를 점검할 수 있다.
또한, IT인프라 취약점은 OS, 네트워크, DBMS, 웹/WAS 등으로 취약점의 종류가 많지는 않지만 취약점 공격을 당하면 중요 데이터를 탈취당하거나 핵심 업무 시스템이 파괴돼 막대한 피해를 입을 수 있기 때문에 주기적 진단이 매우 중요하다. 마지막으로 애플리케이션 취약점 진단은 MS, 어도비, 오픈SSL, 자바 등, 사용 애플리케이션에 존재하는 취약점을 찾아내는 것으로 제조사에서 패치를 배포해야 피해 예방이 가능하다.
이러한 보안취약점 점검은 정부 및 공공기관에서는 개인정보보호법 고시, 정보통신망법 고시 및 주요정보통신기반시설 보호조치 고시 등을 통해 연간 취약점 점검 2회 이상, 모의해킹 1회 이상 등을 의무화하고 있다. 또한, 정보통신기반보호법과 금감원의 금융기관 금융전산 보안강화 종합대책에서도 취약점 분석 평가를 실시하도록 의무화했다.
이와 관련 금융보안원은 금융회사에 대해 실시하고 있는 전자금융기반시설 등에 대한 취약점 분석·평가를 보다 전문적이고 체계적으로 수행하기 위해 10월부터 전자금융기반시설, 공개용 홈페이지 등에 대한 취약점 분석·평가 등을 위한 테스트베드 환경을 구축 및 운영 중이다.
보안취약점 점검과 관련해 에스에스알(SSR) 김병규 부장은 “ISMS 인증 의무기관 및 기업들은 ISMS 인증 취득과 함께 정기적으로 취약점 진단을 해야 한다. 하지만 문제는 일부 업체 보안전문가들이 수동으로 일부분만 수행하기 때문에 비용과 시간이 많이 드는 데다가 전문가 수준에 따라 결과도 차이가 난다”면서 “특히 비용 문제로 대부분 샘플링 진단을 하게 되는데 샘플링 진단에서 제외되는 IT인프라 시스템과 같은 부분은 상대적으로 취약한 경우가 많아서 문제가 된다. 취약점 자동화 솔루션은 시스템 전체에 대한 전수조사가 가능하고 프로그램에 의해 자동으로 수행되기 때문에 비용과 시간을 줄일 수 있다”고 설명했다.
또한, 엘에스웨어 안상훈 보안사업팀장은 “최근 공공·금융·대기업의 고객들은 각 포인트별 취약점 관리도구에 대한 관리로 옮겨가고 있다. 즉, 각 분야별 취약점 분석 결과를 취합하고 하나의 보고서를 통해 전체적인 보안 취약점을 관리하 수 있는 방안을 요구하고 있다”면서 “보안취약점 점검은 보안의 홀을 찾아 문제를 해결해 보안위협을 사전에 차단하기 위한 것으로 자동화 도구를 활용하면 주기적인 취약점 관리가 가능해 보안수준을 한층 높일 수 있다”고 강조했다.
[김태형 기자(boan@boannews.com)]
취약점 점검 문의 : sjkim70@stechstar.com
[출처] http://www.boannews.com/media/view.asp?idx=48106
