Offcanvas

������������������

더 나은 '코드 보안'을 위한 5가지 개발 툴

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다. 직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자. 코디스코프 잭스(Codiscope Jacks) 코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다. 코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다. 잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다. 라이언...

취약점 코드 결함 IDE 개발 툴

2016.04.05

소프트웨어 개발 프로세스 자체만큼 시스템과 데이터 보안을 시작하기에 좋은 곳도 없다. 코딩 실수만큼 시스템을 취약하게 만들기 좋은 일도 없기 때문이다. 하지만 수 백만 줄의 코드에서 광범위한 잠재적 취약점을 찾는 것은 결코 쉽지 않은 일이다. 다행히도 코드 보안을 위해 다양한 툴이 등장하고 있다. 정적 분석 등의 기능을 이용한 이런 툴은 잠재적인 문제를 찾아낼 뿐 아니라 개발 과정에서 보안에 우선순위를 부여한다. 직접 설치 솔루션부터 클라우드 서비스까지, 또 오픈소스 솔루션부터 상용 서비스까지 코드의 보안 결함을 분석하기 위한 5가지 툴에 대해 알아보도록 하자. 코디스코프 잭스(Codiscope Jacks) 코드를 실행하지 않고 디버깅하는 정적 분석은 취약성을 찾아내기 위한 첫 번째 단계이다. 깃허브(Github)에 르포(Repo)를 저장하는 조직에 아직 베타 단계인 코디스코프의 잭스는 깃허브로부터 코드를 가져와 스캔함으로써 서비스형 정적 분석을 수행할 수 있다. 잭스는 현재 자바스크립트 프로그램을 스캔할 수 있으는데, 코디스코프는 자바 프로그램까지 범위를 확대할 계획이다. 물론 다른 언어와 다른 관리형 저장소 역시 지원할 계획이다. 코디스코프의 마케팅 책임자 케이티 라이언은 "우리는 사용자들의 코드를 보존하지 않는다"라며, "장기적으로 개선할 수 있는 영역을 찾아내는 데 중점을 두고 있다"고 강조했다. 잭스는 줄 번호로 잠재적인 문제점을 표시하고 모범 사례를 권고하며 코드의 문제를 해결할 수 있는 패치가 제공되는 경우 사용자에게 이를 알린다. 표시된 각 코드 줄에는 설명이 수반되며, 잭스는 해커가 연결을 통제할 수 잇는 안전하지 못한 스크립트 등의 상황에 대해 경고한다. 서버쪽에는 악성 자바스크립트 코드가 서버에서 실행되는 인젝션 공격과 쿠키 값에 클라이언트쪽 스크립트가 접근하지 못하도록 하는 EHOS(Enable HttpOnly Session)가 포함된다. 라이언...

2016.04.05

레노버·도시바·델 지원 소프트웨어에서 취약점 발견

PC 제조사들이 설치한 지원 애플리케이션에서 보안 결함이 발견됐다. 레노버 씽크패드 X240 (2). 이지미 출처 : Lenovo PC 제조사가 설치해 놓은 기술 지원 애플리케이션에서 발견된 취약점의 수가 계속 늘어나고 있다. 레노버 솔루션 센터(Lenovo Solution Center), 도시바 서비스 스테이션(Toshiba Service Station), 델 시스템 디텍트(Dell System Detect)에서 결함이 있는 것으로 밝혀졌다. 가장 심각한 결함은 레노버 솔루션 센터에 있는 것으로 나타났고 이는 악성 웹 페이지가 시스템 권한으로 레노버의 윈도우 기반 컴퓨터에서 코드를 실행할 수도 있다.   온라인에서 슬립스티림(slipstream)과 RoL이라는 이름으로 활동하는 해커가 이 결함을 발견했으며 지난주 그것들을 악용하는 개념 증명을 발표했다. 이는 보안 권고 사항을 공식 발표하는 카네기 멜론대학의 CERT 코디네이션센터로 전달됐다. 이 문제 중 하나는 레노버 솔루션 센터가 만들어낸 LSCTaskService 때문에 야기됐으며 시스템 권한과 함께 실행하고 있다. 이 서비스는 명령을 수신할 수 포트 55555에서 HTTP 데몬을 연다. 이러한 명령 중 하나는 런인스톨러(RunInstaller)라고 하며 이는 ‘%APPDATA%\LSC\로컬 저장 폴더’에서 파일을 실행한다.   모든 로컬 사용자는 자신들의 권한에 상관없이 이 디렉토리에 쓸 수 있지만 파일은 시스템 계정으로 실행된다. 이는 제한된 사용자가 시스템 전체의 권한을 취득하기 위한 논리의 결함을 악용할 수 있음을 의미한다. 또 공격자가 있어도 위의 로컬 저장소의 폴더에 파일을 배치할 필요가 없기 때문에 어떤 위치에서 코드를 실행하는 레노버 솔루션 센터를 속이기 위해 활용할 수 있는 디렉토리 탐색 취약점이 존재한다. 결국 LSCTaskService는 악의적인 웹 사이트가 사용자의 브라우저를 통해 잘못된 요청을 중계할...

PC 취약점 레노버 결함 도시바 지원 애플리케이션 악성 웹 페이지

2015.12.08

PC 제조사들이 설치한 지원 애플리케이션에서 보안 결함이 발견됐다. 레노버 씽크패드 X240 (2). 이지미 출처 : Lenovo PC 제조사가 설치해 놓은 기술 지원 애플리케이션에서 발견된 취약점의 수가 계속 늘어나고 있다. 레노버 솔루션 센터(Lenovo Solution Center), 도시바 서비스 스테이션(Toshiba Service Station), 델 시스템 디텍트(Dell System Detect)에서 결함이 있는 것으로 밝혀졌다. 가장 심각한 결함은 레노버 솔루션 센터에 있는 것으로 나타났고 이는 악성 웹 페이지가 시스템 권한으로 레노버의 윈도우 기반 컴퓨터에서 코드를 실행할 수도 있다.   온라인에서 슬립스티림(slipstream)과 RoL이라는 이름으로 활동하는 해커가 이 결함을 발견했으며 지난주 그것들을 악용하는 개념 증명을 발표했다. 이는 보안 권고 사항을 공식 발표하는 카네기 멜론대학의 CERT 코디네이션센터로 전달됐다. 이 문제 중 하나는 레노버 솔루션 센터가 만들어낸 LSCTaskService 때문에 야기됐으며 시스템 권한과 함께 실행하고 있다. 이 서비스는 명령을 수신할 수 포트 55555에서 HTTP 데몬을 연다. 이러한 명령 중 하나는 런인스톨러(RunInstaller)라고 하며 이는 ‘%APPDATA%\LSC\로컬 저장 폴더’에서 파일을 실행한다.   모든 로컬 사용자는 자신들의 권한에 상관없이 이 디렉토리에 쓸 수 있지만 파일은 시스템 계정으로 실행된다. 이는 제한된 사용자가 시스템 전체의 권한을 취득하기 위한 논리의 결함을 악용할 수 있음을 의미한다. 또 공격자가 있어도 위의 로컬 저장소의 폴더에 파일을 배치할 필요가 없기 때문에 어떤 위치에서 코드를 실행하는 레노버 솔루션 센터를 속이기 위해 활용할 수 있는 디렉토리 탐색 취약점이 존재한다. 결국 LSCTaskService는 악의적인 웹 사이트가 사용자의 브라우저를 통해 잘못된 요청을 중계할...

2015.12.08

펌웨어 이미지에서 취약점 대량 발견… IoT 보안 '위험 신호'

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

보안 IoT 빌리지 디프캠프 유러콤 보훔루르대학교 펌웨어 이미지 임베디드 기기 IoT 보안 디링크 리눅스 비트디펜더 펌웨어 결함 취약점 미크로틱

2015.11.23

임베디드 기기의 펌웨어 이미지에서 수천 개의 취약점이 발견됐다. 평범한 수준의 보안 테스트를 실시한 결과다.  이미지 출처 : IDGNS 라우터, DSL 모뎀, VoIP, IP 카메라 등 각종 임베디드 기기에 적용되는 공개형 펌웨어의 이미지 수백 개에서 고위험성 취약점이 대량으로 발견됐다. 개발업체의 보안 테스트가 부실하다는 지적이 제기되고 있다. 독일의 보훔루르대학교와 프랑스의 유러콤 연구소는 임베디드 기기의 펌웨어 이미지와 관련해 보안 테스트를 공동으로 실시했다. 이 테스트는 펌웨어 이미지를 언팩할 수 있는 자동화 플랫폼을 이용해 이미지를 테스트 환경에서 활성화시킨 다음, 관리 인터페이스와 연결된 임베디드 웹 서버를 가동시키는 순서로 진행됐다. 해당 연구진은 54개 업체가 개발한 리눅스 기반 임베디드 기기를 대상으로 펌웨어 이미지 1,925건을 수집해 그 중 246건을 우선적으로 조사했다. 나머지 이미지는 추후 순차적으로 조사한다는 계획이다. 연구진은 오픈소스로 제작된 테스트용 해킹 툴을 활용해 펌웨어의 웹 기반 관리 인터페이스에서 발생 가능한 취약점을 동적 분석 방식으로 조사했다. 그 결과 조사 대상 펌웨어 이미지 중 46건에서 225개의 고위험성 취약점이 발견됐다. 테스트 환경이 아닌 실제 펌웨어 환경에서도 테스트를 실시했다. 이 테스트는 웹 인터페이스 코드를 추출한 후 일반 서버에 연결하는 순서로 진행됐다. 테스트 결과 515개의 펌웨어 중 307개에서 보안 결함이 발견됐다. 연구진은 오픈소스 툴을 이용해 임베디드 기기의 펌웨어 이미지에서 PHP 코드를 추출하는 방식으로 정적 분석도 실시했다. 145개의 펌웨어 이미지에서 9,046개의 취약점이 발견됐다. 해당 연구진은 동적 분석과 정적 분석 결과를 취합한 결과, 명령 실행, SQL 주입, 크로스 사이트 스크립팅 등 심각한 취약점이 펌웨어 185개의 웹 기반 관리 인터페이스에서 발견됐다고 전했다. 조사 대상인 54개의 개발업체 중 약 1/...

2015.11.23

'구관이 명관' 소프트웨어 업그레이드 실패 사례 7선

마이크로소프트는 신속하게 윈도우 10 업데이트를 실시했으나 곳곳에서 결함이 발견돼 소비자들에게 불편을 끼쳤다. 그러나 실패로 돌아간 업데이트가 이 뿐만은 아니다. 그럴듯해 보였지만 실상은 엉망이었던 소프트웨어 업그레이드 사례를 여기 소개한다.(관련 기사 : Tech companies apologize for snafus) ciokr@idg.co.kr

마이크로소프트 소프트웨어 업데이트 실수 AVG 결함 트렌드마이크로 패치 실패 AT&T MS 실수 소프트웨어 업데이트 실패

2015.11.09

마이크로소프트는 신속하게 윈도우 10 업데이트를 실시했으나 곳곳에서 결함이 발견돼 소비자들에게 불편을 끼쳤다. 그러나 실패로 돌아간 업데이트가 이 뿐만은 아니다. 그럴듯해 보였지만 실상은 엉망이었던 소프트웨어 업그레이드 사례를 여기 소개한다.(관련 기사 : Tech companies apologize for snafus) ciokr@idg.co.kr

2015.11.09

기존 프로그램 코드로 SW 결함 발견·수정… MIT 시연

MIT 연구원들이 작업 프로그램에서 복사한 코드를 사용해 결함을 수정하는 방법을 시연해 보였다 이미지 출처 : Massachusetts Institute of Technology 매사추세츠공과대학 연구원들은 다른 프로그램에서 실행 중인 코드를 삽입해 버그가 있는 소프트웨어를 수정하는 방법을 소개했다. 이는 오래된 차에서 부품을 떼어내 판매하는 것과 비슷하다고 할 수 있다. 코드페이지(CodePhage)라고 하는 시스템을 사용해 연구원들은 적게는 2개에서 많게는 4개에 이르는 기증 프로그램에서 각각 7개의 일반적인 오픈소스 프로그램의 결함을 수정할 수 있었다. 악의적인 해커들이 종종 시스템에 침입하기 위해 결함을 악용하곤 하는데 이 오류들을 수정하면 소프트웨어 코드를 좀더 안전하게 만들 수 있다. 코드페이지는 바운드 액세스(bound access), 정수 오버플로우(integer overflows), 0으로 나누기 오류(divide-by-zero errors) 등의 오류들을 일반적인 프로그래밍 오류를 인지해서 수정할 수 있다. 연구팀은 저널 Phys.Org의 월요일 판에서 자신들의 접근방법에 대해 설명했다. 또 연구원들은 컴퓨팅학회가 지난달 개최했던 프로그래밍 행사에서도 이에 대해 논의했다. 버그가 있는 프로그램을 수정하려면 코드페이지에 2개의 샘플을 입력해야 한다. 하나는 프로그램 충돌을 일으키는 것이고 다른 하나는 프로그램 충돌을 일으키지 않는 것이다.   이는 비슷한 기능을 가진 기증 프로그램으로 알려진 제 2의 프로그램을 통해 이러한 입력을 실행한다 기증 코드가 오픈소스여야 한다는 특별한 이유는 없지만 인터넷에는 기증받은 프로그램을 위한 부품을 제공할 수 있는 오픈소스 소프트웨어가 넘쳐 나도록 많다.  코드페이지는 모든 실행을 기록하며 기증받은 프로그램은 충돌 없는 입력을 처리해 준다. 그런 다음 다시 실행을 기록하며 원래의 프로그램이 충돌하는 원인이 된 입력을 작동시킨다. 그 다음 코드페이지...

개발자 코드페이지 메사추세츠공과대학 수정 결함 MIT 버그 에러 개발 소프트웨어 Codephage

2015.06.30

MIT 연구원들이 작업 프로그램에서 복사한 코드를 사용해 결함을 수정하는 방법을 시연해 보였다 이미지 출처 : Massachusetts Institute of Technology 매사추세츠공과대학 연구원들은 다른 프로그램에서 실행 중인 코드를 삽입해 버그가 있는 소프트웨어를 수정하는 방법을 소개했다. 이는 오래된 차에서 부품을 떼어내 판매하는 것과 비슷하다고 할 수 있다. 코드페이지(CodePhage)라고 하는 시스템을 사용해 연구원들은 적게는 2개에서 많게는 4개에 이르는 기증 프로그램에서 각각 7개의 일반적인 오픈소스 프로그램의 결함을 수정할 수 있었다. 악의적인 해커들이 종종 시스템에 침입하기 위해 결함을 악용하곤 하는데 이 오류들을 수정하면 소프트웨어 코드를 좀더 안전하게 만들 수 있다. 코드페이지는 바운드 액세스(bound access), 정수 오버플로우(integer overflows), 0으로 나누기 오류(divide-by-zero errors) 등의 오류들을 일반적인 프로그래밍 오류를 인지해서 수정할 수 있다. 연구팀은 저널 Phys.Org의 월요일 판에서 자신들의 접근방법에 대해 설명했다. 또 연구원들은 컴퓨팅학회가 지난달 개최했던 프로그래밍 행사에서도 이에 대해 논의했다. 버그가 있는 프로그램을 수정하려면 코드페이지에 2개의 샘플을 입력해야 한다. 하나는 프로그램 충돌을 일으키는 것이고 다른 하나는 프로그램 충돌을 일으키지 않는 것이다.   이는 비슷한 기능을 가진 기증 프로그램으로 알려진 제 2의 프로그램을 통해 이러한 입력을 실행한다 기증 코드가 오픈소스여야 한다는 특별한 이유는 없지만 인터넷에는 기증받은 프로그램을 위한 부품을 제공할 수 있는 오픈소스 소프트웨어가 넘쳐 나도록 많다.  코드페이지는 모든 실행을 기록하며 기증받은 프로그램은 충돌 없는 입력을 처리해 준다. 그런 다음 다시 실행을 기록하며 원래의 프로그램이 충돌하는 원인이 된 입력을 작동시킨다. 그 다음 코드페이지...

2015.06.30

가트너 기고 | 오픈소스 SW 품질 및 보안에 대한 올바른 이해

오픈소스 소프트웨어(OSS: Open Source Software)는 클로즈드소스 소프트웨어(CSS: Closed Source Software) 보다 태생적으로 품질이 좋고 보안이 강력한 것일까? 소프트웨어 개발자들 사이에서 이 질문에 대한 의견은 오랫동안 분분했다. 일부 사람들은 OSS가 취미로 소프트웨어 개발을 하던 사람들의 결과물이기 때문에 CSS 개발에 비해 참여자들의 성실함이나 모범사례들이 간과되는 경향이 있다고 말한다. 그러나 대부분의 사람들은 오픈소스 모델이 ‘투명’한 속성을 지니고 있기 때문에 당연히 클로즈드소스보다 품질 및 보안이 뛰어날 것이라고 주장한다. 하지만 실제 IT 프로젝트의 보안 수준이나 최종 결과물의 품질은 OSS 나 CSS 의 속성 때문에 달라지는 것이 아니라, 각 프로젝트 별로 적용되는 거버넌스 및 기술 등 다양한 요소에 의해 결정된다. 따라서, IT 리더들은 OSS에 대한 모든 고정관념들을 내려놓고, 각 프로젝트에 적용되는 OSS를 개별 검토하여 품질 및 보안을 평가해야 한다. 이를 통해서만 기업의 성공적인 장기 IT 로드맵을 수립할 수 있다. 가트너는 2016년까지 최소 95%의 IT 조직들이 중요한 기업 IT 포트폴리오에 OSS를 이용할 것으로 예측하고 있다. 소위 ‘주류’ IT 과업들에 OSS의 사용이 증가하면서, 2020년까지 OSS로 인해 발생되는 품질 및 보안 결함 문제들도 상당히 증가할 전망이다. 기업 내에서 OSS를 활용할 경우 리스크는 최소화하고 가치는 최대화하기 위해 다음과 같은 사항들을 고려해야 한다. OSS가 당연히 품질이 뛰어날 것이라는 생각을 버려라 오픈소스 모델은 투명성을 특징으로 하기 때문에 프로젝트 운영이 원활하고 협업이 잘 될 경우 ‘중간’ 이상의 품질을 보장할 수 있다. 이 때문에, 다수의 사람들이 OSS가 본질적으로 CSS 보다 품질이 뛰어나다고 생각한다. 이를 뒷받침 하는...

보안 오픈소스 소프트웨어 CSS 결함 가트너 기고 OSS

2014.07.18

오픈소스 소프트웨어(OSS: Open Source Software)는 클로즈드소스 소프트웨어(CSS: Closed Source Software) 보다 태생적으로 품질이 좋고 보안이 강력한 것일까? 소프트웨어 개발자들 사이에서 이 질문에 대한 의견은 오랫동안 분분했다. 일부 사람들은 OSS가 취미로 소프트웨어 개발을 하던 사람들의 결과물이기 때문에 CSS 개발에 비해 참여자들의 성실함이나 모범사례들이 간과되는 경향이 있다고 말한다. 그러나 대부분의 사람들은 오픈소스 모델이 ‘투명’한 속성을 지니고 있기 때문에 당연히 클로즈드소스보다 품질 및 보안이 뛰어날 것이라고 주장한다. 하지만 실제 IT 프로젝트의 보안 수준이나 최종 결과물의 품질은 OSS 나 CSS 의 속성 때문에 달라지는 것이 아니라, 각 프로젝트 별로 적용되는 거버넌스 및 기술 등 다양한 요소에 의해 결정된다. 따라서, IT 리더들은 OSS에 대한 모든 고정관념들을 내려놓고, 각 프로젝트에 적용되는 OSS를 개별 검토하여 품질 및 보안을 평가해야 한다. 이를 통해서만 기업의 성공적인 장기 IT 로드맵을 수립할 수 있다. 가트너는 2016년까지 최소 95%의 IT 조직들이 중요한 기업 IT 포트폴리오에 OSS를 이용할 것으로 예측하고 있다. 소위 ‘주류’ IT 과업들에 OSS의 사용이 증가하면서, 2020년까지 OSS로 인해 발생되는 품질 및 보안 결함 문제들도 상당히 증가할 전망이다. 기업 내에서 OSS를 활용할 경우 리스크는 최소화하고 가치는 최대화하기 위해 다음과 같은 사항들을 고려해야 한다. OSS가 당연히 품질이 뛰어날 것이라는 생각을 버려라 오픈소스 모델은 투명성을 특징으로 하기 때문에 프로젝트 운영이 원활하고 협업이 잘 될 경우 ‘중간’ 이상의 품질을 보장할 수 있다. 이 때문에, 다수의 사람들이 OSS가 본질적으로 CSS 보다 품질이 뛰어나다고 생각한다. 이를 뒷받침 하는...

2014.07.18

"해커들, 대중적인 SW에 매일 접근해 결함 찾아낸다" NSS랩 조사

아직 알려지지 않은 취약점을 소프트웨어 개발자에게 판매하는 조직들이 대중적인 소프트웨어의 결함을 발견하고자 매일 접근하는 것으로 조사됐다. 테스팅 보안 제품 업체 NSS랩에 따르면, 지난 3년 동안 해커들은 2개의 주요 취약점 프로그램을 이용해 특정일에 마이크로소프트, 애플, 오라클, 어도비 등의 제품에서 최소 58개의 악용 결함에 접근한 적이 있는 것으로 나타났다. NSS랩은 해커들이 취약점을 구매하고 나서 해당 업체가 패치를 발표하기까지 평균 151일 걸린다고 밝혔다. NSS랩의 연구 결과는 HP가 2010년에 인수한 네트워크 보안 업체인 티핑포인트와 베리사인이 소유한 보안 인텔리전스 서비스인 아이디펜스(iDefense)의 10년치 분석 데이터를 기반으로 했다. 두 업체는 취약점을 구입해 사용자들에게 알리며 패치를 개발하는 과정에서 SW업체들과 공조하고 있다. NSS의 연구 책임자이자 이 보고서의 저자인 스테판 프라이는 "사이버범죄자, 정부 기관, 기업 등이 활용할 수 있는 비밀 취약점의 실제 숫자는 훨씬 더 많다. 그들이 지불할 수 있는 돈이 많기 때문이다"라고 말했다. 사이버범죄자들은 암시장에서 소위 말하는 제로데이 취약점을 구매할 것이다. 반면 정부 기관과 기업은 브로커에게 구매해 뷔펭 시큐리티(VUPEN Security), 리불른(ReVuln), 엔드게임시스템(Endgame Systems), 엑소더스 인텔리전스(Exodus Intelligence), 넷트라가드(Netragard) 등의 정보센터를 활용하고 있다. 이 6개 업체는 공동으로 1년에 최소 100가지 악용을 제공할 수 있다고 프라이는 전했다. 2010년 2월 판매가격목록을 보면, 엔드게임은 1년에 25개의 제로데이 악용을 250만 달러에 판매한 것으로 나타났다. 7월 넷트라가드 설립자 아드리 디소텔은 뉴욕타임즈이와의 인터뷰에서 취약점은 평균 약 3만 5,000달러에서 16만 달러에 판매된다고 밝혔다. 전문가들은 취약점이 항상 존재하...

CSO 결함 제로데이 악성코드 패치 취약점 CISO 조사 맬웨어 개발자 NSS랩

2013.12.09

아직 알려지지 않은 취약점을 소프트웨어 개발자에게 판매하는 조직들이 대중적인 소프트웨어의 결함을 발견하고자 매일 접근하는 것으로 조사됐다. 테스팅 보안 제품 업체 NSS랩에 따르면, 지난 3년 동안 해커들은 2개의 주요 취약점 프로그램을 이용해 특정일에 마이크로소프트, 애플, 오라클, 어도비 등의 제품에서 최소 58개의 악용 결함에 접근한 적이 있는 것으로 나타났다. NSS랩은 해커들이 취약점을 구매하고 나서 해당 업체가 패치를 발표하기까지 평균 151일 걸린다고 밝혔다. NSS랩의 연구 결과는 HP가 2010년에 인수한 네트워크 보안 업체인 티핑포인트와 베리사인이 소유한 보안 인텔리전스 서비스인 아이디펜스(iDefense)의 10년치 분석 데이터를 기반으로 했다. 두 업체는 취약점을 구입해 사용자들에게 알리며 패치를 개발하는 과정에서 SW업체들과 공조하고 있다. NSS의 연구 책임자이자 이 보고서의 저자인 스테판 프라이는 "사이버범죄자, 정부 기관, 기업 등이 활용할 수 있는 비밀 취약점의 실제 숫자는 훨씬 더 많다. 그들이 지불할 수 있는 돈이 많기 때문이다"라고 말했다. 사이버범죄자들은 암시장에서 소위 말하는 제로데이 취약점을 구매할 것이다. 반면 정부 기관과 기업은 브로커에게 구매해 뷔펭 시큐리티(VUPEN Security), 리불른(ReVuln), 엔드게임시스템(Endgame Systems), 엑소더스 인텔리전스(Exodus Intelligence), 넷트라가드(Netragard) 등의 정보센터를 활용하고 있다. 이 6개 업체는 공동으로 1년에 최소 100가지 악용을 제공할 수 있다고 프라이는 전했다. 2010년 2월 판매가격목록을 보면, 엔드게임은 1년에 25개의 제로데이 악용을 250만 달러에 판매한 것으로 나타났다. 7월 넷트라가드 설립자 아드리 디소텔은 뉴욕타임즈이와의 인터뷰에서 취약점은 평균 약 3만 5,000달러에서 16만 달러에 판매된다고 밝혔다. 전문가들은 취약점이 항상 존재하...

2013.12.09

'600만 이용자 정보 누출'··· 페이스북, 해묵은 버그 인정

페이스북이 지금껏 600만 이용자의 개인정보 누출을 야기한, 1년여에 걸친 결함을 인정했다. 이 소셜 미디어 기업은 지난 24일 1억 명의 정보가 담긴 거대 연락처 정보 아카이브에 ‘기술적 결함’이 있었다고 밝혔다. 오류의 골자는 페이스북 친구 리스트와 관련해 연락처 데이터를 다운로드한 이용자가 휴대폰 번호, 이메일 주소 등의 추가 정보까지 얻는 것이었다. 구체적으로 DYI(Download Your Information) 도구를 이용한 일부 이용자들이 페이스북 추천 인물의 상세 정보까지 다운로드했던 것. 페이스북은 그러나 정보가 늘 정확하지는 않았으며 데이터가 페이스북 사용자나 개별 인명과 연결되지 않았다고 전했다. 이어 회사의 보안 팀이 문제를 확인했으며 즉시 비활성화된 한편 DYI 도구가 온라인으로 복귀조치됐다고 전했다. 페이스북은 “이번 버그가 악용됐다는 증거를 찾을 수 없었다. 사용자들로부터 어떠한 불평도 없었다”라며, “비록 이번 버그로 인해 실제적인 여파가 나타나지는 않았지만 우리에겐 부끄러운 일이다. 이번 일이 다시 발생하지 않도록 최선을 다할 것”이라고 덧붙였다. ciokr@idg.co.kr

페이스북 개인정보 버그 결함

2013.06.25

페이스북이 지금껏 600만 이용자의 개인정보 누출을 야기한, 1년여에 걸친 결함을 인정했다. 이 소셜 미디어 기업은 지난 24일 1억 명의 정보가 담긴 거대 연락처 정보 아카이브에 ‘기술적 결함’이 있었다고 밝혔다. 오류의 골자는 페이스북 친구 리스트와 관련해 연락처 데이터를 다운로드한 이용자가 휴대폰 번호, 이메일 주소 등의 추가 정보까지 얻는 것이었다. 구체적으로 DYI(Download Your Information) 도구를 이용한 일부 이용자들이 페이스북 추천 인물의 상세 정보까지 다운로드했던 것. 페이스북은 그러나 정보가 늘 정확하지는 않았으며 데이터가 페이스북 사용자나 개별 인명과 연결되지 않았다고 전했다. 이어 회사의 보안 팀이 문제를 확인했으며 즉시 비활성화된 한편 DYI 도구가 온라인으로 복귀조치됐다고 전했다. 페이스북은 “이번 버그가 악용됐다는 증거를 찾을 수 없었다. 사용자들로부터 어떠한 불평도 없었다”라며, “비록 이번 버그로 인해 실제적인 여파가 나타나지는 않았지만 우리에겐 부끄러운 일이다. 이번 일이 다시 발생하지 않도록 최선을 다할 것”이라고 덧붙였다. ciokr@idg.co.kr

2013.06.25

“미지의 자바 결함, 암시장서 5천 달러에 판매”

또 다른 자바의 보안 결함이 수백 만대의 보안을 위협하고 있다는 주장이다. 오라클로서는 지속적으로 반복되는 데자뷰다. 지난 주 발견된 자바의 보안 결함으로 인해 오라클이 패치를 발표한 지 며칠 만에 새로운 보안 경고가 발령되고 있다. 최신 자바 버전(버전 7, 업데이트 11)에 내장된 새로운 제로데이 취약점이 2인의 구매자에게 각각 5,000달러에 판매됐다는 소식 때문이다. 보안 전문 블루거 브라이언 크렙스는 폐쇄적 사이버범죄 포럼을 통해 이번 거래를 알아냈다면서, 판매자가 이 취약점의 소스 코드 버전을 무기화해 공급했다고 전했다. 그는 이어 사이버범죄 포럼에서 이 거래를 포착한 후 해당 증거는 삭제됐다면서 이는 판매자가 거래를 완료했기 때문으로 풀이된다고 덧붙였다. 안티 바이러스 소프트웨어 제조사 비트디펜더의 전자위협 애널리스트 보그단 보테자투에 따르면, 이번 최신 자바 취약점은, 아직 누구도 정확히 모르고 있다는 점에서 지난 번 취약점보다 위험한 상태다. 그는 지난 13일 패치된 결함의 경우 취약점 코드가 보안 전문가에 의해 규명됐었던 반면,이번 최신 결함은 판매자에게만 알려진 상태라고 말했다. 그는 이번 주 초 블로그를 통해 일요일의 자바 패치에도 불구하고 사이버 범죄자들은 패치를 설치하지 않은 사용자의 PC를 대상으로 랜섬웨어를 설치하려고 지속적으로 시도할 것이라고 경고한 바 있다. 오라클의 보안 행보 한편 오라클은 지난 13일의 패치와 함께 자바의 보안 설정을 ‘high’가 기본값이 되도록 변경했다. 이는 사용자가 자바 애플릿의 실행을 허용해야만 한다는 것을 의미한다. 에일리언볼트 랩스의 제이미 블라스코 매니저는 이러한 조치가 자바를 보다 안전하게 하는 획기적인 행보이긴 하지만 자바의 문제를 전면 해소하는 것과는 거리가 멀다고 지적했다. -> 블로그 | 자바를 퇴출시켜야 할 시점 ciokr@idg.co.kr

보안 오라클 자바 결함

2013.01.17

또 다른 자바의 보안 결함이 수백 만대의 보안을 위협하고 있다는 주장이다. 오라클로서는 지속적으로 반복되는 데자뷰다. 지난 주 발견된 자바의 보안 결함으로 인해 오라클이 패치를 발표한 지 며칠 만에 새로운 보안 경고가 발령되고 있다. 최신 자바 버전(버전 7, 업데이트 11)에 내장된 새로운 제로데이 취약점이 2인의 구매자에게 각각 5,000달러에 판매됐다는 소식 때문이다. 보안 전문 블루거 브라이언 크렙스는 폐쇄적 사이버범죄 포럼을 통해 이번 거래를 알아냈다면서, 판매자가 이 취약점의 소스 코드 버전을 무기화해 공급했다고 전했다. 그는 이어 사이버범죄 포럼에서 이 거래를 포착한 후 해당 증거는 삭제됐다면서 이는 판매자가 거래를 완료했기 때문으로 풀이된다고 덧붙였다. 안티 바이러스 소프트웨어 제조사 비트디펜더의 전자위협 애널리스트 보그단 보테자투에 따르면, 이번 최신 자바 취약점은, 아직 누구도 정확히 모르고 있다는 점에서 지난 번 취약점보다 위험한 상태다. 그는 지난 13일 패치된 결함의 경우 취약점 코드가 보안 전문가에 의해 규명됐었던 반면,이번 최신 결함은 판매자에게만 알려진 상태라고 말했다. 그는 이번 주 초 블로그를 통해 일요일의 자바 패치에도 불구하고 사이버 범죄자들은 패치를 설치하지 않은 사용자의 PC를 대상으로 랜섬웨어를 설치하려고 지속적으로 시도할 것이라고 경고한 바 있다. 오라클의 보안 행보 한편 오라클은 지난 13일의 패치와 함께 자바의 보안 설정을 ‘high’가 기본값이 되도록 변경했다. 이는 사용자가 자바 애플릿의 실행을 허용해야만 한다는 것을 의미한다. 에일리언볼트 랩스의 제이미 블라스코 매니저는 이러한 조치가 자바를 보다 안전하게 하는 획기적인 행보이긴 하지만 자바의 문제를 전면 해소하는 것과는 거리가 멀다고 지적했다. -> 블로그 | 자바를 퇴출시켜야 할 시점 ciokr@idg.co.kr

2013.01.17

해커들이 악용하는 최악의 웹 애플리케이션 로직 결함 톱 10

해커들은 온라인 주문이나 기타 프로세스의 약점을 악용하기 위해서 특히 웹 상에서 비즈니스 로직(Business Logic)의 결함을 찾아 다니고 있다. 애플리케이션의 보안을 검증하는 NT OBJECTives는 가장 빈번히 발견되는 비즈니스 로직 결함 열 가지를 선정했다.   1. 인증 플래그(Flag) 및 권한 승급 애플리케이션에는 자체적인 접속 제어 목록과 권한이 설정되어 있기 때문에 인증 이행이 약화되면 다른 사람의 콘텐츠에 접근하거나 더 큰 권한을 갖는 더 높은 수준의 사용자가 되는 등에 악용할 수 있는 취약성이 나타나게 된다.    여기서 필요한 것은 목표가 될 수 있는 ACL/권한과 관련이 있는 매개변수의 이름을 확인하는 일이며, 테스트를 진행하는 사람은 퍼지(Fuzzy) 툴을 이용해 비트 패턴이나 권한 플래그를 바꿀 수 있으며, 이를 통해 공격자가 권한을 악용하거나 승급시키거나 인증 과정을 우회하는 위치를 찾아낼 수 있다.   2. 중요한 매개변수 조작 및 승인되지 않은 정보/콘텐츠에 대한 접근 HTTP GET 및 POST 요청이 애플리케이션에 전달될 때는 일반적으로 이름/값 쌍(Pair), JSON, XML 등 여러 매개변수가 수반되지만, 이런 것들은 추측을 통해 조작하거나 예상할 수 있다. 이를 위해서는 쉽게 예상할 수 있는 값을 찾고 매개변수의 값을 변환해 승인되지 않은 접속 권한을 얻을 수 있는지 확인해야 한다.   3. 개발자의 쿠키 추측 및 비즈니스 프로세스/로직 우회 쿠키는 종종 HTTP에서의 상태를 유지하기 위해서 사용되지만, 개발자들은 세션 쿠키(Session Cookie)를 사용할 뿐 아니라 세션 전용 변수를 이용해 내부적으로 데이터를 구축한다. 애플리케이션 개발자들은 로직의 약점을 드러내는 주요 시점에서 브라우저 상에 새로운 쿠키를 설정한다.    여기서 문제는 쿠키가 역엔지니...

보안 해킹 애플리케이션 해커 취약점 결함 로직

2012.05.08

해커들은 온라인 주문이나 기타 프로세스의 약점을 악용하기 위해서 특히 웹 상에서 비즈니스 로직(Business Logic)의 결함을 찾아 다니고 있다. 애플리케이션의 보안을 검증하는 NT OBJECTives는 가장 빈번히 발견되는 비즈니스 로직 결함 열 가지를 선정했다.   1. 인증 플래그(Flag) 및 권한 승급 애플리케이션에는 자체적인 접속 제어 목록과 권한이 설정되어 있기 때문에 인증 이행이 약화되면 다른 사람의 콘텐츠에 접근하거나 더 큰 권한을 갖는 더 높은 수준의 사용자가 되는 등에 악용할 수 있는 취약성이 나타나게 된다.    여기서 필요한 것은 목표가 될 수 있는 ACL/권한과 관련이 있는 매개변수의 이름을 확인하는 일이며, 테스트를 진행하는 사람은 퍼지(Fuzzy) 툴을 이용해 비트 패턴이나 권한 플래그를 바꿀 수 있으며, 이를 통해 공격자가 권한을 악용하거나 승급시키거나 인증 과정을 우회하는 위치를 찾아낼 수 있다.   2. 중요한 매개변수 조작 및 승인되지 않은 정보/콘텐츠에 대한 접근 HTTP GET 및 POST 요청이 애플리케이션에 전달될 때는 일반적으로 이름/값 쌍(Pair), JSON, XML 등 여러 매개변수가 수반되지만, 이런 것들은 추측을 통해 조작하거나 예상할 수 있다. 이를 위해서는 쉽게 예상할 수 있는 값을 찾고 매개변수의 값을 변환해 승인되지 않은 접속 권한을 얻을 수 있는지 확인해야 한다.   3. 개발자의 쿠키 추측 및 비즈니스 프로세스/로직 우회 쿠키는 종종 HTTP에서의 상태를 유지하기 위해서 사용되지만, 개발자들은 세션 쿠키(Session Cookie)를 사용할 뿐 아니라 세션 전용 변수를 이용해 내부적으로 데이터를 구축한다. 애플리케이션 개발자들은 로직의 약점을 드러내는 주요 시점에서 브라우저 상에 새로운 쿠키를 설정한다.    여기서 문제는 쿠키가 역엔지니...

2012.05.08

기고 | SW 결함, “상용>오픈소스”

커버리티의 조사에 따르면, 평균적으로 상용 소프트웨어 코드보다 오픈소스 SW에서 결함이 더 적게 발견됐다.   파이어폭스, 리브레오피스(LibreOffice), 리눅스 등 프리에어 및 오픈소스 소프트웨어가 기업과 가정용 컴퓨터에서 점점 더 널리 채택되고 있지만 여전히 이를 반대하는 우려의 목소리가 존재한다. 이들은 오픈소스의 품질에 대해 지적하곤 한다. 이들의 주장은 이렇다. “당신이 지불한 만큼 얻는다.” 이러한 우려는 모든 FUD(Fear, uncertainty and doubt)에서 늘 있는 문제로 개발 테스트 업체인 커버리티(Coverity)의 새 보고서는 것을 확인하는 데 도움을 줄 것이다. 23일 발표된 2011 커버리티 스캔 오픈소스 무결성 리포트(2011 Coverity Scan Open Source Integrity Report)에서, 커버리티는 실제로 상용 소프트웨어 코드보다 오픈소스 코드에서 수 천 코딩라인 당 더 적게 결함이 발견됐다고 밝혔다. "오픈소스가 더 현대적인 소프트웨어 공급망에서 만들어졌기 때문에 오랜 시간 동안 여러 사람들에 의해 수정됐기 때문이다"라고 이 보고서를 작성한 이사 잭 새모카는 지적했다. 결함을 찾는 중 커버리티에 따르면, 스캔 프로젝트는 원래 2006년 미국 국토안보부와 함께 커버리티가 시작한 것으로, 오픈소스 소프트웨어 무결성에 초점을 맞춘 가장 큰 공공-민간 연구 연구에서 출발했다. 올해는 익명의 사용자 샘플에서 오픈소스 소프트웨어 코드 3,700만 이상의 라인과 상용 소프트웨어 코드 3억 이상의 라인을 분석했다. 그 분석을 수행하기 위해 커버리티는 올해 업그레이드된 테스트 플랫폼을 사용한다고 밝혔다. 이 테스트 플랫폼은 소프트웨어 코드의 결함이 더 많은 신규 및 기존 형식을 찾게 해주는 것으로 알려졌다. 리눅스 2.6 등장 커버리티의 조사 결과 상용 SW 코드 규모는 평균 750만 라인이며 1만 코딩라인 당 발견된...

오픈소스 테스트 결함

2012.02.27

커버리티의 조사에 따르면, 평균적으로 상용 소프트웨어 코드보다 오픈소스 SW에서 결함이 더 적게 발견됐다.   파이어폭스, 리브레오피스(LibreOffice), 리눅스 등 프리에어 및 오픈소스 소프트웨어가 기업과 가정용 컴퓨터에서 점점 더 널리 채택되고 있지만 여전히 이를 반대하는 우려의 목소리가 존재한다. 이들은 오픈소스의 품질에 대해 지적하곤 한다. 이들의 주장은 이렇다. “당신이 지불한 만큼 얻는다.” 이러한 우려는 모든 FUD(Fear, uncertainty and doubt)에서 늘 있는 문제로 개발 테스트 업체인 커버리티(Coverity)의 새 보고서는 것을 확인하는 데 도움을 줄 것이다. 23일 발표된 2011 커버리티 스캔 오픈소스 무결성 리포트(2011 Coverity Scan Open Source Integrity Report)에서, 커버리티는 실제로 상용 소프트웨어 코드보다 오픈소스 코드에서 수 천 코딩라인 당 더 적게 결함이 발견됐다고 밝혔다. "오픈소스가 더 현대적인 소프트웨어 공급망에서 만들어졌기 때문에 오랜 시간 동안 여러 사람들에 의해 수정됐기 때문이다"라고 이 보고서를 작성한 이사 잭 새모카는 지적했다. 결함을 찾는 중 커버리티에 따르면, 스캔 프로젝트는 원래 2006년 미국 국토안보부와 함께 커버리티가 시작한 것으로, 오픈소스 소프트웨어 무결성에 초점을 맞춘 가장 큰 공공-민간 연구 연구에서 출발했다. 올해는 익명의 사용자 샘플에서 오픈소스 소프트웨어 코드 3,700만 이상의 라인과 상용 소프트웨어 코드 3억 이상의 라인을 분석했다. 그 분석을 수행하기 위해 커버리티는 올해 업그레이드된 테스트 플랫폼을 사용한다고 밝혔다. 이 테스트 플랫폼은 소프트웨어 코드의 결함이 더 많은 신규 및 기존 형식을 찾게 해주는 것으로 알려졌다. 리눅스 2.6 등장 커버리티의 조사 결과 상용 SW 코드 규모는 평균 750만 라인이며 1만 코딩라인 당 발견된...

2012.02.27

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31