Offcanvas

������ ���������

지니언스, ‘버그바운티’ 우수 신고자 6명에 포상금 지급

‘버그 바운티(Bug Bounty)’ 프로그램을 시행하고 있는 지니언스가 보안 취약점을 제보한 우수 신고자 6명에게 포상금을 지급했다고 11일(현지 시각) 밝혔다.   회사에 따르면 버그 바운티는 오류, 오작동을 의미하는 버그(Bug)와 포상금이란 뜻의 바운티(Bounty)가 합해진 용어로, 소프트웨어 또는 웹서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 보안 취약점을 악용한 침해 사고를 사전에 예방함은 물론 화이트 해커 등 차세대 보안 전문가 육성의 토대도 될 수 있다고 업체 측은 설명했다. 사이버 위협의 주요 요인인 보안 취약점은 무엇보다 신속하게 발견해 조치하는 것이 중요하다. 구글·MS·페이스북 등 주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴과 보안 강화를 위해 버그 바운티 프로그램을 적극적으로 운영하고 있다. 지니언스는 2021년 차세대 보안리더 양성 프로그램(BOB) 10기 교육생들과 취약점 분석 프로젝트를 공동 진행했으며 지난 3월부터 최근까지 버그 바운티(https://genians.co.kr/resources/bug-bounty/)를 운영한 결과, 총 26건의 취약점이 접수됐다. 공격 영향도, 공격 난이도 등 보안 취약점 평가 국제 표준에 근거하여 객관적인 기준에 따라 취약점을 평가했다. 신고된 신규 취약점에 대해서는 내부 분석을 통해 신속하게 해결한 후 공격 위험도 등에 따라 홈페이지 등에 공지하고 고객사 패치를 진행하고 있다. 지니언스의 버그 바운티 프로그램은 네트워크 접근 제어 솔루션인 ‘지니안 NAC’와 ‘클라우드 NAC CSM 서비스’가 대상이다. 단, 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 우려 및 관련법에 따른 검증권한 부재로 평가 및 보상에서 제외된다. 보안 취약점 신고서 등록 및 접수 확인은 수시로 이뤄지며 취약점 평가는 월 단위, 포상금 지급은 분기단위(1월, 4월, 7월, 10월)로 이뤄진다. 접수된 취약점은 보안 취약점 평가 국제 표준(CVS...

지니언스 버그 바운티 보안 취약점

2022.10.11

‘버그 바운티(Bug Bounty)’ 프로그램을 시행하고 있는 지니언스가 보안 취약점을 제보한 우수 신고자 6명에게 포상금을 지급했다고 11일(현지 시각) 밝혔다.   회사에 따르면 버그 바운티는 오류, 오작동을 의미하는 버그(Bug)와 포상금이란 뜻의 바운티(Bounty)가 합해진 용어로, 소프트웨어 또는 웹서비스의 취약점을 찾아낸 사람에게 포상금을 지급하는 제도다. 보안 취약점을 악용한 침해 사고를 사전에 예방함은 물론 화이트 해커 등 차세대 보안 전문가 육성의 토대도 될 수 있다고 업체 측은 설명했다. 사이버 위협의 주요 요인인 보안 취약점은 무엇보다 신속하게 발견해 조치하는 것이 중요하다. 구글·MS·페이스북 등 주요 글로벌 기업은 자사 제품 및 서비스의 취약점 발굴과 보안 강화를 위해 버그 바운티 프로그램을 적극적으로 운영하고 있다. 지니언스는 2021년 차세대 보안리더 양성 프로그램(BOB) 10기 교육생들과 취약점 분석 프로젝트를 공동 진행했으며 지난 3월부터 최근까지 버그 바운티(https://genians.co.kr/resources/bug-bounty/)를 운영한 결과, 총 26건의 취약점이 접수됐다. 공격 영향도, 공격 난이도 등 보안 취약점 평가 국제 표준에 근거하여 객관적인 기준에 따라 취약점을 평가했다. 신고된 신규 취약점에 대해서는 내부 분석을 통해 신속하게 해결한 후 공격 위험도 등에 따라 홈페이지 등에 공지하고 고객사 패치를 진행하고 있다. 지니언스의 버그 바운티 프로그램은 네트워크 접근 제어 솔루션인 ‘지니안 NAC’와 ‘클라우드 NAC CSM 서비스’가 대상이다. 단, 지니언스 홈페이지 등 현재 운영 중인 서비스에 대한 취약점은 불법적인 해킹 우려 및 관련법에 따른 검증권한 부재로 평가 및 보상에서 제외된다. 보안 취약점 신고서 등록 및 접수 확인은 수시로 이뤄지며 취약점 평가는 월 단위, 포상금 지급은 분기단위(1월, 4월, 7월, 10월)로 이뤄진다. 접수된 취약점은 보안 취약점 평가 국제 표준(CVS...

2022.10.11

어떤 기업이 ‘공급망 공격’ 대응 잘할까? 구글 클라우드 보고서

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 보안 전문가라면 구글 클라우드의 도라 팀이 이번 주 발표한 보고서(2022 Accelerate State of DevOps)에 반가울 만한 소식이 있다. 데브섹옵스 모범 사례가 점점 더 일반화되고 있다는 것.  최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자).  소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다.  2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다.  공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼...

개발자 구글 클라우드 도라 데브섹옵스 공급망 공격 보안 취약점

2022.10.04

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 보안 전문가라면 구글 클라우드의 도라 팀이 이번 주 발표한 보고서(2022 Accelerate State of DevOps)에 반가울 만한 소식이 있다. 데브섹옵스 모범 사례가 점점 더 일반화되고 있다는 것.  최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자).  소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다.  2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다.  공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼...

2022.10.04

트위터, 540만 계정 정보 유출 '인정'

540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.  8월 5일(현지 시각) 트위터는 이를 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을 악위적인 행위자가 활용했으며, 이를 통해 수집한 정보를 판매하려 했다"라고 밝혔다.    트위터에 따르면 해당 제로데이 보안 취약점은 2021년 6월 코드 업데이트로 발생했다. 이를 악용하면 전화번호나 이메일 주소를 입력해 이 정보가 트위터 계정과 연결돼 있는지, 만약 그렇다면 어떤 계정과 연동돼 있는지 알 수 있었다고 회사 측은 설명했다.  이어 트위터는 해당 보안 취약점이 해커원(HackerOne) 버그 현상금 프로그램을 통해 보고된 이후 즉각 조사에 착수해 수정했으며, 당시에는 취약점이 악용됐다는 증거가 없었다고 발표했다.  하지만 지난 7월 블리핑 컴퓨터(Bleeping Computer)는 악의적인 행위자가 이 취약점을 악용해 총 548만 5,636개의 트위터 사용자 계정 정보를 수집했으며, 다크웹에서 이를 미화 3만 달러에 판매하고 있다고 보도했다. 이에 트위터는 "판매 데이터 샘플을 검토한 결과, 보안 업데이트가 이뤄지기 전에 악의적인 행위자가 이를 악용해 정보가 유출된 것으로 보인다"라고 전했다.  트위터는 "영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있다"라며, "최대한 신원을 노출하지 않으려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 게 좋다. 비밀번호가 노출되진 않았을지라도 모든 트위터 사용자는 인증 앱 또는 하드웨어 보안 키를 사용해 2단계 인증을 활성화하여 무단 로그인으로부터 계정을 보호할 것을 권장한다"라고 말했다. ciokr@idg.co.kr   

트위터 보안 취약점 데이터 유출

2022.08.08

540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.  8월 5일(현지 시각) 트위터는 이를 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을 악위적인 행위자가 활용했으며, 이를 통해 수집한 정보를 판매하려 했다"라고 밝혔다.    트위터에 따르면 해당 제로데이 보안 취약점은 2021년 6월 코드 업데이트로 발생했다. 이를 악용하면 전화번호나 이메일 주소를 입력해 이 정보가 트위터 계정과 연결돼 있는지, 만약 그렇다면 어떤 계정과 연동돼 있는지 알 수 있었다고 회사 측은 설명했다.  이어 트위터는 해당 보안 취약점이 해커원(HackerOne) 버그 현상금 프로그램을 통해 보고된 이후 즉각 조사에 착수해 수정했으며, 당시에는 취약점이 악용됐다는 증거가 없었다고 발표했다.  하지만 지난 7월 블리핑 컴퓨터(Bleeping Computer)는 악의적인 행위자가 이 취약점을 악용해 총 548만 5,636개의 트위터 사용자 계정 정보를 수집했으며, 다크웹에서 이를 미화 3만 달러에 판매하고 있다고 보도했다. 이에 트위터는 "판매 데이터 샘플을 검토한 결과, 보안 업데이트가 이뤄지기 전에 악의적인 행위자가 이를 악용해 정보가 유출된 것으로 보인다"라고 전했다.  트위터는 "영향을 받은 것으로 확인된 계정 소유자에게 직접 통지하고 있다"라며, "최대한 신원을 노출하지 않으려면 트위터 계정에 공개적으로 알려진 전화번호나 이메일 주소를 추가하지 않는 게 좋다. 비밀번호가 노출되진 않았을지라도 모든 트위터 사용자는 인증 앱 또는 하드웨어 보안 키를 사용해 2단계 인증을 활성화하여 무단 로그인으로부터 계정을 보호할 것을 권장한다"라고 말했다. ciokr@idg.co.kr   

2022.08.08

“오픈소스가 국가안보를 위협할 수 있다” 베라코드 CTO

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

오픈소스 로그4j 보안 취약점 베라코드 오픈소스 보안 자바 SBOM

2022.05.26

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성요소 ‘로그4j’에서 일련의 취약점이 발견되면서 전 세계의 기업 보안팀은 비상 경계 태세에 돌입해야 했다.    이는 미국 사이버 보안 및 인프라 보안국(CISA; Cybersecurity and Infrastructure Security Agency)을 비롯해 다른 국가의 CERT(Computer Emergency Response Team)에서도 경고했을 만큼 큰 사건이었으며, 아울러 보안 및 오픈소스 소프트웨어 생태계, 개발자가 오픈소스 구성요소를 사용하고 추적하는 방법에 관한 새로운 논의를 촉발했다.  여기서는 베라코드의 설립자 겸 CTO이자 애플리케이션 보안 및 취약점 분야에서 20년 이상의 경력을 갖춘 보안 업계 베테랑인 크리스 위소팔과 ‘로그4j 취약점의 여파와 오픈소스 보안의 미래’를 주제로 나눈 대화를 정리했다. ‘로그4j’의 중요성과 여파 “로그4j는 ‘광범위하게 사용돼 거의 모든 서버에 영향을 미칠 수 있다는 점에서’ 개발팀이 일상적으로 다루는 것과는 확실히 다른 유형의 취약점이었다. 이는 거의 모든 기업에 영향을 미쳤고, 모든 기업의 여러 개발팀, 즉 회사를 위해 새로운 일을 하는 팀과 1년에 한 번 정도 코드를 변경하는 유지관리 모드에 있는 팀을 강타했다.”  “베라코드는 SaaS 업체이기 때문에 모든 고객을 살펴볼 수 있다. 작년에 스캔한 수십만 개의 애플리케이션 중에서, 특히 기업 고객을 관심 있게 살펴봤다. 95%의 기업 고객이 자바를 쓰고 있었다. 이는 자바가 얼마나 인기 있는지를 보여준다. 만약 자바에 이와 같은 취약점이 또 있다면 그 역시 널리 퍼질 것이다.” “아울러 88%는 로그4j를 사용하고, 58%는 취약한 버전을 쓴다고 답했다....

2022.05.26

한 번쯤은 물어야 할 '클라우드 보안' 질문 9가지

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지 S. 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 C. 스콧처럼) 생각해야 한다(편집자 주: 조지 S. 패튼은 제2차 세계 대전에서 맹활약을 펼친 장군이다). 이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜)의 책을 읽고 있다. 이는 그가 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 그의 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다.    이와 마찬가지로 비즈니스 리더와 보안 리더도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커들은 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다.  ‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다. 자세한 내용은 다음의 영상을 참고하라.  아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 아래 소개할 ...

클라우드 클라우드 보안 사이버 보안 해커 보안 취약점 코드로서의 정책 코드형 정책 클라우드 침해 제로데이 공격 로그4j

2022.05.18

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지 S. 패튼 장군(정확하게는 1970년 영화 <패튼 대전차군단(Patton)>에서 패튼 장군을 연기해 아카데미 남우주연상을 수상한 배우 조지 C. 스콧처럼) 생각해야 한다(편집자 주: 조지 S. 패튼은 제2차 세계 대전에서 맹활약을 펼친 장군이다). 이 영화 초반의 한 장면에서 패튼 장군은 적군이 쓴 책(독일 장군 에르빈 롬멜)의 책을 읽고 있다. 이는 그가 군사 정보만 의존하지 않는다는 점을 보여준다. 패튼 장군은 적이 어떻게 생각하고 작전을 벌이는지 최대한 파악했다. 그다음 장면에는 그의 부대가 독일군의 탱크와 보병 부대에 가공할 만한 공격을 퍼붓는 모습이 펼쳐진다. 망원경으로 이 상황을 유심히 보고 있던 패튼 장군은 미소를 띠며 “롬멜, 이 대단한 XX! 네가 쓴 책 내가 읽었다!”라고 소리친다.    이와 마찬가지로 비즈니스 리더와 보안 리더도 해커의 동기와 전술에 관해 최대한 많은 지식을 미리 알아 둬야 한다. 보안 솔루션이 알려주는 정보만 의존해서는 안 된다. 잘못된 보안 감각만 얻을 수 있기 때문이다. 이 순간에도 해커들은 보안 경계를 우회하고, 임의의 경계를 건너며, 보안 솔루션을 회피하여 원하는 데이터를 얻고 있다.  ‘스니크(Snyk)’의 최고 아키텍트이자 클라우드 보안 SaaS 업체 ‘푸가(Fugue)’의 CEO 조시 스텔라는 경영진이 보안 팀에 클라우드 환경 관련 지식을 제공해 달라고 요청하고, 이를 다른 경영진에게 효과적으로 전달해야 보안 투자를 정당화할 수 있다고 강조했다. 자세한 내용은 다음의 영상을 참고하라.  아마도 기업의 적(해커)은 자신의 공격 방법을 사전에 공부할 수 있는 책을 써 주진 않을 것이다. 따라서 아래 소개할 ...

2022.05.18

“오픈소스 보안 강화·제로트러스트 구축 간소화” 구글 클라우드, 새 서비스 공개

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

오픈소스 보안 제로트러스트 구글 클라우드 보안 취약점 오픈소스

2022.05.18

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summit)에서 구글 클라우드는 새 서비스가 기업을 포함한 여러 고객이 가장 많이 쓰는 도구와 서비스의 보안을 강화하는 ‘인비저블 시큐리티(Invisible Security)’ 이니셔티브를 기반으로 한다고 밝혔다.    먼저 ‘어슈어드 오픈소스 소프트웨어(Assured Open Source Software; Assured OSS)’라는 서비스는 기업들이 오픈소스 종속성을 쉽게 관리할 수 있도록 하는 것을 목표로 한다. 구글 클라우드 시큐리티의 부사장 겸 총괄 책임자 수닐 포티는 “오늘날 오픈소스 소프트웨어의 보안 취약점을 패치하는 일은 위험한 두더지 잡기 게임처럼 느껴진다. 예를 들어 1개를 수정하면 2개가 갑자기 튀어나오기 때문”이라며, “이는 오픈소스 소프트웨어(OSS) 업체를 겨냥한 사이버 공격이 2020년부터 2021년까지 650% 증가했다는 보안 소프트웨어 회사 소나타입(Sonatype)의 연구 결과에서도 알 수 있다”라고 말했다.  구글에 따르면 ‘어슈어드 OSS’를 통해 오픈소스 소프트웨어를 쓰는 기업 사용자는 구글이 사용하는 것과 동일한 OSS 패키지를 자체 환경에 통합할 수 있다. 구글에서 큐레이션하는 이 패키지는 정기적으로 스캔, 분석, 취약점 테스트를 거치며, 구글이 보호하는 아티팩트 레지스트리(Artifact Registry)를 통해 배포된다고 포티는 설명했다. 현재 깃허브를 통해 500개 이상의 패키지를 사용할 수 있다.  이어서 그는 “계속해서 OSS 취약점을 찾고 있는 구글의 스케일은 모든 기업이 구축 및 운영하기 어려운 규모일 것”이라면서, “일반적으로 사용되는 오픈소스 프로젝트 중 550개를 계속 퍼징하고 있으며, 2022년 1월 기준으로 해당 프로...

2022.05.18

HP, 프린터 250종 보안 취약점 보고

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다.  게이트웨이 LLMNR 프로토콜 첫 번째 취약점인 CVE-2022-3942는 위험 등급 8.4에 해당한다. 독일 하이세(Heise)에 따르면 공격자는 이 펌웨어 취약점을 사용해 원격으로 버퍼 오버플로우를 일으킬 수 있다. 이를 통해 악성 코드를 주입하고 실행할 수 있다는 설명이다.  이때 LLMNR(Link-Local Multicast Name Resolution)이라는 프로토콜이 해커의 게이트웨이 역할을 한다. 이 프로토콜이 IPv4 및 IPv6 호스트 이름을 동일한 로컬 네트워크에 있는 호스트의 편집 가능한 숫자 주소로 변화시키는 것이다. 참고로 이 프로토콜은 윈도우 비스타, 윈도우 폰, 윈도우 10 모바일 이후의 모든 윈도우 버전에 기본 내장돼 있다. HP는 장치에서 LLMNR 프로토콜을 비활성화해도 취약점을 완화할 수 있다고 밝혔다.  취약점을 내장한 모델로는 HP 컬러 레이저젯, 디자인젯, 데스크젯, HP 디지털 센더, 레이저젯, 오피스젯 프로, 페이지와이드, 스캔젯 엔터프라이즈 등이 있다.  한편 HP는 20개 이상의 다른 모델에 대해 CVE-2022-24291, CVE-2022-24292 및 CVE-2022-24293라는 3가지 취약점을 보고했다. 이중 2개는 심각한 등급으로 분류된다. HP는 최신 펌웨어로 업데이트하는 것이 현재로서는 유일한 해결책이라고 강조했다.  HP 프린터 기종의 취약점과 관련한 사례는 종종 있었다. 2021년 말에만 해도 보안 연구원들은 150종 이상의 모델에서 심각한 보안 취약점을 발견한 바 있다. 해당 취약점은 해커가 프린터에 접근해 인쇄물, 스캔 콘텐츠, 팩스 콘텐츠를 확인할 수 있는 위험성과 기기의 로그인 데이터를...

HP 프린터 취약점 보안 취약점 LLMNR 프로토콜 펌웨어

2022.03.24

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다.  게이트웨이 LLMNR 프로토콜 첫 번째 취약점인 CVE-2022-3942는 위험 등급 8.4에 해당한다. 독일 하이세(Heise)에 따르면 공격자는 이 펌웨어 취약점을 사용해 원격으로 버퍼 오버플로우를 일으킬 수 있다. 이를 통해 악성 코드를 주입하고 실행할 수 있다는 설명이다.  이때 LLMNR(Link-Local Multicast Name Resolution)이라는 프로토콜이 해커의 게이트웨이 역할을 한다. 이 프로토콜이 IPv4 및 IPv6 호스트 이름을 동일한 로컬 네트워크에 있는 호스트의 편집 가능한 숫자 주소로 변화시키는 것이다. 참고로 이 프로토콜은 윈도우 비스타, 윈도우 폰, 윈도우 10 모바일 이후의 모든 윈도우 버전에 기본 내장돼 있다. HP는 장치에서 LLMNR 프로토콜을 비활성화해도 취약점을 완화할 수 있다고 밝혔다.  취약점을 내장한 모델로는 HP 컬러 레이저젯, 디자인젯, 데스크젯, HP 디지털 센더, 레이저젯, 오피스젯 프로, 페이지와이드, 스캔젯 엔터프라이즈 등이 있다.  한편 HP는 20개 이상의 다른 모델에 대해 CVE-2022-24291, CVE-2022-24292 및 CVE-2022-24293라는 3가지 취약점을 보고했다. 이중 2개는 심각한 등급으로 분류된다. HP는 최신 펌웨어로 업데이트하는 것이 현재로서는 유일한 해결책이라고 강조했다.  HP 프린터 기종의 취약점과 관련한 사례는 종종 있었다. 2021년 말에만 해도 보안 연구원들은 150종 이상의 모델에서 심각한 보안 취약점을 발견한 바 있다. 해당 취약점은 해커가 프린터에 접근해 인쇄물, 스캔 콘텐츠, 팩스 콘텐츠를 확인할 수 있는 위험성과 기기의 로그인 데이터를...

2022.03.24

깃허브, ‘자문 데이터베이스’ 공개··· “SW 공급망 보안 개선”

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

깃허브 오픈소스 사이버보안 자문 데이터베이스 보안 취약점 소프트웨어 공급망 데브섹옵스

2022.02.23

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.  회사에 따르면 해당 데이터베이스의 전체 내용은 크리에이티브 커먼즈(Creative Commons) 라이선스에 따라 자유롭게 액세스할 수 있는 새로운 퍼블릭 리포지토리에 게시된다. 업계 전문가들은 이러한 종류의 데이터 공유가 소프트웨어 공급망 보안을 개선하고, 소프트웨어 관련 위험을 해결하는 데 중요하다고 입을 모았다.    무료 및 공개 데이터를 활용할 수 있게 된 보안 커뮤니티 수백만 명의 개발자와 기업들이 소프트웨어를 빌드, 배포, 유지관리하기 위해 깃허브를 사용한다. 깃허브는 자문 데이터베이스를 커뮤니티에 개방함으로써 보안 연구진, 관련 학계 등이 보안 권고(security advisories)에 관한 커뮤니티의 이해와 인식을 높일 수 있도록 추가적인 정보와 맥락을 제공, 공유, 활용할 수 있다고 말했다.  이어서 “무료 및 공개 보안 데이터는 업계 전반에서 소프트웨어 공급망을 보호하는 데 매우 중요하다고 본다. 깃허브 자문 데이터베이스는 소프트웨어 종속성 내 취약점에 관한 세계 최대의 데이터베이스다. 더 쉽게 기여하고 사용할 수 있도록 함으로써 더 많은 경험을 제공하고 모든 소프트웨어의 보안을 개선하는 데 더욱더 도움이 되길 바란다”라고 회사 측은 전했다.  아울러 깃허브는 컨트리뷰션을 위한 사용자 인터페이스를 구축했으며, 깃허브 보안 랩(GitHub Security Lab) 연구진이 이를 검토했다. 컨트리뷰터는 패키지, 영향을 받는 버전 및 생태계에 관한 변경사항을 제안하거나 맥락을 제공할 수 있으며, 컨트리뷰션이 수락되면 깃허브 프로필에 공개 크레딧을 받게 된다. 깃허브는 OSV(Open-Source Vulnerabilities) 형식이 해당 리포지토...

2022.02.23

‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

로그4j Log4j 자바 보안 취약점 취약점 공격 익스플로잇 WAF 애플리케이션 보안

2021.12.31

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을 발견했다. 이 코드는 마인크래프트(Minecraft)부터 스팀(Steam), 아이클라우드(iCloud), 포티넷(Fortinet), 레드햇(Red Hat)까지 모든 소비자 및 기업 시스템에서 널리 사용되고 있다. 한 전문가는 수백만 개의 엔드포인트가 위험에 처할 수 있다고 추정했다.   로그4j는 솔라윈즈와 카세야 등 일련의 소프트웨어 공급망 공격 중 가장 최근에 발생한 일이다. 로그4j 취약점이 밝혀진 이후 많은 보안업체 및 애널리스트가 무엇을 해야 하는지 여러 정보를 공개했다. 이를테면 거진 최후의 날에 가까운 시나리오를 게시한 사람도 있었고, 덜 심각하게 전망하는 사람도 있었다.  체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)에 따르면 고객층의 절반가량에서 취약점 공격이 발견됐다. 콘트라스트 시큐리티(Contrast Security)는 자바 애플리케이션의 58%에 취약한 버전이 존재하지만 실제로 로그4j를 사용하는 경우는 37%에 불과한 것으로 조사됐다고 전했다.  4가지 문제는 CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105다. 美 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA)은 영향을 받은 애플리케이션 목록과 다양한 벤더 블로그 링크를 포함한 웹 페이지를 공개하고 지속적으로 업데이트하고 있다.  이 문제는 원격 코드 실행을 허용하는 JDNI(Java Naming and Directory Interface) 및 JM어펜더(JMSAppender) 이벤트 메시지와 같은 로깅...

2021.12.31

다 모았다··· '로그4j 취약점' 완화법 총정리

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j 취약점 연구에 몰두한 결과 추가 보안 문제를 발견했고, 공격을 막을 수 있는 몇 가지 완화책을 제안했다. 기업 IT팀은 자사의 애플리케이션, 서버, 네트워크 보호에 적합한 완화책을 찾느라 분주하다.    지금까지 발견된 취약점은 원격 코드 실행 취약점인 CVE-2021-44228(Log4Shell이라고도 알려졌다)과 서비스 거부 공격 취약점인 CVE-2021-45046 및 CVE-2021-45105다. 우선 영향을 받은 컴포넌트를 최신 버전으로 업데이트하는 것이 현재까지 식별된 취약점을 완화하는 최고의 방법이다. 자바 8 및 이후 버전은 2.17.0이 최신 버전이다. 하지만 패치를 즉각 적용하는 것은 말처럼 쉽지 않다. 서드파티 솔루션 업체의 패키징 제품에 Log4j 취약 버전이 포함되어 있다면, 전체 제품을 모두 업데이트하지 않는 이상 취약점을 해결할 수 없기 때문이다. 각 솔루션 업체가 업데이트를 배포해야 없앨 수 있다.  핵심 비즈니스 서버 및 애플리케이션이라면 즉시 재시작하는 것도 쉽지 않다. 애플리케이션은 컨테이너에서 실행할 수 있지만, 이런 경우에는 새 컨테이너 이미지를 제작해야 한다. 대부분 취약점과 마찬가지로 대안적 완화책은 보안팀에 유용하지만, 대안적 완화책의 한계와 일부 완화책으로 인해 형성될 수 있는 잘못된 안전감을 이해하는 것이 중요하다.  JndiLookup 클래스 제거 Log4j 취약점은 Log4j가 자바 기능인 JNDI(Java Naming and Directory Interface)를 사용하는 방식 때문에 발생한다. JNDI는 런타임 실행 중 추가 자바 객체의 로딩을 허용하도록 설계됐다. 여러 프로토콜에 걸친 원격 네이밍 서비스에서 자바 ...

Log4j 로그4j 보안 취약점

2021.12.22

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j 취약점 연구에 몰두한 결과 추가 보안 문제를 발견했고, 공격을 막을 수 있는 몇 가지 완화책을 제안했다. 기업 IT팀은 자사의 애플리케이션, 서버, 네트워크 보호에 적합한 완화책을 찾느라 분주하다.    지금까지 발견된 취약점은 원격 코드 실행 취약점인 CVE-2021-44228(Log4Shell이라고도 알려졌다)과 서비스 거부 공격 취약점인 CVE-2021-45046 및 CVE-2021-45105다. 우선 영향을 받은 컴포넌트를 최신 버전으로 업데이트하는 것이 현재까지 식별된 취약점을 완화하는 최고의 방법이다. 자바 8 및 이후 버전은 2.17.0이 최신 버전이다. 하지만 패치를 즉각 적용하는 것은 말처럼 쉽지 않다. 서드파티 솔루션 업체의 패키징 제품에 Log4j 취약 버전이 포함되어 있다면, 전체 제품을 모두 업데이트하지 않는 이상 취약점을 해결할 수 없기 때문이다. 각 솔루션 업체가 업데이트를 배포해야 없앨 수 있다.  핵심 비즈니스 서버 및 애플리케이션이라면 즉시 재시작하는 것도 쉽지 않다. 애플리케이션은 컨테이너에서 실행할 수 있지만, 이런 경우에는 새 컨테이너 이미지를 제작해야 한다. 대부분 취약점과 마찬가지로 대안적 완화책은 보안팀에 유용하지만, 대안적 완화책의 한계와 일부 완화책으로 인해 형성될 수 있는 잘못된 안전감을 이해하는 것이 중요하다.  JndiLookup 클래스 제거 Log4j 취약점은 Log4j가 자바 기능인 JNDI(Java Naming and Directory Interface)를 사용하는 방식 때문에 발생한다. JNDI는 런타임 실행 중 추가 자바 객체의 로딩을 허용하도록 설계됐다. 여러 프로토콜에 걸친 원격 네이밍 서비스에서 자바 ...

2021.12.22

역대급 보안구멍 ‘로그4j’ 막아라···개발자들의 고군분투기

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

로그4j 로그포셸 자바 보안 취약점 보안 위협 아파치 재단 제로데이 취약점 자바 애플리케이션 핫패치

2021.12.20

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 무급 유지관리자 또는 개발자가 여가 시간에 취약점을 패치했고, 지침을 발행했으며, 혼란 속에서 절실하게 필요했던 명확성을 제공했다.    12월 9일 아파치 재단(Apache Foundation)은 거의 모든 자바 애플리케이션에 사용되는 오픈소스 로깅 프레임워크 ‘로그4j(Log4j)’에서 발견된 치명적인 제로데이 취약점 ‘로그4셸(Log4Shell)’에 관한 긴급 업데이트를 발표했다.  CVE-2021-44228로 식별된 이 버그를 통해 공격자는 로그4j 라이브러리를 사용하여 로그 메시지를 작성하는 모든 시스템에서 임의의 코드를 실행할 수 있다. 이는 CVSS 점수에서 가장 높은 심각도를 일컫는 10점을 받았다.  클라우드플레어(Cloudflare)의 CTO 존 그레이엄은 “허트블리드(Heartbleed)와 쉘쇼크(ShellShock) 이후로 인터넷에서 가장 심각한 취약점일 가능성이 크다”라고 말했다. 심지어 마인크래프트(Minecraft)도 안전하지 않았다. 최초 대응자 여러 개발자와 유지관리자가 주말 동안 최대한 많은 자바 애플리케이션을 패치하기 위해 즉시 출동했다. 첫 번째 방어선은 비영리 아파치 소프트웨어 재단의 로깅 서비스팀에서 유지관리하는 로그4j 자체였다. 아파치의 로깅 서비스팀은 전 세계의 거의 모든 시간대에 분산된 16명의 자원봉사자로 구성돼 있다. 소프트웨어 엔지니어 겸 아파치 로깅 서비스 프로젝트 관리 위원회(Project Management Committee; PMC)의 회원인 개리 그레고리는 “여가 시간에 소프트웨어를 작성하고 퍼즐을 푸는 것을 좋아하기 때문에 이 일을 한다”라고 언급했다.  PMC의 주된 의사소통 채널은 이메일이며,...

2021.12.20

쿤텍, 펌웨어 보안 취약점 분석 기술 개발… "5G 서비스 활성화 지원"

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다.   쿤텍은 이 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의 활성화를 지원한다고 밝혔다.  한국전자통신연구원(ETRI)이 개발한 펌웨어 분석 모듈을 기반으로 쿤텍이 고도화에 성공한 해당 펌웨어 분석 및 검증 기술은 하드웨어에 내재돼 있는 취약점을 분석하고 검증한다. 이 기술을 통해 최근 보급이 확대되고 있는 5G 장비 대상의 악의적인 사이버 공격으로 인한 피해의 사전 예방 지원이 가능할 것으로 전망된다. 쿤텍의 펌웨어 취약점 분석 및 검증 기술은 ETRI로부터 기술 이전받은 분석 모듈을 이용해 펌웨어에 대한 분석 및 변조 여부를 확인한다. 그리고 분석 대상 장비에서 추출된 펌웨어 바이너리를 커널, 1st 부트로더, 2nd 부트로더, 2nd 부트로더 복구 영역 등으로 분류해 빠르고 정확하게 펌웨어를 분석한다.  특히, 쿤텍의 펌웨어 분석 기술은 대상 펌웨어에서 전자서명을 통해 무결성을 검증하는 부분을 우회해서 바이너리를 수정할 수 있고, 펌웨어를 수정해 장비 원격관리 프로토콜을 통해 펌웨어 변조를 통한 공격과 특정 메모리 영역의 정보 탈취 공격이 실제로 수행될 수 있다는 점을 실증했다.  또한, 제조업체가 제공하는 펌웨어와 비교 대상 장비에서 추출한 펌웨어 바이너리를 직접적으로 비교해 펌웨어의 변조 여부를 확인한다. 각 영역별 해시값의 비교 수행 후, 해시값이 상이한 영역에 대한 바이너리만 추가로 분석하여 전체 펌웨어를 바이트 단위로 비교할 경우 발생할 수 있는 과부하를 제거해 분석 효율성을 높였다. 쿤텍은 해당 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의...

쿤텍 펌웨어 보안 취약점 5G

2021.11.25

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다.   쿤텍은 이 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의 활성화를 지원한다고 밝혔다.  한국전자통신연구원(ETRI)이 개발한 펌웨어 분석 모듈을 기반으로 쿤텍이 고도화에 성공한 해당 펌웨어 분석 및 검증 기술은 하드웨어에 내재돼 있는 취약점을 분석하고 검증한다. 이 기술을 통해 최근 보급이 확대되고 있는 5G 장비 대상의 악의적인 사이버 공격으로 인한 피해의 사전 예방 지원이 가능할 것으로 전망된다. 쿤텍의 펌웨어 취약점 분석 및 검증 기술은 ETRI로부터 기술 이전받은 분석 모듈을 이용해 펌웨어에 대한 분석 및 변조 여부를 확인한다. 그리고 분석 대상 장비에서 추출된 펌웨어 바이너리를 커널, 1st 부트로더, 2nd 부트로더, 2nd 부트로더 복구 영역 등으로 분류해 빠르고 정확하게 펌웨어를 분석한다.  특히, 쿤텍의 펌웨어 분석 기술은 대상 펌웨어에서 전자서명을 통해 무결성을 검증하는 부분을 우회해서 바이너리를 수정할 수 있고, 펌웨어를 수정해 장비 원격관리 프로토콜을 통해 펌웨어 변조를 통한 공격과 특정 메모리 영역의 정보 탈취 공격이 실제로 수행될 수 있다는 점을 실증했다.  또한, 제조업체가 제공하는 펌웨어와 비교 대상 장비에서 추출한 펌웨어 바이너리를 직접적으로 비교해 펌웨어의 변조 여부를 확인한다. 각 영역별 해시값의 비교 수행 후, 해시값이 상이한 영역에 대한 바이너리만 추가로 분석하여 전체 펌웨어를 바이트 단위로 비교할 경우 발생할 수 있는 과부하를 제거해 분석 효율성을 높였다. 쿤텍은 해당 기술을 기반으로 5G 네트워크 장비에 대한 보안 신뢰성 및 안전성을 보장해 각종 5G 관련 서비스의...

2021.11.25

MS, 신규 프린트 스풀러 취약점 및 보안 지침 공개

마이크로소프트가 윈도우 프린트 스풀러에서 새로 발견된 취약점과 관련 보안 지침을 15일(현지시간) 웹사이트를 통해 공유했다. 지난달과 이달 초 취약점이 발견된 데 이은 세 번째 프린트 스풀러 관련 취약점이다.  마이크로소프트가 공개한 CVE-2021-34481은 권한 상승 공격으로 이어질 수 있는 취약점이다. 공격자는 획득한 시스템 권한을 통해 임의의 코드를 실행한 다음 데이터 열람, 변경, 삭제 등을 감행할 수 있다.    마이크로소프트는 이번 취약점에 대한 해결 방안으로, 프린트 스풀러 서비스를 중지하거나 비활성화하라는 지침을 전했다. 다만 별도의 보안 업데이트는 발표하지 않았으며, 어떤 버전의 윈도우가 취약한지에 대한 언급도 없었다. 프린트 스풀러 서비스는 윈도우상의 인쇄 작업 내용을 버퍼에 임시 저장한 뒤 순차적 혹은 우선순위에 따라 인쇄를 처리해 프린터로 전송해주는 소프트웨어다.  프린트 스풀러와 관련해 발견된 취약점은 이번이 세 번째다. 지난달 8일에는 CVE-2021-1675 취약점이, 이달 1일에는 ‘프린트 나이트메어’라 불리는 CVE-2021-34527 취약점이 발견된 바 있다. ciokr@idg.co.kr  

프린트 스풀러 취약점 프린트 나이트메어 윈도우 보안 취약점

2021.07.19

마이크로소프트가 윈도우 프린트 스풀러에서 새로 발견된 취약점과 관련 보안 지침을 15일(현지시간) 웹사이트를 통해 공유했다. 지난달과 이달 초 취약점이 발견된 데 이은 세 번째 프린트 스풀러 관련 취약점이다.  마이크로소프트가 공개한 CVE-2021-34481은 권한 상승 공격으로 이어질 수 있는 취약점이다. 공격자는 획득한 시스템 권한을 통해 임의의 코드를 실행한 다음 데이터 열람, 변경, 삭제 등을 감행할 수 있다.    마이크로소프트는 이번 취약점에 대한 해결 방안으로, 프린트 스풀러 서비스를 중지하거나 비활성화하라는 지침을 전했다. 다만 별도의 보안 업데이트는 발표하지 않았으며, 어떤 버전의 윈도우가 취약한지에 대한 언급도 없었다. 프린트 스풀러 서비스는 윈도우상의 인쇄 작업 내용을 버퍼에 임시 저장한 뒤 순차적 혹은 우선순위에 따라 인쇄를 처리해 프린터로 전송해주는 소프트웨어다.  프린트 스풀러와 관련해 발견된 취약점은 이번이 세 번째다. 지난달 8일에는 CVE-2021-1675 취약점이, 이달 1일에는 ‘프린트 나이트메어’라 불리는 CVE-2021-34527 취약점이 발견된 바 있다. ciokr@idg.co.kr  

2021.07.19

구글 ‘OSS-퍼즈’, 자바 앱까지 퍼징 확대 지원

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는 오픈소스 소프트웨어에 지속적인 퍼징(continuous fuzzing)을 제공한다. 퍼징은 컴퓨터 프로그램에 유효하지 않은 무작위 데이터 스트림을 입력해 소프트웨어 프로그래밍 오류 및 보안 취약점을 찾는 방법이다.  지난 3월 10일 발표된 보도 자료에 따르면 이제 JVM 언어와 같은 메모리 보안 언어로 작성된 코드를 퍼징해 프로그램이 충돌하거나 잘못 작동하는 버그를 찾을 수 있다.  구글은 코드 인텔리전스(Code Intelligence)의 퍼저인 재저(Jazzer)를 OSS-퍼즈와 통합해 자바와 JVM에 대한 퍼징을 활성화했다고 설명했다. 재저를 사용하면 C/C++로 작성된 코드에서 했던 것처럼 LLVM 프로젝트의 립퍼저(libFuzzer)를 통해 JVM 기반 언어로 작성된 코드를 퍼징할 수 있다.  재저는 자바(Java), 클로저(Clojure), 코틀린(Kotlin), 스칼라(Scala)를 지원한다. 코드 커버리지 피드백은 JVM 바이트코드에서 립퍼저로 제공되며, 재저는 다음과 같은 립퍼저 기능을 지원한다.  • ‘FuzzedDataProvider’: 바이트 배열을 허용하지 않는 퍼징 코드  • 8-bit 엣지 카운터를 기반으로 한 코드 커버리지 평가 • 충돌 입력 최소화 • 가치 프로필  구글은 JVM 언어로 작성된 오픈소스 프로젝트를 OSS-퍼즈에 추가하는 방법을 설명하는 문서를 제공했다. 구글은 궁극적으로 재저가 모든 립퍼저 기능을 지원할 계획이라고 전했다. 재저는 자바 네이티브 인터페이스(Java Native Interface; JNI)를 통해 실행되는 네이티브 코드에서 커버리지 피드백을 제공할 수도 있다. 이를 통해 메모리가 보안되지...

구글 오픈소스 퍼징 퍼즈 테스트 퍼저 OSS-퍼즈 자바 JVM 코틀린 스칼라 프로그래밍 오류 보안 취약점 코드 인텔리전스 재저 립퍼저 클로저

2021.03.15

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는 오픈소스 소프트웨어에 지속적인 퍼징(continuous fuzzing)을 제공한다. 퍼징은 컴퓨터 프로그램에 유효하지 않은 무작위 데이터 스트림을 입력해 소프트웨어 프로그래밍 오류 및 보안 취약점을 찾는 방법이다.  지난 3월 10일 발표된 보도 자료에 따르면 이제 JVM 언어와 같은 메모리 보안 언어로 작성된 코드를 퍼징해 프로그램이 충돌하거나 잘못 작동하는 버그를 찾을 수 있다.  구글은 코드 인텔리전스(Code Intelligence)의 퍼저인 재저(Jazzer)를 OSS-퍼즈와 통합해 자바와 JVM에 대한 퍼징을 활성화했다고 설명했다. 재저를 사용하면 C/C++로 작성된 코드에서 했던 것처럼 LLVM 프로젝트의 립퍼저(libFuzzer)를 통해 JVM 기반 언어로 작성된 코드를 퍼징할 수 있다.  재저는 자바(Java), 클로저(Clojure), 코틀린(Kotlin), 스칼라(Scala)를 지원한다. 코드 커버리지 피드백은 JVM 바이트코드에서 립퍼저로 제공되며, 재저는 다음과 같은 립퍼저 기능을 지원한다.  • ‘FuzzedDataProvider’: 바이트 배열을 허용하지 않는 퍼징 코드  • 8-bit 엣지 카운터를 기반으로 한 코드 커버리지 평가 • 충돌 입력 최소화 • 가치 프로필  구글은 JVM 언어로 작성된 오픈소스 프로젝트를 OSS-퍼즈에 추가하는 방법을 설명하는 문서를 제공했다. 구글은 궁극적으로 재저가 모든 립퍼저 기능을 지원할 계획이라고 전했다. 재저는 자바 네이티브 인터페이스(Java Native Interface; JNI)를 통해 실행되는 네이티브 코드에서 커버리지 피드백을 제공할 수도 있다. 이를 통해 메모리가 보안되지...

2021.03.15

"실제 악용됐을 수도"··· 애플, 취약점 수정한 iOS 14.4 정식 배포

애플이 아이폰 및 아이패드의 운영체제 iOS 14.4와 iPadOS 14.4를 정식 배포했다. 커널과 웹킷의 보안 취약점들을 수정했다는 설명이다.  26일(현지시간) 애플 공식 홈페이지에 따르면 이번 버전에서는 1개의 커널 취약점과 2개의 웹킷 취약점이 수정됐다.    커널에 취약점이 있을 경우 해커가 커널 권한을 탈취해 커널 메모리의 데이터를 유출할 수 있다. 한편 웹킷 취약점을 통해서는 임의코드실행(arbitrary code execution)이 발생할 수 있다.  애플은 아이폰 6s 시리즈, 아이패드 에어2 시리즈, 아이패드 미니4 시리즈, 아이팟 터치(7세대)가 이 취약점에 노출돼 있다고 설명했다.  주목할 점은 운영체제 속 취약점이 해커에 의해 ‘실제로’(actively) 악용됐을 수 있다고 애플이 설명한 점이다.  해외 IT 매체들은 취약점이 집중적으로 이용됐을 가능성을 애플이 언급한 것은 이례적이라고 보도했다. 애플은 아직 취약점을 악용한 주체나 잠재적인 피해 규모에 대해서는 구체적으로 설명하지 않은 상태다.  더 버지는 이번 패치를 두고 “iOS 기기를 가능한 한 빨리 업데이트 해야 한다는 뜻”이라고 설명했다.  한편 iOS 14.4 패치는 기기의 ‘시스템 환경설정’에 들어가 ‘소프트웨어 업데이트’를 클릭하면 진행할 수 있다. ciokr@idg.co.kr

애플 보안 취약점 iOS 14.4 커널 웹킷 임의코드실행 아이폰 6s 아이패드 에어 2 아이패드 미니 4 아이팟 터치

2021.01.27

애플이 아이폰 및 아이패드의 운영체제 iOS 14.4와 iPadOS 14.4를 정식 배포했다. 커널과 웹킷의 보안 취약점들을 수정했다는 설명이다.  26일(현지시간) 애플 공식 홈페이지에 따르면 이번 버전에서는 1개의 커널 취약점과 2개의 웹킷 취약점이 수정됐다.    커널에 취약점이 있을 경우 해커가 커널 권한을 탈취해 커널 메모리의 데이터를 유출할 수 있다. 한편 웹킷 취약점을 통해서는 임의코드실행(arbitrary code execution)이 발생할 수 있다.  애플은 아이폰 6s 시리즈, 아이패드 에어2 시리즈, 아이패드 미니4 시리즈, 아이팟 터치(7세대)가 이 취약점에 노출돼 있다고 설명했다.  주목할 점은 운영체제 속 취약점이 해커에 의해 ‘실제로’(actively) 악용됐을 수 있다고 애플이 설명한 점이다.  해외 IT 매체들은 취약점이 집중적으로 이용됐을 가능성을 애플이 언급한 것은 이례적이라고 보도했다. 애플은 아직 취약점을 악용한 주체나 잠재적인 피해 규모에 대해서는 구체적으로 설명하지 않은 상태다.  더 버지는 이번 패치를 두고 “iOS 기기를 가능한 한 빨리 업데이트 해야 한다는 뜻”이라고 설명했다.  한편 iOS 14.4 패치는 기기의 ‘시스템 환경설정’에 들어가 ‘소프트웨어 업데이트’를 클릭하면 진행할 수 있다. ciokr@idg.co.kr

2021.01.27

마냥 웃을 순 없다··· AI 그리고 ML 프로젝트, 얼마나 '안전'한가? 

인공지능과 머신러닝은 많은 이점을 제공한다. 하지만 동시에 새로운 취약점을 가져오기도 한다. 이러한 위험을 최소화할 방법을 살펴본다.  신기술을 도입할 때 보안을 뒷전으로 미루는 경우가 많다. 새로운 제품이나 서비스를 최대한 빠르게, 그리고 저렴하게 선보이는 게 더 중요하다고 판단해서다. 게다가 ‘완벽한 보안’은 시간이 오래 걸리고 비용도 많이 든다.  인공지능(AI)과 머신러닝(ML) 역시 보안 취약점이 있다. 이전의 기술 발전과 유사한 취약점과 설정 오류를 보이기도 하고, 이들만의 고유한 보안 위험이 있기도 하다.  만약 AI 중심 디지털 트랜스포메이션을 추진한다면 기업은 이러한 위험을 직면하게 될 가능성이 크다. 美 IT 컨설팅 회사 부즈 앨런 해밀턴(Booz Allen Hamilton)의 수석 과학자 에드워드 라프는 “서둘러선 안 되는 영역이다”라고 말했다.   AI와 ML은 다른 기술보다 더 많고 복잡한 데이터도 필요하다. 따라서 수학자와 데이터 과학자들이 개발한 알고리즘은 학문적인 연구 프로젝트에서 시작되는 경우가 많다. 라프는 “최근에서야 연구진들은 AI에 보안 문제가 있다는 것을 알게 됐다”라고 언급했다.  아울러 이들의 용량 및 처리 요건은 또 다른 수준의 복잡성과 취약점을 추가한다. 클라우드 플랫폼이 워크로드를 처리하는 경우가 많기 때문이다. 정리하자면, AI 도입에 있어 사이버보안이 가장 우려되는 위험인 것은 당연하다.  2020년 7월 발표된 딜로이트(Deloitte)의 한 보고서에 따르면 AI를 도입한 기업 가운데 62%가 사이버보안 위험을 가장 큰 혹은 주요 위험으로 보고 있지만, 이 위험을 해결할 준비가 됐다고 답한 기업은 39%에 불과했다. 이 문제를 더욱더 복잡하게 만드는 것은 사이버보안 자체에서 AI가 많이 사용된다는 점이다. 따라서 AI 경험이 풍부해질수록 기업들은 사이버보안 위험을 더 걱정한다고 딜로이트의 기술, 미디어, 통신 부문 전무이사 제프 룩스는 전했...

인공지능 머신러닝 AI ML 보안 보안 취약점 사이버보안 디지털 트랜스포메이션 데이터 과학 딜로이트 데이터 보호 전도 공격 설명가능성 블랙박스 AI 데이터 포이즈닝 편향 모델 드리프트 클라우드

2020.11.30

인공지능과 머신러닝은 많은 이점을 제공한다. 하지만 동시에 새로운 취약점을 가져오기도 한다. 이러한 위험을 최소화할 방법을 살펴본다.  신기술을 도입할 때 보안을 뒷전으로 미루는 경우가 많다. 새로운 제품이나 서비스를 최대한 빠르게, 그리고 저렴하게 선보이는 게 더 중요하다고 판단해서다. 게다가 ‘완벽한 보안’은 시간이 오래 걸리고 비용도 많이 든다.  인공지능(AI)과 머신러닝(ML) 역시 보안 취약점이 있다. 이전의 기술 발전과 유사한 취약점과 설정 오류를 보이기도 하고, 이들만의 고유한 보안 위험이 있기도 하다.  만약 AI 중심 디지털 트랜스포메이션을 추진한다면 기업은 이러한 위험을 직면하게 될 가능성이 크다. 美 IT 컨설팅 회사 부즈 앨런 해밀턴(Booz Allen Hamilton)의 수석 과학자 에드워드 라프는 “서둘러선 안 되는 영역이다”라고 말했다.   AI와 ML은 다른 기술보다 더 많고 복잡한 데이터도 필요하다. 따라서 수학자와 데이터 과학자들이 개발한 알고리즘은 학문적인 연구 프로젝트에서 시작되는 경우가 많다. 라프는 “최근에서야 연구진들은 AI에 보안 문제가 있다는 것을 알게 됐다”라고 언급했다.  아울러 이들의 용량 및 처리 요건은 또 다른 수준의 복잡성과 취약점을 추가한다. 클라우드 플랫폼이 워크로드를 처리하는 경우가 많기 때문이다. 정리하자면, AI 도입에 있어 사이버보안이 가장 우려되는 위험인 것은 당연하다.  2020년 7월 발표된 딜로이트(Deloitte)의 한 보고서에 따르면 AI를 도입한 기업 가운데 62%가 사이버보안 위험을 가장 큰 혹은 주요 위험으로 보고 있지만, 이 위험을 해결할 준비가 됐다고 답한 기업은 39%에 불과했다. 이 문제를 더욱더 복잡하게 만드는 것은 사이버보안 자체에서 AI가 많이 사용된다는 점이다. 따라서 AI 경험이 풍부해질수록 기업들은 사이버보안 위험을 더 걱정한다고 딜로이트의 기술, 미디어, 통신 부문 전무이사 제프 룩스는 전했...

2020.11.30

기트허브, 보안 취약점 찾아준다··· ‘코드 스캐닝’ 공식 출시

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

기트허브 셈멜 코드 스캐닝 코드 분석 퍼블릭 리포지토리 보안 취약점 SARIF 원격 코드 실행 SQL 인젝션 크로스 사이트 스크립팅

2020.10.05

기트허브가 ‘코드 스캐닝(code scanning)’ 서비스를 일반에 공개했다. 기트허브가 2019년 인수한 코드 분석 플랫폼 셈멜(Semmle)의 코드QL(CodeQL) 시맨틱 코드 분석 기술을 기반으로 한다. 이제 퍼블릭 리포지토리에서 코드 스캐닝을 사용해 코드 베이스의 보안 취약점을 발견할 수 있다. 이 서비스는 서드파티 툴을 사용한 분석도 지원한다.    기본적으로 기트허브 코드 스캐닝은 실행할 수 있는 보안 규칙만 작동시켜 개발자가 당면한 문제에 집중할 수 있도록 돕는다. 이 서비스는 기트허브 액션(GitHub Actions) 또는 기존 CI/CD 환경과도 통합된다. 또한 생성된 코드를 스캔하고 풀 리퀘스트 및 기타 기트허브 환경에서 실행 가능한 보안 리뷰를 표시하여 워크플로우의 일부로 보안을 자동화한다. 기트허브는 이렇게 하면 보안 취약점이 처음부터 프로덕션에 적용되지 않는다고 설명했다. 개발자는 기트허브와 커뮤니티에서 생성된 2,000개 이상의 쿼리를 활용하거나, 사용자 정의 쿼리를 구축해 새로운 보안 문제를 쉽게 찾고 막을 수 있다.  기트허브 코드 스캐닝은 SARIF 표준을 기반으로 개발됐으며 확장할 수 있다. 개발자는 동일한 기트허브 네이티브 환경에 오픈소스 및 상용 SAST(정적 애플리케이션 보안 테스트) 솔루션을 포함시킬 수 있다. 서드파티 스캐닝 엔진을 통합해 단일 인터페이스에서 모든 보안 도구의 결과를 확인하고, 단일 API를 통해 여러 스캐닝 결과를 내보낼 수도 있다.  기트허브 코드 스캐닝은 퍼블릭 리포지토리에서 무료로 제공된다. 프라이빗 리포지토리에서는 기트허브 어드밴스드 시큐리티(GitHub Advanced Security)를 통해 기트허브 엔터프라이즈(GitHub Enterprise) 서비스에서 코드 스캐닝을 사용할 수 있다.  한편 기트허브에 따르면 지난 5월 첫 베타가 공개된 이후 기트허브 코드 스캐닝은 1만 2,000여 개의 리포지토리에서 140만 번 사용됐다. ...

2020.10.05

IDG 설문조사

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31