[디지털데일리 이민형기자] 최근 웹사이트 취약점을 노리는 공격자에 의해 하루에도 수 십개의 사이트가 악성코드에 감염돼 일반 사용자들에게 까지 유포하는 정황이 포착되고 있다.
이러한 공격은 대형 포털사이트를 비롯해 학원, 언론사, 여행사 등 특정 산업군에 한정되지 않는 이뤄지는 것이 특징이다. 이들 사이트를 통해 유포된 악성코드는 전자금융사기를 위한 파밍용 악성코드는 기본이고 트로이목마와 같은 원격제어 기능도 탑재된 것으로 밝혀졌다.
우려스러운 부분은 악성코드 대부분이 제로데이(0-Day) 취약점을 악용한 것으로 대응책이 뾰족히 없다는 점이다.
최근의 사이버공격은 보안패치가 발표되기 이전의 보안취약점을 악용하는 제로데이 공격을 비롯해 SQL인젝션 등이 주를 이루고 있다. 가트너 발표에 의하면 사이버공격의 약 75%가 소프트웨어의 취약점을 악용한 것으로 드러났다.
이러한 공격들은 소프트웨어 자체에 내장된 보안취약점을 이용하는 것이 대부분으로서, 특히 소스코드의 보안취약점을 이용한 사이버 공격은 방화벽·침입차단시스템·침입방지시스템 등의 일반적인 보안장비로는 대응이 어렵다.
소프트웨어의 취약점을 공략하기 때문에 일반적인 보안장비들은 악의적 접속시도를 ‘정상’으로 인식한다는 문제점을 가지고 있기 때문이다.
이에 대응하기 위해서는 시큐어코딩을 적용해야 한다. 시큐어코딩이란 보안취약점을 악용한 사이버공격에 대응하기 위해 개발단계부터 이러한 취약점을 보완해 공격시도를 원천 차단한다는 개념이다.
구체적으로 소프트웨어 개발과정에서 개발자의 실수나 논리적 오류 등으로 인한 소프트웨어의 보안취약점을 최소화하고, 해킹 등의 보안위협에 능동적으로 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 일컫는다.
해외에서는 세이프코딩 등으로 불리우며 많이 사용되는 개발기법이지만 국내에서는 지난 2012년안전행정부의 시큐어코딩 의무화 가이드라인 발표로 인해 널리 알려졌다.
안행부는 2012년 3월 27일 사이버공격의 주요 원인인 소프트웨어 보안약점을 개발단계에서 제거하기 위해 공공 정보화사업에 시큐어코딩을 의무화하기로 했다. 지난해 40억원이상 정보화사업에 의무 적용됐고, 올해는 20억원이상 사업에 적용돼 있는 상황이다.
시큐어코딩 의무화에 따라 공공기관, 금융권의 솔루션 도입도 빨라지고 있다. 현재 대부분의 제1금융권은 시큐어코딩 솔루션 도입을 마친 상황이며, 일부 중앙부처와 지자치단체들도 파일럿 프로그램으로 시큐어코딩 솔루션을 도입해 사용하고 있다.
이들은 앞서 언급한 웹 기반 애플리케이션의 취약점을 해소하는데 주력하고 있다. 사용자들에게 제공되는 서비스의 대부분이 웹을 기반으로 동작하기 때문이다. 모바일 서비스도 크게 드라지 않다.
이에 따라 보안업체들도 올 하반기 시큐어코딩 시장이 본격 확산될 것으로 기대하고 있다. 특히 파수닷컴, 한국HP, 지티원, 트리니티소프트 등은 공통평가기준(CC) 인증을 통해 공공시장 공략에 박차를 가한다는 계획이다.
현재 파수닷컴의 시큐어코딩 솔루션 ‘스패로우SCE’는 CC인증을 획득한 상태며, 지티원, 트리니티소프트도 CC인증 평가 계약을 마쳤다. 한국HP도 CC인증 평가 계약을 위한 막바지 작업 중이며, 올 상반기 중 계약할 예정이다.
<이민형 기자>kiku@ddaily.co.kr
‘차세대 기업보안 세미나(NES) 2014’에 여러분을 초대합니다. 최근 지능형지속가능위협(APT)을 비롯해 사물인터넷에 대한 보안위협이 확산됨에 따라 이에 대한 대응이 시급한 상황입니다. 또 금융회사 개인정보유출 사고와 같은 내부자에 의한 정보유출에 대한 문제도 다시 불거짐에 따라 내부단속도 소홀히 할 수 없는 상황입니다. 이에 디지털데일리는 ‘차세대 기업보안 세미나(NES) 2014’를 통해 기업의 핵심 과제인 ‘지능형 공격 대응과 내부자 보안 : 최선의 방어, 최소한의 손실, 그리고 재발방지’을 주제로 다양한 보안위협에 대한 최선의 방안과 피해를 최소화할 수 있는 전략을 모색해 보고자 합니다. 또 비슷한 유형의 사이버공격이나 보안사고가 발생할 경우 선제적으로 대응할 수 있는 재발방지 방안도 함께 논의해보는 자리를 마련할 예정입니다. 독자 여러분의 많은 관심과 참여 부탁 드립니다. 감사합니다. |
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[OTT레이더] 협박전화 한 통에…넷플릭스·웨이브 '지금 거신 전화는'
2024-11-24 13:04:04주파수 재할당대가, 정부가 부르는게 값? “산정방식 검토 필요”
2024-11-22 18:23:52유료방송 시장, 역성장 지속…케이블TV 사업자 중 SKB 유일 성장
2024-11-22 13:28:49[디즈니 쇼케이스] 판타스틱4, MCU 합류…미소 짓는 케빈 파이기
2024-11-22 12:56:31LGU+, 기업가치 제고 계획 발표…"AX 컴퍼니 구조 전환 가속화"
2024-11-22 10:18:34“놀러 가고 싶지만 흔한 곳 싫어”…벌써 160만 다녀간 네이버 서비스
2024-11-24 13:05:06드림어스컴퍼니, 자본준비금 감액해 이익잉여금 500억원 전입
2024-11-22 14:57:25야놀자·인터파크트리플, 12월 ‘놀 유니버스’로 법인 통합
2024-11-22 14:57:10