[오픈테크넷 서밋 2015] “오픈소스 보안, 패치와 시큐어코딩이 필수”

실시간
뉴스

솔루션

[오픈테크넷 서밋 2015] “오픈소스 보안, 패치와 시큐어코딩이 필수”

디지털데일리 발행일 2015-03-16 08:21:43

이민형

URL복사

[디지털데일리 이민형기자] “오픈소스로 시스템을 구성하실 때 잊어서는 안되는 것이 패치와 시큐어코딩입니다. 이를 제대로 한다면 해킹으로 인한 피해를 최소화 할 수 있습니다.”

12일 양재동 엘타워에서 열린 ‘오픈 테크넷 서밋 2015’ 세미나에서 김유홍 한국인터넷진흥원(KISA) 주임연구원은 오픈소스SW 보안을 위해서는 최신버전 패치와 시큐어코딩을 적용해야 한다고 강조했다.

김 주임은 “오픈소스 개발에서 패치만큼 중요한 것은 없다”며 “오래된 버전의 오픈소스는 이미 많은 취약점으로 인해 정상적인 사용이 불가능하다. 공격자들은 이미 해당 취약점을 악용할 방법을 모두 알고 있기 때문”이라고 강조했다.

이어 “반대로 다수의 사용자들이 쓰고 있는 최신 버전의 오픈소스를 사용한다면 보안문제를 최소화할 수 있다. 결국 방어자가 공격자보다 빨리 패치를 적용하는 것이 해킹공격 대응방법인 셈”이라고 덧붙였다.

이날 김 주임은 지난 2013년 하반기부터 올해 1월까지 보안업계를 달군 오픈소스 취약점에 대해서도 설명했다. 아차피 스트럿츠, 하트블리드, 쉘쇼크(배시버그), NTP 리플렉션 디도스, 고스트 등이 여기에 포함된다.

김 주임은 “지난해 4월 발견된 하트블리드는 하트비트의 사이즈필드 값의 유효성을 확인하는 과정이 없어서 발견된 취약점으로 개인정보, 개인키 등이 유출될 수 있다. 당시 야후를 비롯한 대부분의 업체들이 이로 인해 곤혹을 치렀다”며 “하트블리드는 그 특성 상 로그를 남기지 않기 때문에 더 많은 피해사례가 있을 수 있다”고 말했다.

이어 “아파치, 하트블리드 쉘쇼크는 원격지에서 명령어를 실행시킬 수 있는 취약점”이라며 “악성코드를 내려받거나 내부로 침투하는 등의 행위가 가능해 매우 강력하다”고 덧붙여 설명했다.

공격자들은 이러한 취약점을 퍼징(fuzzing)이나 소스코드 오디팅(code auditing)을 통해 찾아낸다고 김 주임은 전했다. 퍼징은 임의의 값을 입력해 비정상작동을 이끌어내는 방법이며 소스코드 오디팅은 직접 소스코드를 짚어가며 취약점을 찾는 방법이다.

이와 관련 김 주임은 “실력있는 공격자들은 소스코드를 뜯어 문제가 발생할 것 같은 함수나 소스를 찾아 이를 악용한다”며 “‘설마 이런걸로 공격할까’라고 생각하고 작성한 코드는 반드시 문제가 된다. 문제가 될 것 같은 코드는 아예 안쓰는 것이 필요하다”고 재차 강조했다.

<이민형 기자>kiku@ddaily.co.kr