> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
컴플라이언스만을 위한 취약점 관리 한계 있어…클라우드 방식으로 최신 취약점 빠르게 관리
     관련기사
  [클라우드·IoT 보안 평가와 전망] 클라우드·IoT, 보안 내재화된 접근 필수
  [데이터 보안 평가와 전망] 데이터 생명주기 전 단계 보호
  [엔드포인트 보안 평가와 전망] 선제방어·사후대응 병행
  [네트워크 보안 시장 동향①] 새로운 기회 탐색하는 NGFW
  [네트워크 보안 시장 동향②] 토종 기업 “가자, 해외로”
  [네트워크 보안 시장 동향③] 디도스 방어, 성장 가능성 높아
  [보안관제 시장 전망] AI 장착한 보안관제
2018년 01월 11일 10:04:19 김선애 기자 iyamm@datanet.co.kr

‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>

IT 복잡성 높아지며 취약점 관리 어려워

지능적인 공격자는 보안이 잘 갖춰진 대문을 공략하지 않는다. 보안에 취약하고 관리되지 않는 쪽문, 뒷문, 혹은 보안 정책을 지키지 않는 사람들을 이용한다. 서비스 종료 후 방치된 서버, 취약점 패치 업데이트를 하지 않는 시스템, 취약한 무선 네트워크를 이용해 업무 시스템에 접속하는 사용자를 노려 공격 성공률을 높인다.

보안 취약점이 없는 시스템은 없다. 보안 전문가들과 솔루션 제공업체들은 끊임없이 취약점을 점검하고 발견된 취약점은 관계기관에 알려 대처할 수 있도록 하며, 해당 취약점이 있는 시스템에 보안패치를 배포해 취약점 공격이 일어나지 않도록 한다.

주요 IT 기업들은 자사 제품과 서비스에 새로운 취약점을 발견하는 사람에게 큰 상금을 주는 버그바운티 제도를 운영하고 있다. 화이트해커의 긍정적인 활동을 유도하면서 자사 제품의 보안 완성도를 높이기 위한 것으로 우리나라에서는 KISA를 중심으로 버그바운티를 운영하고 있다. 네이버, 한글과컴퓨터, 카카오, 네오위즈게임즈, 이니텍, 이스트시큐리티 등이 활동하고 있다.

취약점이 발표되고 보안패치가 배포되면 즉시 해당 시스템에 적용해야 한다. 그러나 실제 IT 환경에서 보안패치 적용이 쉬운 것은 아니다. IT 관리조직은 데이터 센터의 수많은 시스템 중 해당 취약점이 있는 시스템을 찾는 것에서부터 난관에 부딪힌다.

패치해야 하는 시스템을 찾아 패치했다가 시스템 운영에 장애가 발생할 수 있다는 우려에서도 자유롭지 못하다. 패치가 다른 소프트웨어와 충돌을 일으키거나 연결된 다른 시스템에 영향을 미칠 수도 있다. 그래서 몇개 시스템에 시범적으로 적용한 후 단계적으로 차근차근 패치를 적용하는데, 이 과정이 수개월에 이르기도 한다. 물론 파악하지 못한 취약한 시스템이 있을 가능성도 제거하지 못한다.

   
▲취약점과 진단 영역(자료: 에스에스알)

전사 취약점 관리 가능한 자동화 시스템 필수

현재 취약점 점검은 규제에 따라 연 1~2회 가량 진행하지만, 외부 전문조직의 서비스를 이용해 일부 시스템에만 적용한다. 그러다보니 중요한 시스템만 취약점을 관리할 뿐 다른 시스템은 전혀 관리되지 못한다. 그래서 전사 취약점을 관리할 수 있는 솔루션을 찾는 수요가늘어나고 있다.

에스에스알의 ‘솔리드스텝’은 IT 시스템을 자동으로 전수조사하며, 국내 컴플라이언스와 보안 정책·지침을 만족시킬 수 있다. 에스에스알은 클라우드 서비스로도 제공해 보안예산이 부족한 중소기업에게 제공하고 있다. 더불어 민간분야 사이버 위기대응 모의훈련 대응 솔루션인 ‘머드픽스(가칭)’을 출시하며 기업의 보안 수준 업그레이드를 지원할 계획이다.

취약점은 서버에만 존재하는 것이 아니다. 웹, 애플리케이션, 서비스 전반에서 수많은 취약점이 존재한다. 특히 웹과 애플리케이션은 종류가 많고 수시로 변경되며, 누구나 쉽게 접근할 수 있기 때문에 취약점을 발견하기도 쉽고 공격하기도 쉽다.

래피드7, 포지티브테크놀로지는 취약점 점검과 모의해킹 솔루션을 제공하는 대표적인 전문기업이다. 포지티브의 ‘맥스패트롤’은 국내 규제 요건도 만족시킬 수 있으며, 침투테스트(모의해킹), 컴플라이언스 관리가 단일 솔루션으로 결합돼 있다. CVE의 신속한 업데이트로 보안 관리자의 어려움을 해결할 수 있다. 서버, 네트워크 장비, OS, 통신장비, SAP 등 전체 인프라 자원을 지원한다.

래피드7은 취약점 진단 도구 ‘넥스포즈’와 모의해킹 솔루션 ‘메타스플로잇’을 공급하는데, 메타스플로잇은 모의해킹에 가장 많이 사용되는 툴로, 커뮤니티를 통해 공개된 오픈소스 버전을 이용할 수 있으며, 보다 정밀한 테스트가 가능한 유료 솔루션도 인기를 끌고 있다. 래피드7은 전문지식 없이도 쉽게 사용할 수 있다는 점을 강점으로 꼽고 있으며, 전 세계에서 가장 많은 CVE DB를 보유하고 있어 취약점 대응이 빠르다고 자신한다.

한편 래피드7은 웹·애플리케이션 취약점 진단 솔루션 ‘앱스파이더’와 UBA 기반 ‘인사이트IDR’의 국내 영업을 본격화하며 시장 확대에 나서고 있다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  취약점 탐지, 침투테스트, 모의해킹, 공격, 취약점, 컴플라이언스
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr