[클라우드 워크로드·애플리케이션 보호④] 중단없는 코드 보안 필수
상태바
[클라우드 워크로드·애플리케이션 보호④] 중단없는 코드 보안 필수
  • 김선애 기자
  • 승인 2022.05.26 09:00
  • 댓글 0
이 기사를 공유합니다

개발·배포·운영 및 써드파티 코드 전체에서 취약점 찾아 미리 제거해야
온전한 데브섹옵스로 클라우드 속도·보안 보장…버그바운티도 필수

[데이터넷] CNAPP이 부상하게 된 것은 클라우드 애플리케이션의 보안 문제가 심각하기 때문이다. 클라우드는 빠른 서비스 개발과 수정, 배포를 요구하기 때문에 개발과 운영을 통합한 데브옵스(DevOps)를 도입한다. 애플리케이션은 개발자가 직접 코드를 작성하는 것이 아니라 여러 커뮤니티에서 코드나 이미지를 가져와서 조립하는 방식을 택한다. 써드파티 코드와 이미지에 취약점이 있으면 이를 적용한 서비스도 취약해진다.

로그4j 취약점은 자바를 사용하는 대부분의 클라우드 애플리케이션에 심각한 영향을 미쳤는데, 이 취약점을 포함한 패킹·리패킹된 파일이나 스니펫 등은 일반 스캐너로 찾을 수 없다.

IaC 환경에서는 코드 취약점으로 인한 문제가 더 심각해진다. 인프라를 코드로 구성하면 유연성을 높이고 인프라 비용을 줄일 수 있어 비즈니스를 더 가볍고 민첩하게 만들 수 있지만, 보안 문제로 인해 애플리케이션 개발 속도를 제한하거나 심각한 보안 문제를 일으킬 수 있다. 실제로 버라이즌의 ‘2020년 데이터 침해 조사 보고서(DBIR)’에 따르면 침해 요인의 2위가 IaC 오류였다.

IaC는 애플리케이션을 개발·배포할 때 서버, OS, 스토리지 등을 별도로 관리하지 않고 코드만으로 구성할 수 있어 빠르고 안정적인 데브옵스 환경을 운영할 수 있게 한다. 그러나 IaC에 심각한 취약점이 있거나 탬플릿 사용 시 실수를 한다면 치명적인 취약점이 내재된 상태로 서비스가 배포될 수 있다.

예를 들어 애플리케이션 인증 토큰, SSH 키, 패스워드 등 비밀 저장소의 접근권한 설정이 미비하거나 수동으로 설정하게 설계한 탬플릿을 개발자나 클라우드 설계자가 만들어 뒀는데, 개발자가 이 탬플릿의 취약성을 알지 못하고 서비스에 적용할 수 있다. 실제로 팔로알토 조사에 따르면 IaC 탬플릿의 42%가 하나 이상 안전하지 않은 구성을 포함하고 있으며, 48%의 아마존 S3버킷은 서버측 암호화가 활성화되지 않았다.

개발자 친화적 앱섹 기술로 클라우드 보호

CNAPP을 구성하는 주요 요소에 아티팩트·IaC 스캐닝이 포함돼 있다는 점을 주목해야 하는데, 전통적인 SAST·DAST로 이 같은 취약점을 파악하기 어렵기 때문이다. 따라서 애플리케이션 보안 테스팅(AST) 솔루션은 SAST, DAST/IAST와 소프트웨어 구성 분석(SCA) 외에 IaC 코드 정적분석까지 포함한 앱섹(AppSec)으로 데브섹옵스를 완성해야 한다.

앱섹은 보안 전문성을 갖지 못한 개발자도 쉽게 사용할 수 있어야 하며, 개발자를 방해하지 않고 경보피로를 발생시키지 말아야 하고, 코딩보안 교육과 인식 제고 등이 통합되어야 한다. 그 대표적인 예가 체크막스로, SAST, SCA, IAST와 IaC의 정적코드 분석을 지원하는 KICS(Keeping Infrastructure as Code Secure)와 개발자를 위한 앱섹교육 코드베이싱(Codebashing)을 제공한다.

기업 내 운영·개발 소스뿐 아니라 소스코드 분석 자동화, 다양한 개발언어 지원, 타 솔루션과 연계, 한글 지원 기능이 포함돼 있으며, 취약점 점검과 수정 가이드 제공, 통합과 자동화를 제공한다. 변화된 개발 환 경에 맞춰 공격 위협을 예방하기 위해 소프트웨어 개발에 사용하는 써드파티 소스코드와 API 보안을 강화했으며, 설계→코딩→빌드→배포→운영 전 과정에서 소스코드 레벨 점검, 취약점 제거로 애플리케이션 공격 위협에 노출되는 것을 최소화한다.

송대근 체크막스 한국지사장은 “많은 기업이 클라우 드 기반 소프트웨어 개발 프로그램을 위해 앱섹을 적 용하려고 하지만, 즉시 투입할 수 있는 자원이 없으며, 전문인력을 채용하는 것도 쉽지 않다. 이는 국내 기업도 동일하게 겪고 있는 문제로, 특히 로그4j 취약점 문제가 불거졌을 때 앱섹에 대한 관심이 매우 높았다”고 말했다.

그는 “체크막스는 지난해 말 한국지사 설립 후 이커머스, HR, 애플리케이션 기반 서비스를 제공하는 스타트업과 기술기업으로부터 높은 주목을 받고 있다. 우리나라에서도 클라우드 개발 환경이 데브섹옵스로 전환되면서 앱섹 도입 속도가 빨라질 것으로 기대한다”고 덧붙였다.

▲앱섹의 개념(자료: 체크막스)
▲앱섹의 개념(자료: 체크막스)

오픈소스·써드파티 코드 보안도 필수

클라우드 애플리케이션 보안에서 반드시 주목해야 할 사항이 오픈소스이다. 시높시스의 ‘오픈소스 보안과 리스크 분석(OSSRA) 2021’ 보고서에 따르면 현재 기업·기관에서 사용중인 소프트웨어의 98%에 오픈소스 코드가 포함됐으며, 취약점 1개 이상 포함된 코드가 84%에 이른다. 오픈소스 보안 취약점이 해결되지 않은 채 운영되는 기간은 평균 6.6년, 코드베이스의 43%는 10년 이상된 보안 취약점을 갖고 있다.

오픈소스뿐 아니라 외부에서 제공받은 코드에 대한 보안도 문제가 된다. 외주업체에 의뢰한 클라우드 애플리케이션 개발 시 공급받은 코드에 문제가 있는지 확인할 수 있어야 하는데, 코드 개발자가 어떤 소스를 이용해 개발했는지 투명하게 밝히지 않았다면 보안 문제를 겪을 수 있다.

소프트캠프와 엔키의 합작법인 레드펜소프트는 외부에서 공급받은 코드를 화이트해커가 점검해 안전성을 검증한 후 적용하도록 하는 서비스를 제공한다. AST가 소프트웨어 개발조직에서 코드의 보안 약점을 제거하는 것이라면, 레드펜소프트는 공급받은 조직이 자사 서비스에 적용하기 전에 점검하는 서비스다.

애플리케이션 취약점을 발견하면 보상해주는 버그바운티도 필요하다. 버그바운티는 글로벌 기업 뿐 아니라 국내에서도 여러 기업·기관이 시행하고 있으며, KISA의 보안 취약점 신고 포상제에도 여러 기업이 참여하고 있다. 이와 함께 한국인터넷진흥원은 국가 차원에서 국내외 보안 취약점을 체계적으로 수집·관리하는 사이버 보안 취약점 정보 포털 서비스를 개시하기도 했다.

화이트해커가 찾은 취약점 정보를 IT 벤더에게 알리고 정당한 포상금을 받을 수 있도록 도와주는 프로그램도 국내에서 활동 중이다. SSD 시큐어 디스클로저가 그 대표적인 예이며, 여기에서 수집된 취약점을 분석하는 전문 연구기관 SSD랩스도 한국에 지사를 설립하고 취약점 연구 활동을 적극 전개하다. SSD랩스 서울은 전 세계에서 수집한 취약점 정보 분석 업무를 이스라엘 본사와 나눠서 맡게 되며, 한국의 화이트해커 및 분석가뿐 아니라 다른 나라의 전문가도 참여할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.