2016.3.7 월 12:18
> 뉴스 > 칼럼 > 시사보안
   
[이슈분석]하트블리드 같은 취약점 피하려면...시큐어코딩 생활화
2014년 04월 16일 (수) 04:02:14 김인순기자 insoon@etnews.com

오픈SSL 하트블리드 취약점이 세상에 알려지며 보안 제품은 물론이고 모든 소프트웨어 개발에 ‘시큐어 코딩’을 의무화해야 한다는 목소리에 힘이 실린다. 각종 인증을 획득한 보안 제품도 안전성을 담보할 수 없는 상황으로 내몰렸기 때문이다.

시큐어 코딩이란 해커 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거해 안전성이 높은 소프트웨어를 개발하는 기법이다.

하트블리드 취약점이 알려지자 국내 정보보호 기업은 패치 개발과 배포에 우왕좌왕이다. 보안 제품 상당수가 하트블리드에 노출된 오픈SSL 기술이 쓰인 것으로 확인된 탓이다. 문제는 이번에 취약점에 노출된 대부분 보안 제품이 정보보호시스템 평가 인증을 거쳤다는 점이다. 정보보호시스템 평가인증은 민간 기업이 개발한 보안 제품에 구현된 보안 기능의 안전성과 신뢰성을 보증해 사용자가 안심하고 제품을 사용하게 지원하는 제도다.

수개월이 넘는 평가기간을 거쳐 인증을 받아도 오픈SSL 하트블리드와 같은 대형 보안 구멍을 걸러내지 못했다. 결국 인증 받은 제품을 구입한 공공기관도 보안솔루션에 있는 하트블리드 취약점에 그대로 노출된다. 내부 네트워크와 서비스를 보호하려고 도입한 보안 제품이 해커 공격의 목표가 되는 셈이다. 실제로 지난해 3·20 사이버테러 사건을 비롯해 최근 해커는 윈도나 안티 바이러스 업데이트 서버 등 보안 솔루션 취약점을 악용한 공격을 늘렸다.

김승주 고려대 정보보호대학원 교수는 “영세한 국내 보안 기업은 오픈소스 소프트웨어를 그대로 가져다 제품을 개발하는 경우가 많다”며 “CC인증이나 암호모듈검증을 받아도 하트블리드와 같이 대형 취약점이 발견되면 속수무책”이라고 설명했다. 그는 “지난 2012년 전자정부에만 도입한 시큐어코딩 의무화를 전체 보안제품에서 각종 애플리케이션 소프트웨어 개발까지 모두 확산해야 한다”며 “정보보호 제품 자체의 안전성을 높이면 대형 공격 위협을 그나마 줄일 수 있다”고 덧붙였다.

ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부