전문가들 "점검방식 바꿔라" 개선방안 제시
정부 개발 초기단계부터 보안 전문가 참여시키고
그때그때 문제 찾는 방식 대신 내부문제까지 점검해야
정부 개발 초기단계부터 보안 전문가 참여시키고
그때그때 문제 찾는 방식 대신 내부문제까지 점검해야
 |
아이핀 홈페이지 |
인터넷 주민등록번호 대체수단인 공공아이핀이 해킹을 당해 75만여장이 부당하게 발급된 가운데, 이번 해킹이 고난도의 어려운 기술이 아닌 초보단계의 해킹이었다는 지적이 나오고 있다.
아이핀의 보안이 사실상 큰 허점을 드러낸 것이어서 정부 시스템의 개발과 점검 방식부터 바꿔야 한다는 전문가들의 지적이 확산되고 있다.
우선 개발단계에서 소외되고 있는 보안 전문가들을 개발초기부터 참여시키고, 개발 소스 등 시스템 내부를 살펴보면서 점검하는 방식의 테스트를 확산시켜야 한다는 주장이다.
■점검방식 변경 요구↑
6일 보안업계에 따르면 시스템을 점검할 때 대부분 모의해킹과 유사한 방식의 블랙박스 기반의 테스트가 다수로 이뤄지고 있다. 그러나 이보다는 시스템 내 소스코드를 공개한 상황에서 검증하는 화이트박스 기반의 테스트 비중을 높여야 한다는 의견이 업계에서 일고 있다.
블랙박스 테스트는 외부에서 무작위로 공격하는 것으로 부정확하지만 미처 알지 못했던 허점을 파악할 수 있다.
반면 화이트박스 테스트는 시스템 소스코드를 보여준 상태에서 진행하는 것으로 소스코드를 보고 검증하는 터라 시스템 설계에서부터의 문제를 진단할 수 있다.
즉, 블랙박스 테스트는 그때그때 특정 문제점을 찾아내는 훈련 방식이고, 화이트박스 테스트는 보이지 않는 소스의 내부적인 구조 문제점까지 찾아내는 방법이다.
이에 따라 업계에선 이 두 가지 테스트를 병행하는 것이 이상적으로 여겨지고 있다. 그러나 기술 공개를 꺼리는 입장에선 화이트박스 기반의 테스트를 원치 않는 것으로 알려졌다.
아울러 블랙박스 테스트는 점검 기간이 다소 빨라 수월하지만 화이트박스 테스트는 소스코드들의 논리적인 경로를 검사하는 만큼 정확도가 높아도 시일이 다소 걸린다.
보안전문업체 라온시큐어의 조주봉 팀장은 "대부분 블랙박스 기반으로 점검을 많이 하는데 화이트박스 기반으로 해서 소스코드를 공개해놓은 상황에서 검증절차를 거쳐야 한다"며 "취약점을 점검할 때 갇힌 방식으로 보안점검을 하는 것이 아니라 특정 공격기법에서 벗어나 공격자들의 자율성을 인정하는 점검방법이 필요하다"고 말했다.
■취약점 찾기 쉬워야
이번 공공아이핀 해킹은 자체 개발된 프로그램으로 공공아이핀 시스템을 뚫고 발급절차를 무력화시켰다는 점이 문제로 지적된다. 아이핀 발급시스템 취약점을 악용한 해커는 '파라미터 위변조 방식'으로 위조된 값을 적용해 단계로 넘어가는 방식으로 부정 발급받았다는 것이다.
이 같은 취약점으로 인한 해킹은 이미 다수의 사례에서 발견됐지만 계속 발생하는 것도 기존 취약점 점검에 문제가 있다는 것이란 분석이다.
특히 우리나라 시스템 개발의 경우, 개발을 마친 뒤 보안 점검 방식인 만큼 개발단계에서부터 보안 인력이 투입돼야 한다는 지적이다. 초반부터 보안 전문가들이 개발과정에 참여해 보안설계를 강화할 필요가 있다는 것이다.
보안 업계 관계자는 "시스템 취약점을 점검할 때 하나하나 테스트하는 작업이 굉장히 오래 걸린다"며 "그러다 보니 특정 부분은 놓치기도 하고 시간에 쫓겨 단기간에 끝내다보니 취약점이 노출되는 것"이라고 말했다.
다만 보안 점검 강화는 기술공개 여부와 직결되는 만큼 보안전문가 윤리교육 등이 필요하다는 의견도 제기된다.
또 다른 업계 관계자는 "블랙박스나 화이트박스 테스트를 굳이 구분할 필요 없이 상황에 따라 적용하는 유연함이 요구된다"며 "화이트박스 테스트를 위해선 개발 소스를 볼 수 있는 신뢰가 필요한데 이러한 문화가 정착되려면 시간이 필요하다"고 지적했다. hjkim01@fnnews.com 김학재 기자
아이핀의 보안이 사실상 큰 허점을 드러낸 것이어서 정부 시스템의 개발과 점검 방식부터 바꿔야 한다는 전문가들의 지적이 확산되고 있다.
우선 개발단계에서 소외되고 있는 보안 전문가들을 개발초기부터 참여시키고, 개발 소스 등 시스템 내부를 살펴보면서 점검하는 방식의 테스트를 확산시켜야 한다는 주장이다.
■점검방식 변경 요구↑
6일 보안업계에 따르면 시스템을 점검할 때 대부분 모의해킹과 유사한 방식의 블랙박스 기반의 테스트가 다수로 이뤄지고 있다. 그러나 이보다는 시스템 내 소스코드를 공개한 상황에서 검증하는 화이트박스 기반의 테스트 비중을 높여야 한다는 의견이 업계에서 일고 있다.
블랙박스 테스트는 외부에서 무작위로 공격하는 것으로 부정확하지만 미처 알지 못했던 허점을 파악할 수 있다.
반면 화이트박스 테스트는 시스템 소스코드를 보여준 상태에서 진행하는 것으로 소스코드를 보고 검증하는 터라 시스템 설계에서부터의 문제를 진단할 수 있다.
즉, 블랙박스 테스트는 그때그때 특정 문제점을 찾아내는 훈련 방식이고, 화이트박스 테스트는 보이지 않는 소스의 내부적인 구조 문제점까지 찾아내는 방법이다.
이에 따라 업계에선 이 두 가지 테스트를 병행하는 것이 이상적으로 여겨지고 있다. 그러나 기술 공개를 꺼리는 입장에선 화이트박스 기반의 테스트를 원치 않는 것으로 알려졌다.
아울러 블랙박스 테스트는 점검 기간이 다소 빨라 수월하지만 화이트박스 테스트는 소스코드들의 논리적인 경로를 검사하는 만큼 정확도가 높아도 시일이 다소 걸린다.
보안전문업체 라온시큐어의 조주봉 팀장은 "대부분 블랙박스 기반으로 점검을 많이 하는데 화이트박스 기반으로 해서 소스코드를 공개해놓은 상황에서 검증절차를 거쳐야 한다"며 "취약점을 점검할 때 갇힌 방식으로 보안점검을 하는 것이 아니라 특정 공격기법에서 벗어나 공격자들의 자율성을 인정하는 점검방법이 필요하다"고 말했다.
■취약점 찾기 쉬워야
이번 공공아이핀 해킹은 자체 개발된 프로그램으로 공공아이핀 시스템을 뚫고 발급절차를 무력화시켰다는 점이 문제로 지적된다. 아이핀 발급시스템 취약점을 악용한 해커는 '파라미터 위변조 방식'으로 위조된 값을 적용해 단계로 넘어가는 방식으로 부정 발급받았다는 것이다.
이 같은 취약점으로 인한 해킹은 이미 다수의 사례에서 발견됐지만 계속 발생하는 것도 기존 취약점 점검에 문제가 있다는 것이란 분석이다.
특히 우리나라 시스템 개발의 경우, 개발을 마친 뒤 보안 점검 방식인 만큼 개발단계에서부터 보안 인력이 투입돼야 한다는 지적이다. 초반부터 보안 전문가들이 개발과정에 참여해 보안설계를 강화할 필요가 있다는 것이다.
보안 업계 관계자는 "시스템 취약점을 점검할 때 하나하나 테스트하는 작업이 굉장히 오래 걸린다"며 "그러다 보니 특정 부분은 놓치기도 하고 시간에 쫓겨 단기간에 끝내다보니 취약점이 노출되는 것"이라고 말했다.
다만 보안 점검 강화는 기술공개 여부와 직결되는 만큼 보안전문가 윤리교육 등이 필요하다는 의견도 제기된다.
또 다른 업계 관계자는 "블랙박스나 화이트박스 테스트를 굳이 구분할 필요 없이 상황에 따라 적용하는 유연함이 요구된다"며 "화이트박스 테스트를 위해선 개발 소스를 볼 수 있는 신뢰가 필요한데 이러한 문화가 정착되려면 시간이 필요하다"고 지적했다. hjkim01@fnnews.com 김학재 기자
※ 저작권자 ⓒ 파이낸셜뉴스. 무단 전재-재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
