열린마당
2017년 6월 21일 (수)
ⓒ 디지털데일리, 최민지 cmj@ddaily.co.kr
21일 박재표 숭실대 정보과학대학원 교수는 미래창조과학부 주최 정보통신산업진흥원(NIPA)·디지털데일리 공동주관으로 쉐라톤 서울 디큐브시티 호텔에서 열린 ‘오픈테크넷 서밋 2017’을 통해 오픈소스 소프트웨어(SW) 취약점 분석의 중요성을 강조했다.
소스코드를 공개해 자유롭게 수정, 재·배포할 수 있는 오픈소스는 저작권자에 의한 라이선스 규정을 준수해야 한다. 전세계 오픈소스 시장은 연평균 22.4% 성장하고 있다. 하지만 보안문제는 오픈소스 SW의 주요 우려사항으로 꼽히고 있다.
이에 박 교수는 오픈소스 SW 취약점 분석을 통해 보안을 강화해야 한다고 밝혔다. 박 교수는 2014년 발견된 하트블리드를 예로 들며, 해커들이 버그를 활용해 오픈 SSL(Secure Socket Layer)을 설치한 웹 서버 메모리에 침투해 개인정보를 탈취할 수 있다고 설명했다.
이와 관련 시큐어코딩이 권장되고 있는 상황이다. 시큐어코딩은 소프트웨어 개발과정에서 개발자의 지식부족이나 실수, 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해 설계단계부터 보안을 고려해 코드를 작성하는 방식이다.
이날 박 교수는 숭실대학교, 엔키소프트, 이븐스타가 정부과제로 수행하고 있는 오픈소스 SW 취약점 분석 플랫폼을 소개했다. 2014년 6월경 정부 과제로 나온 오픈소스 소프트웨어 안전성 점검이 가능한 보안취약점 분석 기술과 발견된 취약점에 대한 자동패치가 가능한 소프트웨어 취약점 분석 플랫폼 개발이 진행되고 있다.
오픈소스 SW 취약점 분석 때 화이트박스, 블랙박스, 하이브리드 분석을 수행한다. 정적분석과 동적분석을 모두 이용한다. 공격이 가능하다고 보면 취약하다고 판단해 안전한 코드에 대해 고려한다.
이 취약점 분석 플랫폼은 ▲오픈소스 수집 기술 ▲취약점 탐지 기술 ▲취약점 패치 기술로 구성된다. 위험성을 기준으로 오픈소스 SW를 자동으로 수집하고 대상을 예측한다. 또, 정적·동적 분석과 함께 자동패치 가이드라인 및 리포팅 기술이 포함된다.
박 교수는 “이 플랫폼을 사용하면 오픈소스에 대한 취약점 분석을 하고 결과를 활용할 수 있다”며 “오픈소스 SW의 경우, 스스로 보안을 해야만 하기 때문에 정부 과제인 만큼 개인은 무료로 이용 가능하도록 개발하게 됐다”고 말했다.
이어 “취약점 탐지 때 기호기반 정적 분석까지 지원하며, 스마트 퍼징 및 하이브리드 분석까지 가능하다”며 “오픈소스를 개발한 사람은 누구나 무료로 테스트할 수 있고, 상용소프트웨어의 경우 플랫폼을 프로그램화해 유료로 다운로드 받도록 할 예정”이라고 덧붙였다.
다만, 현재 이 과제는 중단 상태다. 과제완료는 오는 8월 예정돼 있으나 지난 3월부터 중단됐다. 플랫폼 구축 및 자동화 영역을 맡고 있는 엔키소프트가 경영악화를 맞아 과제 관련 연구개발 금액을 무단으로 사용했기 때문이다.
※ 본 내용은 (주)디지털데일리(http://www.ddaily.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[원문출처 : http://www.ddaily.co.kr/news/article.html?no=157277]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 295990 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 286464 | 2020-10-27 |
| 6941 | [오픈테크넷서밋 2017] 인공지능 개발에 유용한 오픈소스 프로젝트 10선 | 5575 | 2017-06-23 |
| 6940 | [오픈테크넷서밋 2017] LG CNS “챗봇 서비스, 지능형만이 답 아니다” | 4700 | 2017-06-23 |
| 6939 | [오픈테크넷서밋 2017] 네이버, 웨일 브라우저 ‘사이드바’로 표준화 노린다 | 5726 | 2017-06-23 |
| 6938 | [오픈테크넷서밋 2017] 나임네트웍스, "인천유시티, SDDC기반 데이터센터 구축으로 100억원 비용절감" | 5793 | 2017-06-23 |
| 6937 | [오픈테크넷서밋 2017] “오픈소스 SW, 보안 취약점까지 고려해야” | 4864 | 2017-06-23 |
| 6936 | [오픈테크넷서밋 2017] 삼성전자 박수홍 박사 "오픈소스 근본은 수익창출..신중히 접근해야" | 5469 | 2017-06-23 |
| 6935 | “공유·개방·참여의 오픈소스 정신 확산돼야”…오픈테크넷 서밋 2017에 쏠린 관심 | 5080 | 2017-06-23 |
| 6934 | [주간 OSS 동향 리포트] 국방 무기체계 개발에 공개SW 적용 확대 | 4653 | 2017-06-20 |
| 6933 | 포레스터가 정리한 '6가지 클라우드 전략 트렌드' | 5001 | 2017-06-20 |
| 6932 | 구글, 딥러닝 라이브러리 '텐서2텐서'공개...멀티 환경 AI 구축 가능 | 4623 | 2017-06-20 |
0개 댓글