2010.02.17

보안 전문가, “프로그래밍 오류 책임, 개발업체에 있다”

Joan Goodchild | CIO

일반 프로그래밍 실수를 밝혀내는 보안 전문가 그룹이 프로그래밍 에러에 대한 책임은 구매자가 아닌 해당 프로그램을 개발한 업체에 있다고 주장했다.

 

30개 미국 및 국제 사이버 보안 기업의 전문가가 속한 단체는 최근 보안 버그, 사이버 간첩활동 및 범죄를 가능케 하는 가장 위험한 프로그래밍 오류 25선 목록을 2년 연속으로 발표했다.

 

공식 보고서에서 전문가들은 “이 25개의 프로그래밍 오류 및 비슷한 것들은 최근에 벌어진 구글 해킹 사고를 포함한 모든 종류의 사이버 공격의 원인이 되고 있다”라면서, “이런 프로그래밍 오류를 줄이기 위한 전세계적인 노력이 사이버 범죄 집단에 대항하는 첫 단계”라고 말했다.

 

25개의 프로그래밍 오류 선정 과정은 NSA(National Security Agency)의 발의로 MITRE와 SANS 인스티튜트가 진행했으며, 미국 국토안보부(U.S. Department of Homeland Security)의 NSCD(National Cyber Security Division)의 후원을 받았다. 오류 발견과 함께, 이 단체는 소프트웨어 구매업체와 개발업체 간의 계약 표준 언어에 동의했다. 이는 통일된 계약언어를 사용함으로써 구매업체가 소프트웨어의 잘못된 코드에 책임이 없다는 것을 분명히 하기 위함이다. 코딩오류는 공격자들이 네트워크를 침투하는데 입구로 사용될 수 있다.

 

SANS 인스티튜트의 연구 책임자인 앨런 패럴은 “거의 모든 공격이 프로그래머의 실수로 만들어지고, 이는 공격자들에게 공격의 빌미를 제공하게 된다”라면서, “프로그래밍 오류를 없앨 수 있는 유일한 방법은 소프트웨어 개발업체가 오류에 대한 책임을 지는 것이다. 그리고 이것은 안전한 은신처(safe harbor)가 있어야만 해낼 수 있다”라고 말했다.

 

패럴은 보안 전문가로 이뤄진 이 단체가 ‘안전한 은신처’라는 재단이 되고자 한다며, 지금까지 나온 프로그래밍 오류들에 대한 책임은 앞으로 소프트웨어 업체들이 지게 될 것이라고 전했다.

 

한편, SANS 책임자인 매이슨 브라운은 “프로그래밍 오류에 관련된 전반적인 동의가 이루어지고 있다”라면서, “이제 구매자들이 ‘이런 오류를 없애주기 전까지는 해당 소프트웨어를 구매하지 않을 것’이라고 요구할 수 있게 됐다”라고 말했다. editor@idg.co.kr



2010.02.17

보안 전문가, “프로그래밍 오류 책임, 개발업체에 있다”

Joan Goodchild | CIO

일반 프로그래밍 실수를 밝혀내는 보안 전문가 그룹이 프로그래밍 에러에 대한 책임은 구매자가 아닌 해당 프로그램을 개발한 업체에 있다고 주장했다.

 

30개 미국 및 국제 사이버 보안 기업의 전문가가 속한 단체는 최근 보안 버그, 사이버 간첩활동 및 범죄를 가능케 하는 가장 위험한 프로그래밍 오류 25선 목록을 2년 연속으로 발표했다.

 

공식 보고서에서 전문가들은 “이 25개의 프로그래밍 오류 및 비슷한 것들은 최근에 벌어진 구글 해킹 사고를 포함한 모든 종류의 사이버 공격의 원인이 되고 있다”라면서, “이런 프로그래밍 오류를 줄이기 위한 전세계적인 노력이 사이버 범죄 집단에 대항하는 첫 단계”라고 말했다.

 

25개의 프로그래밍 오류 선정 과정은 NSA(National Security Agency)의 발의로 MITRE와 SANS 인스티튜트가 진행했으며, 미국 국토안보부(U.S. Department of Homeland Security)의 NSCD(National Cyber Security Division)의 후원을 받았다. 오류 발견과 함께, 이 단체는 소프트웨어 구매업체와 개발업체 간의 계약 표준 언어에 동의했다. 이는 통일된 계약언어를 사용함으로써 구매업체가 소프트웨어의 잘못된 코드에 책임이 없다는 것을 분명히 하기 위함이다. 코딩오류는 공격자들이 네트워크를 침투하는데 입구로 사용될 수 있다.

 

SANS 인스티튜트의 연구 책임자인 앨런 패럴은 “거의 모든 공격이 프로그래머의 실수로 만들어지고, 이는 공격자들에게 공격의 빌미를 제공하게 된다”라면서, “프로그래밍 오류를 없앨 수 있는 유일한 방법은 소프트웨어 개발업체가 오류에 대한 책임을 지는 것이다. 그리고 이것은 안전한 은신처(safe harbor)가 있어야만 해낼 수 있다”라고 말했다.

 

패럴은 보안 전문가로 이뤄진 이 단체가 ‘안전한 은신처’라는 재단이 되고자 한다며, 지금까지 나온 프로그래밍 오류들에 대한 책임은 앞으로 소프트웨어 업체들이 지게 될 것이라고 전했다.

 

한편, SANS 책임자인 매이슨 브라운은 “프로그래밍 오류에 관련된 전반적인 동의가 이루어지고 있다”라면서, “이제 구매자들이 ‘이런 오류를 없애주기 전까지는 해당 소프트웨어를 구매하지 않을 것’이라고 요구할 수 있게 됐다”라고 말했다. editor@idg.co.kr



X