가상화ㆍ컨테이너 / 개발자 / 보안 / 클라우드

서버리스 애플리케이션 다섯 중 하나에 치명적인 보안 취약점

Andy Patrizio | Network World 2018.04.13
올해 폭발적인 인기를 누릴 것으로 보이는 서버리스 컴퓨팅은 ‘더 작은 서버’라는 개념을 한 단계 더 발전시켰다. 첫 단계는 운영체제의 전체 인스턴스를 구동하는 가상머신이다. 그 다음 단계는 컨테이너로, 애플리케이션을 구동하는 데 필요한 운영체제의 최소한만을 로딩한다. 이를 통해 서버의 크기를 줄인다.

Image Credit : GettyImagesBank

이제는 서버리스(Serverless) 애플리케이션이 있다. 사실 다소 잘못된 이름인데, 여전히 서버 상에서 구동되기 때문이다. 다만 전용 서버나 가상머신, 컨테이너가 없다. 서버리스 애플리케이션은 작업을 끝낼 때까지만 서버 인스턴스에서 구동하고 이후에는 인스턴스를 종료한다. 궁극의 ‘작은 서버’로 서버의 부하를 줄여준다.

모든 떠오르는 기술이 그렇듯이 보안은 항상 나중 일이다. 서버리스 애플리케이션 보안 전문업체의 감사에 의하면, 서버리스 애플리케이션 다섯 중 하나는 한 가지 이상의 치명적인 보안 결함이 있어 공격자가 해당 앱을 조종해 악의적인 작업을 수행하도록 할 수 있다.

이스라엘 보안업체 퓨어섹(PureSec)은 1,0000개 이상의 서버리스 애플리케이션에 대한 감사를 진행했는데, 취약점 대부분은 안전하지 않은 예제 코드를 실제 프로젝트에 복사해 넣거나 빈약한 개발 프랙티스, 서버리스 컴퓨팅에 대한 교육 부족에 의한 것으로 나타났다. 사실 전문 개발자에게는 보기 힘든 실수들이다.

여기에 더해 퓨어섹은 서버리스 애플리케이션 프로젝트의 6%가 API 키나 인증서 등의 애플리케이션 기밀사항을 누구나 액세스할 수 있는 코드 저장소에 게재했다는 것을 발견했다.

퓨어섹은 다양한 인기 개발언어로 작성된 애플리케이션을 조사했는데, 자바, 파이썬, 고, NodeJS 등으로 작성된 애플리케이션 모두 각각 20% 내외의 비율로 취약점이 발견됐다. 예외적인 것은 마이크로소프트 닷넷으로, 닷넷으로 작성된 서버리스 애플리케이션의 42.9%에서 일종의 취약점이 발견됐다.

당연한 일이겠지만, 이 소식은 퓨어섹이 서버리스 애플리케이션 보안 제품을 발표하면서 나왔다. 퓨어섹은 AWS 람다용 퓨어섹 SSRE 플랫폼의 베타 버전을 출시했는데, SQL 인젝션이나 원격 코드 실행 등의 애플리케이션 계층 공격을 방어할 수 있다.

퓨어섹은 SSRE가 자사의 감사에서 발견된 모든 취약점을 차단하거나 위험을 경감할 수 있으며, 자사의 퓨어섹 CD/CD 통합 코드 및 설정 검사 툴을 통해 탐지하고 수정할 수 있다고 주장한다. 퓨어섹 CTO 오리 세갈은 발표문을 통해 “전통적인 애플리케이션 보안 모델과 클라우드 워크로드 보호 솔루션은 서버리스 아키텍처에 효과적이지 않다”고 강조했다. 퓨어섹은 10개의 가장 보편적인 취약점을 상세히 설명하고 예제 코드도 담은 백서도 발표했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.