보안 / 오픈소스

포올시큐어, OSS 보안 강화 프로그램 ‘메이헴 히어로즈’ 공개

John P. Mello Jr | CSO 2022.04.11
차세대 퍼징 솔루션 메이헴(Mayhem) 개발업체인 포올시큐어(ForAllSecure)가 오픈소스 소프트웨어(Open Source Software, OSS) 보안 강화 프로그램인 ‘메이헴 히어로즈(Mayhem Heroes)’를 공개했다. 포올시큐어는 개발자에게 메이헴의 무료 복제본을 제공하고 있으며, 메이헴을 적절한 OSS 깃허브 프로젝트에 통합한 개발자에게는 1,000달러를 지불한다.
 
ⓒ Getty Images Bank

포올시큐어 CEO 데이비드 브럼리는 발표문을 통해 "공격이 성공하기 전, 악용될 수 있는 전 세계 버그를 자동으로 찾아 수정하는 임무를 수행하고 있다”라고 말했다.

브럼리는 "OSS 개발자가 빠르고 쉽게 취약점을 찾는 데 필요한 툴에 액세스하도록 지원해야 한다. 메이헴 히어로즈는 소프트웨어 보안 테스트를 민주화하고 수많은 OSS 프로젝트를 더욱 안전하게 만들며, 궁극적으로 전 세계 모든 사용자의 시스템 보안을 강화할 것이다”라고 말했다.

포올시큐어에 따르면, 메이헴은 다른 보안 테스트 솔루션에서 발견된 긍정 오류를 제거해 개발자 생산성을 높이며, 신뢰성 테스트를 개선하고 보안 약화를 방지한다.

메이헴의 특허 알고리즘은 카네기 멜런 대학교에서 개발됐으며, 2014년에 열린 DARPA 사이버 그랜드 챌린지의 최종 승자였다. DARPA 사이버 그랜드 챌린지(Cyber Grand Challenge)는 결함을 추론하고 패치를 만들며, 네트워크에 패치를 실시간으로 배포하는 자동 방어 시스템을 구축하는 것을 목표로 한다. 브럼리는 한 인터뷰에서 “당시 포올시큐어는 기계에게 해킹하는 방법을 가르치려고 시도하는 중이었다”라고 말했다.

브럼리는 "업계에는 정적 분석 툴이 많다. 정적 분석은 1970년대 처음 시작됐으며, 1세대 애플리케이션 보안 툴에 도입됐다. 정적 분석 툴은 실제 공격자처럼 작동하지 않으며, 시스템 악용 방법을 사용자에게 보여주지 않는다. 단지 의심스러운 코드 라인을 강조 표시할 뿐이다”라고 설명했다.

또한, 정적 분석 툴은 잘 알려진 취약점을 찾아낸다. 브럼리는 “사용자는 항상 공격자보다 뒤처지기 때문에 취약점을 찾아내는 것만으로는 충분하지 않다. 메이헴의 역할은 공격자보다 먼저 새로운 문제를 찾아내는 것이다. 즉, 인간의 펜 테스터가 하는 일을 수행한다”라고 강조했다.

히어로즈 프로그램이 출시되면서 코드용 메이헴과 API 메이헴도 개발자에게 무료로 제공된다.

메이헴이 취약점을 수정할 수 있음에도 그렇게 하도록 내버려두는 것에 대한 반발도 있었다. 브럼리는 “취약점을 찾아내는 데 인간을 이용하는 것은 문제가 될 수 있다. 하지만 인간 역시 취약점을 수정하는 데 관여하고 싶어한다. 업계가 취약점 수정 권한을 기계에게 양도하는 것을 승인한다면 흥미진진한 상황이 펼쳐질 것이다”라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.