Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

보안테스트

보안 서비스 구입할 때 가장 중요한 것 "제품과 업체 평가 선행"

노련한 CSIO 마이크 만로드는 훌륭한 사이버 보안 공급업체 평가의 가치를 인지하고 있다. 만로드는 이전 직장에서 장기 서비스 계약에 따라 매우 비싼 베이퍼웨어(vaporware)를 물려받았던 것을 기억한다. 전임자는 혁신적이라고 주장하는 신원증명 및 액세스 관리 플랫폼 베타 버전을 구매했으나, 제품에 대한 어떤 분석도 하지 않았고, 단순히 제품 효과가 좋다는 업체의 주장을 받아들였다. 어리석은 행동이었다.  이와는 반대로 만로드는 현재 직장인 그랜드 캐년 에듀케이션(Grand Canyon Education)의 CSIO로서 웹 애플리케이션 보안 제품 평가를 위해 별도의 부서를 구성하면서, 테스트를 통해 사용하는 기업이 검증하면 업체 측의 주장을 쉽게 전복할 수 있다는 점을 알아냈다. 기본 테스트만으로도 높은 비용을 물어야 하는 실수를 방지할 수 있었다.    이른바 ‘기발한’ 웹 애플리케이션 보안 제품 평가를 위해 팀을 구성했으나, 클라이언트 쪽의 검증이 제품을 쉽게 우회해 전복시킬 수 있다는 점을 테스트를 통해 발견했다. 이러한 기본적인 테스트 덕분에 높은 비용을 초래하는 실수를 방지할 수 있었다. 만로드는 “신생업체는 트라이스포밍(trysforming)하기 때문에 때때로 원점으로 돌아가는 경우가 있다. 이것 자체가 문제가 되지는 않지만, CISO 같은 보안 리더가 준비되지 않은 제품을 무턱대고 구매할 경우, 결국 CISO의 책임이 된다”라고 강조했다.  만로드는 성숙한 평가 프로그램은 문제에 대한 명확한 이해 및 문제 해결을 위한 방안에서 시작한다고 설명한다. 반면, 비성숙한 팀은 먼저 명확한 비즈니스 요구를 규정하지 않고 경영진이 회의에서 제품을 마음에 들어 했다는 것 말고는 더 나은 이유가 없어도 특정 제품을 구입한다. 또한 성숙한 평가 팀은 규정된 비즈니스 요구를 충족하는 솔루션으로 범위를 좁히기 전에 광범위한 솔루션을 두고 이해하고 검토한다. 성숙한 조직은 아무런 의문도 제기하지 않고 공급업체의 마케팅 ...

사이버보안업체평가 업체평가 보안테스트 2022.11.21

“보안도 왼쪽으로” 오픈소스 소프트웨어 위험과 시프트레프트 전략의 상관관계

오픈소스 소프트웨어는 대다수 애플리케이션에서 큰 비중을 차지하지만, 개발자와 보안 부서에는 보안 관련 과제를 던지는 존재다. 이번주 공개된 2종의 보고서에는 오픈소스 소프트웨어의 과제를 ‘시프트 레프트’ 전략을 확대 적용하면서 극복할 수 있다는 내용이 실려 주목을 끈다. 개발자 보안 업체인 스니크(Snyk)와 리눅스 재단은 ‘오픈소스 보안 현황(The State of Open Source Security)’ 보고서에서 10곳 중 4곳 이상의 기업(41%)이 오픈소스 보안에 확신이 없다고 지적했다. 또한 지난 3년 간 오픈소스 프로젝트에서의 취약점 수정 기간이 꾸준히 늘어 2018년(49일)보다 2021년(110일)에는 2배가 넘었다고 발표했다.     오픈소스에 대한 논쟁 : 생산성 vs. 보안 550명 이상의 응답자를 확보한 이번 보고서는 애플리케이션 개발 프로젝트의 취약점이 평균 49개, 일명 오픈소스 코드라고 칭하는 직접 의존성이 평균 80개라고 밝혔다. 그러나 오픈소스 소프트웨어 개발 또는 사용에 대한 보안 정책을 마련한 기업은 절반에 약간 못 미치는 49%였다. 규모를 중대형 기업으로 좁혀보면 이 수치는 27%에 지나지 않는다. 스니크 개발 관계 이사인 매트 저비스는 발표문에서 “오늘날 소프트웨어 개발사는 자체적인 공급망을 보유하고 있다. 자동차 부품을 조립하는 것처럼 자사만의 독특한 코드로 기존 오픈소스 구성요소를 이어서 코드를 조립한다. 생산성과 혁신을 대폭 개선할 수는 있지만 그만큼 보안 위험이 커진다는 단점이 있다”라고 지적했다.   "시프트 레프트로 취약점 조기 발견할 수 있어" 애플리케이션 자동화 테스트 업체 시프트 레프트(ShiftLeft) 역시 '애플리케이션 보안 발전(AppSec  Progress)' 보고서를 발행하면서 오픈소스 소프트웨어 보안 역시 시프트 레프트 전략, 또는 소프트웨어 개발 생명주기 시작을 조기에 앞당기는 것으로 보완할 수 있다고 주장했다. 보고서는 시프트레프트의 코어(Cor...

오픈소스소프트웨어 오픈소스 보안 2022.06.24

통계가 말하는 애플리케이션 보안 현황

지난 몇 년간 데브옵스(DevOps) 문화가 부상하면서 소프트웨어 개발에 큰 변화가 발생했고, 기업들이 새 기능과 혁신을 지원하는 데 필요한 인프라를 자동으로 축소, 또는 확장하고, 코드를 더 빨리 배포할 수 있게 되었다. 그리고 이제 개발과 운영 파이프라인에 보안을 통합시키는 데브섹옵스(DevSecOps)가 확대되면서 애플리케이션 보안에도 변화가 발생하고 있다. 그러나 업계의 새 보고서에 수록된 데이터는 여전히 ‘갭’이 존재한다는 점을 보여준다. 보안 테스트의 주체가 바뀌고 있다 ESG가 북미의 애플리케이션 개발자 및 애플리케이션 보안 담당자 378명을 조사해 발표한 새 보고서에 따르면, 많은 기관과 기업이 자신의 애플리케이션 보안 프로그램이 견고하다고 판단하고 있음에도 불구하고 알려진 취약점이 있는 코드를 계속 배포하고 있다. 취약한 코드를 배포하는 것을 결코 바람직한 일이 아니지만, 이에 대해 알고 배포하는 것이 모르고 배포하는 것보다는 낫다. 위험 평가, 문제점을 바로잡을 계획, 일시적인 경감 대책 아래 이런 결정을 내리는 경우가 많기 때문이다. 조사 대상의 약 절반이 소속 조직이 정기적으로 이렇게 하고 있다고 대답했다. 또 간헐적으로 이렇게 한다고 대답한 비율은 1/3이었다. 그 이유로는 ‘아주 중요한 일정 준수’, ‘취약점의 위험인 낮아’, ‘릴리스 주기에서 너무 늦게 문제점을 발견’이 가장 많이 언급됐다(45%). 이번 조사 결과는 가능한 개발 프로세스 초기에 보안 테스트를 통합시키는 것이 중요한 이유를 설명한다. 또한, 취약한 코드를 배포하는 것이 반드시 보안 프로그램이 견고하지 않다는 것을 알려주는 신호는 아니라는 점을 알려준다. 여러 이유에서 이런 일이 일어날 수 있고, 한 종류의 보안 테스트로는 모든 버그를 포착하기 불가능하기 때문이다.  그러나 이 보고서는 여전히 애플리케이션 보안 프로그램을 확대하는 과정에 있는 조직들이 많다는 점도 알려준다. 구체적으로 코드 기반의 3/4 이상이 애플리케이션 보안 프로그램의 대상이라고 대...

애플리케이션보안 데브옵스 데브섹옵스 2020.08.19

텐센트, 치후, 안티바이러스 테스트 랭킹 박탈

중국 보안 벤더인 텐센트(Tencent)와 치후(Qihoo)가 자사의 제품들을 테스팅을 목적으로 한 최적화된 버전, 실제로는 반영이 안되는 제품을 여러 보안테스트 업체에게 제출해 퇴출당했다. AV-컴페러티브(AV‐Comparatives), AV-테스트(AV-TEST), 바이러스 불레틴(Virus Bulletin) 등 3개의 테스팅 업체는 치후는 지난 주에, 텐센트는 5월 4일에 테스트 랭킹을 박탈했다고 말했다. 지난 3월 AV-테스트 결과, 텐센트와 치후는 보호(protection), 엔진의 성능면에서 6개의 선두 안티악성코드 개발업체 가운데 자리잡았다. 그러나 3개 테스팅 업체가 언급한 바로는, 이 업체들은 대학 농구팀이 부적절한 행동으로 그들의 승리와 수상들을 박탈당할 수 있는 것처럼 더 이상 공식적인 목록에 등재되지 않을 것이다. 이것이 중차대한 이유는 이런 행위가 단순히 속이는 것에 그치지 않고 사용자들을 잠재적으로 위험에 빠트리는 행위이기 때문이다. 만약 안티바이러스 테스트를 믿고 제품을 선택한 사용자에게 실제로 보호 기능을 제공하지 않을 수 있다. 그래서 테스트 업체들은 그들이 제품 순위를 평가하는 것에 대한 자체 신뢰성을 엄격히 보호하고 있다. 치후의 부적절한 행동에 비판 현재 세계에서 가장 이름나 있는 보안 테스팅 업체들인 AV-컴페러티브, AV-테스트, 바이러스 불레틴은 보안 개발업체들의 제품을 제출받은 뒤 상대적인 비교 평가를 하며 자체 사용자와 고객들에게 이를 증명한다. 이 3개 업체는 공동 성명에서 치후를 견책하겠다고 밝혔다. 이 3개 업체는 치후 360의 부적절한 행동(inappropriate behavior)에 대해 비판했다. 공동 성명에서 "치후가 제출한 모든 제품들이 테스팅을 위한 것이었다. 이 제품에서 가용하는 4개의 안티악성코드 엔진 가운데 비트디펜더에 의해 제공된 엔진 하나만 테스트에 사용됐다"며, "반면, 기본적으로 들어가는 치후 자체 엔진인 QVM 엔진은 사용되지...

안티바이러스 텐센트 치후 2015.05.07

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.