‘HP 스위프스캔’ 무상 배포
전 세계 PC 98% 이상에 Adobe Flash Player가 설치되어 있고, 30~ 40%의 사이트가 플래시 파일을 운용하는 터라 플래시 기술에 기반한 웹 애플리케이션들이 보안상 안전하게 개발되어야 하는 중요성이 절실히 대두되고 있다. HP의 해킹 보안 연구소인 HP Web Security Research Group은 플래시 기술을 악용하여 부정한 접근이 가능한 해킹 기술을 발견하고, 이에 대비하여 플래시 애플리케이션의 보안 취약점을 사전에 파악해 주는 점검 툴인 HP 스위프스캔을 개발하고 공익적인 활용을 위해 무상 배포를 실시하는 것이라고 밝혔다.
스위프스캔은 플래시 개발자로 하여금 보안에 관한 전문 지식 없이도 보다 안전한 코드로 개발할 수 있도록 해준다. 이 툴은 플래시 애플리케이션을 디컴파일하고 액션 스크립트 코드의 추출 및 그 소스 코드의 동작을 분석함으로써, 대표적인 200여 개의 보안 취약점을 스캔하고 점검하며 보고서를 작성해 준다. 스위프스캔은 정적 분석을 수행하는 최초의 툴로써, 일부 알려진 플래시 보안 점검 기술인 동적 방식으로는 찾아낼 수 없는 'Information Disclosure' 취약점 등에 대응할 수 있도록 해준다.
플래시 개발자는 HP 스위프스캔을 통해 다음과 같은 작업들을 수행할 수 있다.
• 악의적인 해커들이 목표로 삼는 잘 알려진 보안 취약점들을 스캔한다. 여기에는 무방비 상태로 데이터베이스를 노출시키는 Information Disclosure, Cross-site Scripting, 지마Cross-domain privilege escalation 등 대표적인 취약점 200여 가지가 포함된다.
• 소스 코드에서 취약점을 강조하고 보안 이슈 해결 방법에 대한 확실한 지침을 받아 문제를 신속하게 수정한다.
• 보안 베스트 프랙티스 및 가이드라인의 준수 여부를 확인한다.
HP는 플래시 플랫폼 기반으로 개발된 4,000여 개의 웹 애플리케이션을 분석한 결과, 35%가 Adobe 보안 베스트 프랙티스에 위배된다는 사실을 발견했다. 이런 점을 노린 해커는 보안 조치 기능을 우회하여 아무런 방해도 받지 않고 중요한 정보에 액세스할 수 있게 된다. HP 스위프스캔은 개발자가 이런 점들이 실제 문제로 발전하기 전에 미리 발견하여 해결하기를 권장한다.
한국HP 소프트웨어 솔루션 사업부 총괄 이상렬 상무는 "Web 2.0 기술로 애플리케이션을 현대화하는 기업들은 악의적인 해커 공격을 예방하고 보안 특성에 따른 소프트웨어 결함을 없애는 데 만전을 기해야 한다"며, "HP는 앞으로도 지속적인 보안 연구를 통해 얻어진 결과를 솔루션으로 구현함으로써, 웹 애플리케이션의 안정적인 운영을 위해 최선을 다할 것"이라고 말했다.
HP 스위프스캔은 웹사이트 www.hp.com/go/swfscan에서 무료로 다운로드할 수 있다. 한편, HP는 이번 스위프스캔 무상 배포 이전에도 대표적인 웹 해킹 기술인 'SQL Injection'의 보안 취약성을 점점해주는 '스크라울러(Scrawlr)' 툴을 마이크로소프트의 요청으로 무상 배포한 바 있다.
* 스위프스캔을 개발한 HP의 해킹 보안 연구소인 HP Web Security Research Group은 보안 분야에서 저명한 많은 전문가들을 보유하고 있으며, 웹과 관련된 보안 위협을 추적하고 IT 전문가가 애플리케이션 보안 취약점을 제거할 수 있게 지원하는 신기술을 개발한다. 이 그룹의 연구 결과는 애플리케이션 보안 품질 관리 솔루션인 HP Application Security Center 제품군에 반영 및 구체화된다.
HP Application Security Center에는 통합 보안 품질 관리 플랫폼인 HP Assessment Management Platform과 애플리케이션 개발자를 위한 코드 보안 점검 툴인 HP DevInspect, 품질 관리 조직을 위한 HP QAInspect, 보안 전문가 및 IT 관리자를 위한 HP WebInspect 소프트웨어가 제공된다.
김정은 기자
jekim@itdaily.kr