한국HP가 플래시 애플리케이션의 취약점을 분석해주는 무료 보안 점검 툴인 ‘HP 스위프스캔(HP SWFScan)’을 무상으로 배포한다.
기업들은 누리꾼들에게 사용자 경험을 풍부하게 제공하기 위해 어도비(Adobe)의 플래시 플랫폼(Flash Platform)을 적극 활용하고 있다. 인터넷으로 연결된 전세계 PC 98% 이상에 어도비 플래시 플레이어(Adobe Flash Player)가 설치돼 있고 30~40%의 사이트가 플래시 파일을 운용하는 있다. 이로 인해 플래시 기술에 기반한 웹 애플리케이션들이 보안상 안전하게 개발돼야 하는 중요성이 절실히 대두되고 있다.
이런 추세를 반영해 HP의 해킹 보안 연구소인 ‘HP 웹 보안 리서치 그룹(HP Web Security Research Group)은 플래시 기술을 악용해 부정한 접근이 가능한 해킹 기술을 발견하고, 이에 대비해 플래시 애플리케이션의 보안 취약점을 사전에 파악해 주는 점검 툴인 HP 스위프스캔을 개발하고 공익적인 활용을 위해 무상 배포를 실시한다.
한국HP 소프트웨어 솔루션 사업부 총괄 이상렬 상무는 “웹 2.0(Web 2.0) 기술로 애플리케이션을 현대화하는 기업들은 악의적인 해커 공격을 예방하고 보안 특성에 따른 소프트웨어 결함을 없애는 데 만전을 기해야 한다”면서, “HP는 앞으로도 지속적인 보안 연구를 통해 얻어진 결과를 그대로 솔루션으로 구현함으로써, 웹 애플리케이션의 안정적인 운영을 위해 최선을 다할 것”이라고 말했다.
스위프스캔은 플래시 개발자로 하여금 보안에 관한 전문 지식 없이도 보다 안전한 코드로 개발할 수 있도록 해준다. 이 툴은 플래시 애플리케이션을 디컴파일하고 액션 스크립트 코드의 추출과 그 소스 코드의 동작을 분석함으로써, 대표적인 200여 개의 보안 취약점을 스캔하고 점검하며 보고서를 작성해 준다. 스위프스캔은 정적 분석을 수행하는 최초의 툴로써, 일부 알려진 플래시 보안 점검 기술인 동적 방식으로는 찾아낼 수 없는 ’Information Disclosure’ 취약점 등에 대응할 수 있도록 해준다.
어도비의 보안 소프트웨어 엔지니어링팀 제품 보안과 개인 정보 담당 브래드 알킨(Brad Arkin) 이사는 “HP와 협력해 개발자들이 콘텐츠와 고객을 안전하게 보호할 수 있는 툴을 갖출 수 있도록 지원하고 있다”면서, “HP 스위프스캔 툴을 기반으로 한 양사 간의 공조는 플래시 개발자가 개발 프로세스 초기에 잠재된 보안 이슈를 찾아내는 데 도움을 주어, 웹 애플리케이션이 배포되기 전에 문제를 사전에 파악해 예방할 수 있도록 해준다”고 말했다.
보안 취약점의 파악과 수정, 그리고 예방
HP 스위프스캔이 예방할 수 있는 보안 취약점의 예를 들면, 기밀 정보를 해커들이 액세스할 수 있는 상태로 방치하는 것이다. 플래시 개발자들은 패스워드, 암호화 키, 데이터베이스 정보와 같은 액세스 정보를 애플리케이션에 직접 인코딩함으로써 의도하지 않은 취약점을 종종 발생시키곤 한다. 해커들이 이런 취약점을 어떻게 악용할 수 있는지에 대한 예를 유투브 또는 HP의 비디오사이트(hpvideos.feedroom.com) 내 “Billy Wins a Cheeseburger”에서 살펴볼 수 있다. 취약점을 악용해 치즈버거를 계속 받아내는 내용이 담겨 있다.
HP는 플래시 플랫폼 기반으로 개발된 4천여 개의 웹 애플리케이션을 분석한 결과, 35%가 Adobe 보안 베스트 프랙티스에 위배된다는 사실을 발견했다. 해커는 이런 점을 노려 보안 조치 기능을 우회하여 아무런 방해도 받지 않고 중요한 정보에 액세스할 수 있게 된다. HP 스위프스캔은 개발자가 이런 점들이 실제 문제로 발전하기 전에 미리 발견하여 해결하기를 권장한다.
스위프스캔을 개발한 HP의 해킹 보안 연구소인 은 보안 분야에서 저명한 많은 전문가들을 보유하고 있으며, 웹과 관련된 보안 위협을 추적하고 IT 전문가가 애플리케이션 보안 취약점을 제거할 수 있게 지원하는 신기술을 개발한다. 이 그룹의 연구 결과는 애플리케이션 보안 품질 관리 솔루션인 HP 애플리케이션 시큐리티 센터(HP Application Security Center) 제품군에 반영하고 구체화된다.
이 제품에는 통합 보안 품질 관리 플랫폼인 HP 자산관리플랫폼(HP Assessment Management Platform)과 애플리케이션 개발자를 위한 코드 보안 점검 툴인 HP DevInspect, 품질 관리 조직을 위한 HP QAInspect, 보안 전문가와 IT 관리자를 위한 HP WebInspect 소프트웨어가 제공된다.
HP 스위프스캔은 웹사이트 www.hp.com/go/swfscan에서 무료로 다운로드할 수 있다.
한편, HP는 이번 스위프스캔 무상 배포 이전에도 대표적인 웹 해킹 기술인 ‘SQL Injection’의 보안 취약성을 점점해주는 ‘스크라울러(Scrawlr)’ 툴을 마이크로소프트의 요청으로 무상 배포한 바 있다.
플래시 개발자는 HP 스위프스캔을 통해 다음과 같은 작업들을 수행할 수 있다.
- 악의적인 해커들이 목표로 삼는 잘 알려진 보안 취약점들을 스캔한다. 여기에는 무방비 상태로 데이터베이스를 노출시키는 Information Disclosure, 크로스 사이트 스크립팅(Cross-site Scripting), 지마 크로스 도메인 프리빌리지 이스캐일레이션(Cross-domain privilege escalation) 등 대표적인 취약점 200여 가지가 포함된다.
- 소스 코드에서 취약점을 강조하고 보안 이슈 해결 방법에 대한 확실한 지침을 받아 문제를 신속하게 수정한다.
- 보안 베스트 프랙티스와 가이드라인의 준수 여부를 확인한다.
