국내 최고의 보안행사로 자리매김한 AppSec 2013 New Start 컨퍼런스가 지난 5일 성황리에 개최됐다.
“차세대 애플리케이션 보안 핵신책 찾기”란 주제로 진행된 이번 행사엔 1,000명이 등록해 700명이 행사장을 찾았다.

첫 번째 강연자로 나선 엔시큐어의 손장군 부장은 모바일 애플리케이션의 위협과 대응방안을 주제로 강연했다.

손 부장은 모바일 앱의 무결성 이슈와 모바일 앱 공격 방법, 그리고 해결 방안에 대해 설명했다. 이어 모바일 공격 요소로서 애플리케이션 복호화, 오브젝티브 C 기반 코드 구조 노출, 자바 및 닷넷 메타데이터 기반 역컴파일, 프로그램 내부함수 해킹, 정적키 추출 등 다수가 있다고 밝혔다.

지란지교소프트의 강정구 팀장은 모바일 앱 보안을 위한 MDM 적용 방안 및 사례를 설명했다. 강 팀장은 모“바일오피스가 활성화되면서 모바일보안에 대한 수요가 급증하고 있으며 가장 화두는 MDM이라고 할 수 있다”며 그러나 “아직 시장이 성장하는 중이고 도입사례가 많지 않아 활용방법과 효과에 대해 널리 알려져 있지 않은 상태”라고 밝혔다.

강 팀장은 또 국내 모바일보안 이슈 모바일 업무용 앱 보안에 대한 운영 사례연구를 공개해 MDM에 대한 오해와 국내에 적합한 모바일 앱보안 적용방안을 제시해 청중들의 큰 관심을 끌었다.

이븐스타의 김준호 이사는 시큐어코딩의 중요성과 실행 방안에 집중 소개했다. 김 이사는 해킹 공격의 75%가 애플리케이션에 대한 공격으로 중요 정보를 암호화하고, 보안 약점을 제거하고, 구조적 약점 보안이 중요하다고 밝혔다.

특히 시큐어코딩이 보고된 최약점중 70%가 이를 개발 단계에서 조치하면 30배 가량 비용 절감효과가 있다"고 밝혔다. 이어 "이븐스타의 빅룩와스를 도입하면, 많은 애플리케이션에 대한 취약점 검검을 수행하고, 각종 보안사고에 대응할 수 있는 대응체제를 구축할 수 있으며, 제안된 관리 리소스로 운영가능한 프로세스를 확립할 수 있다"고 설명했다.

한국인터넷진흥원의 강필용 팀장은 소프트웨어 개발보안 제도 및 정책 방향을 소개해 주목을 받았다. 강 팀장은 “개발보안에 대한 정착기반을 조성하기 위해 진흥원에서 가이드 보급, 교육과정 운영, 기술지원, 개발보안 연구센터 지원 등을 진행하고 있다”고 밝혔다.

개발보안 적용 확대에 대해선, “정보시스템 개발단계부터 보안성 고려, 소프트웨어 진단 및 취약성 제거 등을 강화할 계획”이라고 말했다. 또한 진흥원은 운영 단계 소프트웨어에 개발 보안 적용 시범 검증 추진을 올해 진행할 계획이다.

이웨이파트너즈 권보성 차장은 보안전문가 도움 없이 개발단계부터 적용하는 시큐어코딩에 대해 소개했다. 권 차장은 “시큐리티 취약성을 회피하기 어려운 이유로, 시큐리티 결함 테스트를 최종단계서 하기 때문이며, 출하지연, 위약섬 미검출 등의 위험이 증가한다”고 밝혔다.

이런 점을 개선하기 위해 개발 단계서 코드 변경에 따른 품질 확인에 더불어 보안성 점검을 진행하는 것이 중요하다고 강조했다. 이를 위해 권 차장은 “코베리티 시뮤리티 어드바이저는 웹 애플리케이션 내의 오염데이터를 엔트리포인트와 경로 및 도달점까지 추적하고, 코드내 취약점을 검출하고 수정 방법을 제시한다”고 밝혔다.

트리티니소프트의 김선형 차장은 시큐어코딩 법제화에 다른 대응방안을 소상히 소개했다. 그는 “시스템 개발 라이프 사이클의 보안 통제가 적적히 이뤄지지 않기 때문에 시큐어 코딩 점검 도구를 도입할 필요성이 있다”고 밝혔다.

김 차장은 또 “툴을 도입하기 위해선 툴에 대한 BMT를 통해 제품의 장단점을 확인하고, 차별화된 기능을 면밀히 비교 분석해야 한다”고 밝혔다. 이어 “트리니티소프트의 코드레이를 도입하면 기업은 애플리케이션 보안에 대한 효과적인 운영 노하우를 확보해, 시큐어코딩 법제화에 따른 웹 어플리케이션 보안을 한층 강화할 수 있다”고 밝혔다.