블로그

앱 보안이 아닌 세 가지

로리 맥비티 썸네일
로리 맥비티
2017년 6월 20일 게시

앱 보안은 많은 것을 의미하지만, 특히 끝없는 수요를 충족하기 위해 개발되고 배포되는 애플리케이션의 양과 빈도가 계속 증가함에 따라, 가끔은 잠시 멈추어 앱 보안이 아닌 것이 무엇인지 생각해봐야 할 때가 있습니다.

1. 높은 우선순위는 아니지만 그래야 합니다.

Arxan과 IBM이 후원하여 IoT와 모바일 애플리케이션의 보안을 주제로 실시한 설문조사에 참여한 응답자의 무려 44%가 공격을 방지하기 위해 아무런 조치도 취하지 않는다고 인정했습니다. 해당 응답을 애플리케이션 포트폴리오의 일부에 관련된 것으로 간주하지 않으려면 웹 보안 통계에 대한 WhiteHat Security의 획기적인 연례 보고서를 살펴보겠습니다. 이 보고서는 "보험 애플리케이션의 약 3분의 1, 은행 및 금융 서비스 애플리케이션의 약 40%, 의료 및 소매 애플리케이션의 약 절반, 제조, 식품 및 음료, IT 애플리케이션의 절반 이상이 항상 취약하다"고 밝혔습니다.

WhiteHat 보안 용어로 "항상 취약하다"는 말은 "일 년 내내 매일 취약하다"는 뜻으로 정의됩니다. 

게다가 같은 보고서는 "업계별로 평균 수정 시간이 약 100일에서 245일까지 다르다"고 밝혔습니다. 소매 및 의료 분야의 경우 약 200일 정도 걸립니다. 기술과 IT는 취약점을 수정하는 데 걸리는 평균 시간이 250일로 더욱 뒤처져 있습니다.

후자를 받아들이기 어렵게 만드는 것은 보안에 대한 첫 번째 방임주의적 접근 방식입니다. 앱 보안이 우선 순위 목록에서 높지 않은 경우 상당수의 애플리케이션(또는 애플리케이션에 데이터를 제공하는 API)이 취약할 가능성이 큽니다.

2. 앱에 관한 것만은 아닙니다

앱 보안은 애플리케이션에만 국한된다는 잘못된 인식이 있습니다. 앱이 독립된 개체라면 아마도 그럴 수도 있겠습니다. 하지만 앱은 플랫폼에 배포되고, 타사 스크립트와 API에 의존하며, 데이터 관리를 담당하는 시스템과 통합됩니다. 즉 앱 보안은 스택입니다. 앱 자체뿐만 아니라 모든 구성 요소에 신중하게 주의해야 합니다. OWASP 상위 10개 항목은 앱을 다루기 시작하기에 좋은 곳이지만, 지난 10년 동안 플랫폼의 프로토콜 수준(TCP, HTTP 및 TLS) 취약성이 큰 골칫거리였다는 점을 무시해서는 안 됩니다.

그리고 볼륨형 네트워크 공격과 더욱 교활한 시스템 및 앱 계층 공격 간의 관계도 무시하지 마세요. Dark Reading은 최근 기사에서 이러한 상관관계를 언급했습니다.

피해를 입은 조직의 절반 가까이가 DDoS 공격이 데이터 도난 및 랜섬웨어를 포함한 네트워크 침해나 악의적 활동과 함께 발생했다고 말했습니다. 예를 들어, 47%는 DDoS 공격 후 네트워크에서 바이러스 활동을 발견했다고 보고하고, 43%는 맬웨어가 활성화되었다고 보고하며, 32%는 고객 데이터가 도난당했다고 보고합니다.

다크 리딩, DDoS 공격 급증, 조직들은 대응에 어려움을 겪다

앱 보안을 위해서는 네트워크, 데이터, 앱을 확장하고 보호하는 서비스 등 전체 앱 아키텍처에 주의해야 합니다.

3. 다른 사람의 문제가 아닙니다 

soad-security-cloud-adoption-2017

2017년 애플리케이션 제공 현황 조사에 따르면, 5개 기업 중 1개가 애플리케이션의 50% 이상을 클라우드에 호스팅할 계획이므로, 앱 보안이 더욱 어려워지고 있습니다. 앱을 "클라우드"로 배송하면 보안 부담의 일부, 특히 네트워크 및 시스템 수준 구성 요소에 대한 책임이 재분배될 수 있습니다. 하지만 앱과 해당 플랫폼, 앱이 의존하는 외부 스크립트와 리소스는 여전히 사용자의 책임입니다. 온프레미스와 동일한 수준의 보안을 클라우드에서 보장하는 일은 어려울 수 있습니다. 특히 정책 수준에서 온프레미스와 호환되지 않는 기본 클라우드 서비스를 섞어서 사용하는 경우 더욱 그렇습니다.

하지만 이는 온프레미스와 클라우드에서 해당 정책을 시행하는 서비스의 일관성을 보장하거나, 앱 보안 업무를 동시에 두 환경에서 일관성을 제공할 수 있는 서비스 기반 서비스로 전환하거나 , 클라우드 기반 서비스에 대한 동등한 정책을 신중하게 작성해야 하는 과제입니다.

어떤 길을 선택하든 그에 따른 책임은 당신에게 있습니다.

침해로 인해 브랜드 평판, 소비자 신뢰, 향후 악용 가능성(도난당한 자격 증명의 경우) 측면에서 침해의 영향이 미치므로 앱 보안은 그 어느 때보다 중요해졌습니다. 마지막 순간까지 미루거나 다른 사람이 그 일을 처리할 것이라고 생각하는 것은 재앙을 불러올 요인입니다. 위험을 인식하고 클라우드와 클라우드 지원 서비스가 제공하는 아키텍처 옵션을 활용하면서 테스트 및 수정에 더 높은 우선순위를 두는 것은 위험을 크게 줄이는 데 도움이 될 것입니다.

앱 보안은 선택 사항이 아닙니다.