[SoT 2018] 임베디드 소프트웨어 개발에서의 보안

[테크월드=양대규 기자] 5월 24일과 25일 삼성동 코엑스에서 ‘2018 Security of Things 세미나’(이하 SoT 세미나)가 개최됐다. 월드 IT 쇼(World IT Show) 주간에 맞춰 열린 세미나는 테크월드(Techworld)와 한국인터넷진흥협회(KISPA), 한국첨단안전산업협회(KOHSIA) 공동 주최로 진행됐다. 첫 날 세미나는 ‘Smart 시대, 보안의 진화’를 주제로 진행되며, 사물인터넷(IoT)를 넘어 사물보안(Securty of Things, SoT)을 준비해야 하는 현 시점에서 4차 산업혁명 시대의 보안이 나아가야 할 길을 제시했다. 

둘째 날의 세미나 주제는 ‘사물인터넷(IoT) 시대, 엔드 투 엔드(End-to-End) 보안의 혁신’이었다. 한국인터넷진흥원(KISA)을 비롯해 IBM, ST마이크로일렉트로닉스, 웨스턴디지털 등 기업의 보안 전문가들이 강사로 연단에 서, 최근 급증하고 있는 사이버 보안 위협과 더불어 다양해지는 IoT 기기와 스마트 솔루션의 개발, 생산, 관리 차원에서의 보안의 필요성에 대해 강연을 진행했다.

임베디드 소프트웨어 개발에서의 보안
김영곤 팀장, 인사이너리

산업이 발달되면서 물리적인 하드웨어 기술개발 속도와 함께 그를 뒷받침할 소프트웨어 개발에 대한 요구가 많아지고 있다. 소프트웨어 개발 요구가 많아지면서 기업들은 100% 순수한 자기기술 개발보다는 오픈소스 활용에 집중한다. 이미 핀테크, 블록체인 등 많은 산업 영역에서는 오픈소스가 빈번하게 사용된다.

기업들은 ▲마켓까지의 시간 절감 ▲비용 절감  ▲효율적 개발 생산성 향상 ▲향상된 품질 등의 이유로 오픈 소스를 활용한다. 이런 이유로 2017년 96%의 애플리케이션이 오픈소스를 사용했으며, 소프트웨어이의 36%가 오픈소스 코드 사용했다.

오픈소스는 편리하지만, 그만큼 ‘보안취약점’에 대한 노출도 많다. 오픈소스를 사용한 67%의 애플리케이션에 취약점이 존재하며, 각 27개의 취약점이 발견됐으며, 치료시간은 평균 4년의 시간이 걸린다. 이런 취약점에 워너크라이(WannaCry)와 에레보스(Erebus) 등 랜섬웨어에 대한 기업 피해 사례와 IoT 기기들의 보안 취약점을 악용한 해킹사례가 증가했다. 연간 4000~8000개의 보안취약점이 발생하며, 이 중 약 3000개 이상이 오픈소스에서 새롭게 발생한다.

그 이유는 오픈소스가 매력적인 공격대상이기 때문이다. 이미 프로그램이 널리 알려져 있어 해킹을 하기 쉬운 환경이며, 보안취약점도 공개적으로 노출되는 환경을 가졌다. 또한, 보안취약점에 대한 패치와 업데이트도 알려져 있으며, 오픈소스의 유입 경로가 다양하다는 단점도 있다.

이런 보안취약점을 분석하는 툴로 정적분석툴(Static Analysis, SAST)과 동적분석툴(Dynamic Analysis, DAST)가 있다. SAST는 소스코드를 스캔하면서 사용한다. 대부분 조직은 개발자가 개발한 프로그램을 분석하는데 SAST을 사용하며, 오픈소스에는 사용하지 않는다. DAST는 동작중인 애플리케이션 테스트를 통해 분석한다. 악의적인 사용자를 시뮬레이션 하며, 취약점을 분석하는 툴이다.

이밖에도 SCA(Software Com) 툴이 있다. SCA는 애플리케이션 내에 존재하는 다양한 오픈소스 컴포넌트를 분석한다. 오픈소스 라이센스 위반 여우를 분석하며, 오픈 소스의 취약점도 분석한다. 이는 개발의 시작부터 끝까지 사용된다.