거의 모든 기업들이 수 백에서 수 천 개에 이르는 네트워크, 웹, 모바일, ERP, 클라이언트 서버 애플리케이션을 사용합니다. 하루가 멀다하고 새로운 애플리케이션들이 쏟아져 나오고 있는 요즘, 기업의 가장 큰 보안 과제는 애플리케이션 내의 취약점들이 어떻게 사업과 브랜드에 피해를 입히는지를 파악하는 것입니다.
그러나 대부분의 기업들은 늘어나는 애플리케이션을 제대로 보호하지 못하고 있는 실정입니다. Positive Research의 2013년 보고서* 에 따르면, 테스트 대상 시스템의 86%가 공격자의 리소스 장악을 허용할 수 있는 취약점에 노출되어 있는 것으로 파악됐습니다.
주요 리소스 장악에 요구되는 최소한의 권한
그렇다면 그렇게 많은 기업들이 애플리케이션 보안에 실패하는 이유는 무엇일까요?
더 이상 기존 방어벽과 침입 차단 시스템(IPS)으로는 애플리케이션 수준의 공격을 제대로 차단할 수가 없습니다. 게다가, 대부분의 기존 애플리케이션 보안 테스트 툴은 구축과 사용이 어렵습니다. 취약점이 사업에 영향을 미치는 방식에 관한 앞선 지식은 물론이고 실제로 문제가 되는 취약점들을 찾기 위한 엄청난 시간이 요구되기 때문입니다. 뿐만 아니라, 기존 웹 애플리케이션 방화벽(WAF)에는 제로데이 공격을 차단할 수 있는 기능이 결여되어 있고 기업은 WAF로부터 중요도가 떨어지는 경고를 하루에도 수 천 개씩 받고 있는 실정입니다.
취약점 심각도별 취약한 사이트의 비율
맞춤형 코드, 오픈 소스 코드 모두 코드의 가장 첫 라인부터 보안을 보장해 줄 수 있는 통합형 애플리케이션 보안 솔루션이 필요합니다.
스마트한 접근방식
Positive Technologies의 애플리케이션 보안 전문가들은 과거 10여 년 간 수 천 개의 독자적 네트워크, 웹, 모바일, ERP, ICS/SCADA 애플리케이션을 분석하고 연간 150 여 개의 제로데이 취약점을 발견해 오며 주요 은행, 글로벌 통신사, 대기업 등의 IT 네트워크를 보호해 왔습니다. Positive Technologies가 기업의 신속한 애플리케이션 보안 과제 해결을 돕는 방식은 다음과 같습니다.
- 화이트박스 및 블랙박스 모드로 OS, DB, 웹서버, 프레임워크, ERP에 대한 취약점 진단(VA) 및 보안 설정 진단(SCA) 실시
- 구축된 애플리케이션과 소스 코드에 대한 SAST, DAST, IAST 분석
- PT Application Firewall을 통한 웹, 모바일 애플리케이션 및 ERP 시스템 보호
- 클라이언트 서버, 웹, ERP, 모바일 애플리케이션, 내장형 시스템 등의 심층 검사
- 보안 소프트웨어 개발 수명 주기(SSDL) 컨설팅
Positive Technologies 의MaxPatrol™, PT Application Firewall™, PT Application Inspector™ 등은 다른 솔루션에서는 찾아볼 수 없는 기능들을 제공하며 오늘날의 애플리케이션 보안 과제들에 대한 포괄적이고 현대적인 해답이 되고 있습니다. 세 가지 솔루션의 결합을 통해 기업은 사기 방지, 민감한 데이터의 유출 등의 공격으로부터 애플리케이션을 보호하고, 네트워크와 서비스의 붕괴를 예방합니다.
전체 애플리케이션에 걸쳐 알려진 모든 취약점들을 탐지하고, 제로데이 공격을 사전에 차단하며, 기존 보안의 헛점에 대한 신속한 패치를 제공하고, 취약점이 사업을 공격하는 방법을 정확히 파악할 수 있습니다. 뿐만 아니라, 보안사고 대응과 복구 시간을 단축하며, 컴플라이언스 관련 비용을 크게 절감할 수 있습니다.
이것이 바로 애플리케이션 보안에 대한 스마트한 접근방식입니다.