애플리케이션 보안은 애플리케이션의 수명 주기 전체에서 애플리케이션을 위협으로부터 보호하는 것을 목표로 프로세스, 도구, 규칙을 제어하는 것입니다. 사이버 범죄는 조직적이고 전문적이며 데이터, 지적 재산 및 민감한 정보를 훔치기 위해 기업 애플리케이션에서 취약점을 찾아 악용하는 데 중점을 둡니다. 애플리케이션 보안을 통해 조직은 고객, 비즈니스 파트너 및 직원을 포함한 내외부 이해관계자가 사용하는 모든 종류의 애플리케이션(예: 레거시, 데스크톱, 웹, 모바일, 마이크로 서비스)을 보호할 수 있습니다.
여러 연구에서 증명되었듯이, 위협 성공 사례 중 대다수가 애플리케이션 계층에 존재하는 취약점을 악용 가능한 표적으로 삼고 있으며 이는 기업 IT 부서가 애플리케이션 보안에 대해 보다 강화된 경계 태세를 가져야 함을 의미합니다. 여기에 점점 증가하는 애플리케이션의 수와 복잡성이 더해져 문제를 더욱 심각하게 만듭니다. 10년 전 소프트웨어 보안 과제는 크게 위험하지 않고 범위 지정과 보호가 쉬운 데스크톱 애플리케이션과 정적 웹 사이트를 보호하는 것이었습니다. 이제 소프트웨어 공급망은 개발 아웃소싱과 수많은 레거시 애플리케이션, 그리고 타사의 오픈 소스 및 상용 소프트웨어 구성요소를 활용한 사내 개발이 결부되어 훨씬 더 복잡해졌습니다.
조직들은 직원들이 회사 내부에서 사용하는 애플리케이션부터 회사 밖의 고객이 휴대폰에서 사용하는 인기 앱들까지, 모든 애플리케이션에 적용할 수 있는 애플리케이션 보안 솔루션을 필요로 합니다. 이러한 솔루션은 전체 개발 단계에 적용되어야 하며 애플리케이션을 사용하기 시작한 후 테스트를 통해 잠재적인 문제를 모니터링해야 합니다. 애플리케이션 보안 솔루션은 웹 애플리케이션에서 악용될 수 있는 취약점을 테스트하고 코드를 분석할 수 있어야 하며 다양한 이해관계자들 간의 업무를 조율하고 협업을 지원함으로써 보안 및 개발 관리 프로세스 관리에 도움을 주어야 합니다. 또한 솔루션은 사용 및 구현이 쉬운 애플리케이션 보안 테스트도 제공해야 합니다.
Static Application Security Testing(SAST)은 애플리케이션의 소스 파일을 검사하고 근본 원인을 정확하게 식별하여 기본 보안 결함을 해결하는 데 도움이 됩니다.
Static Application Security Testing으로 개발자가 얻을 수 있는 이점:
Dynamic Application Security Testing(DAST)은 실행 중인 웹 애플리케이션 또는 서비스를 대상으로 제어된 공격을 시뮬레이션하여 실행 중인 환경에서 악용 가능한 취약성을 식별합니다.
Dynamic Application Security Testing의 이점:
애플리케이션 보안 솔루션은 사이버 보안 소프트웨어(도구)와 애플리케이션을 보호하기 위해 프로세스를 실행하는 규칙으로 구성됩니다.
애플리케이션 보안 테스트 솔루션은 사내(내부)에서 실행될 수 있으며 내부 팀에서 운영 및 유지 관리합니다. 이러한 접근법을 사용하기 위해 조직은 인프라와 인력을 제공하고 이들이 사용할 애플리케이션 보안 솔루션을 확보해야 합니다. 온프레미스 방식은 조직의 애플리케이션 데이터가 제3자와 공유되지 않고 사내에서 반출되지 않도록 보장합니다.
또 다른 애플리케이션 보안 솔루션은 애플리케이션 보안 공급자가 턴키 솔루션으로 제공하는 서비스를 고객이 소비하는 방식의 SaaS(또는 서비스형 애플리케이션 보안)입니다. 이러한 접근법은 온프레미스 방식의 전제 조건을 요구하지는 않지만, SaaS 공급업체에 부분적으로 또는 완전히 의존해야 하며 대부분의 경우 애플리케이션 데이터를 공급업체와 공유해야 합니다. SaaS는 애플리케이션 보안을 쉽게 시작할 수 있는 방법으로, 확장성과 속도를 제공합니다. 하이브리드 구현(서로 다른 프로젝트 및 규칙에서 온프레미스 접근법과 SaaS 접근법을 함께 사용하는 방식)은 유연성, 확장성, 비용 최적화를 통해 두 접근법의 장점을 하나로 모아 제공합니다.
오늘날의 비즈니스는 모두 소프트웨어와 연결되어 있습니다. 이에 따라 웹 및 모바일 애플리케이션의 수와 애플리케이션 릴리스 빈도가 크게 증가했습니다. 오늘날의 비즈니스 수요에 뒤처지지 않기 위해 많은 조직들이 보다 가벼운 보안 스캔을 수행하는데, 이러한 스캔은 정확도가 떨어져 중요한 취약성을 감지하지 못할 수 있습니다. 보안의 민첩성은 철저하고 정확한 검색과 문제 해결 프로세스를 마비시킬 수 있는 오탐지율 간에 균형이 이루어질 때 얻어집니다.
OWASP(Open Web Application Security Project)는 소프트웨어의 보안 향상을 목표로 하는 오픈 소스 애플리케이션 보안 커뮤니티입니다. 업계 표준 OWASP 상위 10대 지침이 개발자가 설계 및 배포하는 애플리케이션의 보안을 강화하는 데 도움을 주기 위해 가장 치명적인 애플리케이션 보안 위험 목록을 제공합니다. 각 상위 10에 대한 개요와 유용한 팁은 OWASP 상위 10대 개발자 가이드에서 찾을 수 있습니다.
Micro Focus 애플리케이션 보안 솔루션은 기업이 레거시, 모바일, 제3자 및 오픈 소스 애플리케이션 등의 소프트웨어 애플리케이션을 보호하는 데 도움이 되는 온프레미스 또는 서비스형 방식의 애플리케이션 보안 테스트와 관리를 제공합니다.
Micro Focus Fortify 제품에는 정적, 동적 및 인터랙티브 Application Security Testing, 런타임 애플리케이션 자가 보안과 함께 비즈니스 운영 애플리케이션을 안전하게 보호하는 프로세스인 Software Security Assurance 프로그램 지원 서비스가 포함되어 있습니다.
솔루션 구성 요소는 다음과 같습니다.
Fortify Static Code Analyzer - Static Application Security Testing(SAST) - 소프트웨어 개발 수명 주기 초기에 소스 코드에서 보안 취약점을 식별하고 감지합니다.
Fortify WebInspect - 동적 애플리케이션 보안 테스트(DAST) – 실행중인 애플리케이션에 대한 실제 보안 공격을 시뮬레이션하여 복잡한 웹 애플리케이션과 서비스에 대한 포괄적인 분석을 제공합니다.
인터랙티브 Application Security Testing(IAST) – 동적 테스트와 런타임 분석을 통합하여 공격 표면 범위를 확대시키고 악용 사례를 노출시킴으로써 동적 테스트만 사용하는 경우보다 많은 취약점을 식별할 수 있습니다.
Fortify Application Defender - 런타임 애플리케이션 자가 보안(RASP) – 알려진 취약점과 알려지지 않은 취약점이 있는 생산 환경에서 애플리케이션을 적극적으로 모니터링하고 보호합니다.
Fortify on Demand - SaaS(Security as a Service) - 소프트웨어를 설치 또는 관리하거나 리소스를 더 추가하지 않고 애플리케이션을 정확하게 테스트할 수 있는 빠르고 쉽고 간편한 방법.
모바일 보안 – 클라이언트, 네트워크, 서버를 포함한 3가지 계층을 모두 테스트하는 모바일 테스트 방법론입니다.
소프트웨어 보안 보증 – 중앙 집중식 관리 저장소가 보안 취약성 해결에 도움을 주는 가시성을 제공합니다.
Fortify Software Security Center - 중앙 집중식 관리 저장소가 전체 application security testing 프로그램에 대한 가시성을 제공합니다. 보안 테스트 활동의 우선 순위를 지정하고 관리 및 추적하며 엔터프라이즈 전체에서 소프트웨어 보안 위험을 정확하게 파악할 수 있게 해줍니다.
백서 - 애플리케이션 보안을 위한 2019 TechBeacon 구매자 가이드
백서 - 원활한 애플리케이션 보안: DevOps 속도의 보안
비디오 – 하루 만에 애플리케이션 보안 시작하기
웨비나 - 보다 빠른 조치: 개발자를 보안에 참여시키기 위한 3단계
백서 – 애플리케이션 보안 위험 보고서
웨비나 - 소프트웨어 수명 주기에 보안 적용하기: 자동화 및 통합
백서 – 기업의 애플리케이션 보안 상태
OWASP 상위 10대 가장 중요한 웹 애플리케이션 보안 리스크