지난 8월 하순, 윈텔의
한 축인 인텔이 미국의 보안 기업 맥아피를 약 77억달러를 들여 인수한 뉴스가 화제가 되고 있습니다. 이에 대해 다양한 의견이 분분하지만, 대체로 하드웨어 쪽에서부터
보안을 강화하기 위한 포석으로 짐작하고 있어, CPU에 백신이 포함될 것이라는 말도 나오기도 합니다.
그런데, 이 번에는 마이크로소프트가 보안 기업인 시만텍(Symantec)에 구애의 손짓을 하고 있다는 루머가 나돌고 있습니다. 이
중에서 Jefferies & Company에 근무하는
Katherine Egbert 분석가는 시만텍의 주식을 취득할 가능성이 높다고 언급했습니다.
덕분에 이번주 수요일, 시만텍의 주가는 4.37% 올라서 기존 $14.58 에서 $0.61 오른 상태로 장을 마감했습니다. 목요일에는 0.45%($0.06)이 올랐으며, 증권가에서는 시만텍의 주식 매입이
계속 이뤄지고 있지만, 그리 오래 진행되지 않을 것으로 내다보고 있습니다.
하지만, 실제로 마이크로소프트가 시만텍을 인수하기에는 무척이나 금액적으로
부담이 될 것을 보입니다. 인텔이 맥아피를 인수할 때에는 약 66억달러를
썼지만, 현재 시만텍의 시가 총액은 115억 5천만 달러나 되어 거의 2배 수준입니다.
물론 현재 마이크로소프트는 이러한 루머나 추측에 대해 아무런 공식적인 답변을 내놓고 있진 않습니다.
아마도 마이크로소프트 경영진 측에서도 보안에 대해 심각하게 고민하고 있다는 뜻이라고 보여집니다.
최근 발간된 OWASP Top 10 2010년도 판에서도 이러한 경향을 반영하고 있습니다. 이 문서에 따르면 웹사이트의 취약점 중 가장 수위를 달리고 있는 것이 바로 SQL 인젝션(Injection)과 XSS(크로스 사이트 스크립팅) 공격입니다.
<그림 1. OWASP 2007년도와 2010년도 버전의 취약점 비교>
SQL 인젝션 및 XSS 취약점은 웹 사이트의 취약점 가운데 가장 많은 영향력을 미치고 있으며 그 피해도 매우 막대합니다. 최근에 발간된 IBM X-Force 2009 보안 경향 및 위험 보고서에 따르면 아래 도표와 같이 취약점의 약 40-50% 정도를 SQL 인젝션과 XSS 취약점이 차지하고 있습니다.
이 두가지 취약점을 해결하기 위해 보안 업계에서는 다양한 노력을 수년째 지속하고 있습니다. 웹 관련 취약점을 막기 위해서는 다음과 같은 조치가 요구됩니다.
보안 프로그래밍(Secure Programming)
WAF(Web Application Firewall) 도입 및 운영
꾸준한 보안 점검(Q/A) 및 툴 이용
이 중에서도 WAF는 현재 운영하는 웹사이트에 웹 취약점이 있는 경우에 긴급하게 도입할 때에 유용하게 사용할 수 있는 솔루션이며, 국내외에 다양한 제품이 판매되고 있습니다.
하지만, 웹 취약점을 해결하기 위해서는 웹 소스 코드에 대한 초기 개발시에 보안에 입각한 프로그래밍이 진행되어야 합니다. 즉, 웹 소스를 고치지 않고서는 웹 취약점을 막을 수 없다는 것입니다.
일 예로 WAF를 설치하여 현재에 안전하게 웹사이트를 보호하고 있더라도, 새로운 웹 취약점이나 공격 방법이 나타났을 때에는 무용지물이 될 가능성이 높습니다. 따라서, 개발시의 웹 소스에 대한 보안 검토가 반드시 필요합니다.
웹 사이트는 정적으로 유지되는 것이 아니라 새롭게 페이지가 추가되고, 제거되는 성질을 지니고 있습니다. 따라서, 이벤트와 같이 웹 사이트 내에 새로운 페이지가 추가되는 경우에는 기존 웹사이트에 취약점이 없더라도 새롭게 추가될 가능성이 있습니다.
따라서, 웹 개발 프로젝트가 진행될 때에는 정기적으로 Q/A 및 보안 검수를 거치고, 문제점이 발견될 때에는 이 문제점에 대한 원인 및 해결책을 프로그래머 및 PM 등이 충분히 검토하고 이해해야만 문제점을 해결할 수 있으며, 장차 새로운 개발 과정이 진행되더라도 취약점이 있는 웹 소스를 개발하는 실수를 줄일 수 있습니다.
하지만, 웹 사이트가 방대한 경우에는 웹 사이트의 보안 검토에는 많은 인력과 시간, 그리고 경비가 필요합니다. 또한, 웹 취약점을 점검하여 찾아 내는 수많은 웹 스캐너들이 판매 및 무료로 제공되고 있지만, 사이트가 커질수록 이 툴을 이용하여 보안을 검토하기에는 시간적, 툴의 한계 등으로 인해 현실적으로 사용하기 어렵습니다.
이러한 현실적인 문제점을 가지고 있는 사이트를 소개하고자 합니다.
모두가 다 알고 있는 사이트, 바로 마이크로소프트(Microsoft) 웹사이트입니다. 아마도 MS는 수많은 웹사이트, 국가별 웹사이트를 가지고 있으며, 이들 사이트를 관리하는데에는 엄청난 인력과 비용이 들 거라는 것은 명약관화합니다.
이렇게 큰 규모로 운영되는 웹사이트에서는 보안에 입각한 프로그래밍이 초기부터 진행되지 않는다면 아래의 화면과 같이 치명적인 취약점을 노출시킬 수 밖에 없습니다.
이 취약점은 웹 사이트 내에 포함되어 있는 데이터베이스에 바로 접속하는 아주 크리티컬한 부분은 아니지만, 그러한 공격 경로 및 기타 다른 방법으로 웹사이트를 공격할 수 있는 엔트리 포인트나 경로로 이용될 수 있다는 점을 명심해야 합니다.
마이크로소프트는 저가형 데스크탑 애플리케이션 시장에서 구독 기반의 제품을 준비 중이라고 밝혔다. 이 제품은 암호명 알바니(Albany)로 알려져 있으며 현재 비밀리에 수천명의 베타 테스트가 이 제품의 초기 버전을 테스트하고 있다.
소식통에 따르면 마이크로소프트는 구글 Apps, 무료 또는 저가로 공급하는 온라인 애플리케이션에 대응하기 위한 수단으로 이 제품을 개발하고 있으며 이미 3월 말 경에 베타 테스트에 돌입했으며 이 테스트에 참가한 사용자들은 테스트 중에 알게 되는 정보를 누출하지 않겠다는 약속을 요구했다고 한다.
마이크로소프트 제품 관리자인 브라이손 고든은 "회사에서는 내부적으로 이 소프트웨어를 "가치 있는 상품(value box)"라고 부르고 있다"고 주장하였으며 이 제품은 개인적인 업무 도구를 단순하게 제공하는 것 이외에도 온라인으로 무료 애플리케이션을 포함하고 있다고 밝혔다. 하지만 알바니에서는 가정에서 사용자들이 컴퓨터에서 "필수적으로" 사용하는 제품을 준비할 것이라고 말했다. 이 제품에는 다른 사용자들과 연결하고 데이터를 공유하는 기능 뿐만 아니라 보안 기능까지도 포함될 것이라고 한다.
마이크로소프트 오피스 제품에서 가장 많이 사용하고 있는 워드, 엑셀, 파워포인트 제품은 오피스 홈과 학생판 2007에 포함되어 있다. 알바니에서는 오피스 내에서 작성한 문서를 온라인으로 보관하거나 공유할 수 있도록 오피스 라이브 워크스페이스 플러그인을 제공할 것이다. 보안 기능으로는 가장 기본적인 긴은 백신으로 윈도우 라이브 원케어가 포함되며, 개인용 방화벽도 온라인으로 제공될 예정이다. 알바니에는 라이브 메일, 메신저, 포토 갤러리 등 이미 무료로 제공 중인 서비스를 포함하고 있다.
마이크로소프트의 기존 제품은 패키지 형태로 가격 체제가 유지되었지만 알바니에서는 년이나 월 단위로 금액을 지불하는 형태를 준비 중이며, BestBuy와 같이 유명한 온라인 쇼핑몰을 통해 이 제품을 구입할 수 있을 것이다.
고든은 이 제품을 공개적인 베타 테스트를 진행할 계획은 없으며 올해 말쯤에 출시할 계획이라고 한다.
