뉴렐릭이 애플리케이션 보안 테스팅을 위한 익스플로잇 공격 검증(Proof-of-Exploit) 리포팅 기능을 포함해 뉴렐릭 인터랙티브 애플리케이션 보안 테스트(IAST: New Relic Interactive Application Security Testing)의 신규 기능을 출시했다.

IAST의 새로운 기능은 문제가 되는 부분을 복제하여 새로운 코드를 작성 전 미리 위협 요인이 되는 특정 벡터를 교정함으로써 공격에 취약한 부분을 미리 파악할 수 있으며 국제 웹보안 비영리단체 OWASP의 벤치마크 결과 정확도 100%를 검증받았다.

이전의 코드 스캐너는 종종 너무 많은 보안 알람을 띄웠으며 이로 인해 일반적으로 엔지니어들은 공격받을 일이 없거나 비즈니스에 크게 위협이 되지 않는 취약점들까지 확인하고 수정하느라 업무 시간의 60%까지 소비하면서 정작 공격 대상이 되는 취약점은 수정이 되지 않는 경우도 있었다. 결국 이는 업무를 과중시켜 엔지니어들이 더욱 높은 수준의 애플리케이션을 개발하고 생산하는데 걸림돌이 되기도 한다.

익스플로잇 공격 검증 리포팅 기능은 애플리케이션들을 안전함(safe), 공격 가능(exploitable), 확인되지 않음(untested) 등으로 분류함으로써 엔지니어들이 취약점을 빠르게 확인할 수 있어 충분한 정보를 바탕으로 어떤 애플리케이션을 바로 제작 및 배포해도 되는지 또는 재검토를 해야하는지 결정할 수 있다.

마나브 쿠라나(Manav Khurana) 뉴렐릭 최고제품책임자는 “보안은 개발에 있어 추후에 생각하는 것이 아니라 가장 기본으로 유념해야 할 요소다. 뉴렐릭 IAST는 엔지니어링 및 IT 부서가 애플리케이션 성능 모니터 플랫폼에서 바로 실제 애플리케이션 보안 위험을 파악할 수 있게 해 개발자와 보안 부서가 협력해 선제적인 보안 태세를 유지함으로써 데브섹옵스(DevSecOps)를 더욱 강화시키게 된다”고 말했다.

뉴렐릭 IAST의 추가 업데이트 내용은 다음과 같다

• 익스플로잇 공격 검증(Proof-of-Exploit) 리포팅: 다이내믹한 평가 역량으로 공격에 취약한 부분을 발견, 수정 및 검증. 실제 공격 상황을 시뮬레이션 하여 API Call, Method Call, 또는 취약점 트레이스를 짚어 낸다.

• 보안 설계(Secure by design): 새로운 위험 노출 및 평가 기능은 모든 코드가 변경될 때마다 잠재적 위험 또는 실제 확인된 위험인지 알려 가시성을 제공한다. 이를 통해 개발자는 신속하게 복제, 교정, 및 검증할 수 있다.

• 즉각적인 투자 수익: 뉴렐릭 IAST는 전적으로 사용량 기반 과금 모델로 이용할 수 있는 애플리케이션 보안 솔루션이며 이에 이용자들은 설치에 몇 달이나 소요되는 보안 소프트웨어를 추가로 이용할 필요가 없다.

• 인스턴트 임팩트 분석(Instant Impact Analysis): 취약성 관리(New Relic Vulnerability Management) 프로그램과 통합된 APM 텔레메트리를 이용하여 리스크를 확인하고 해당 리스크의 잠재적인 심각도와 취약성에 의해 영향받게 되는 애플리케이션의 수를 파악 가능하다.

석주원 기자 다른기사 보기