스패로우

스패로우(Sparrow)

스패로우(Sparrow)는 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다.

개요[편집]

스패로우는 보안 솔루션으로 다양한 분석 기술을 바탕으로 소스코드 상의 보안약점을 정확하고 빠르게 검출하는 정적 분석 도구이다. 제품의 종류로는 스패로우 SAST, SAQT, SQLCC, DAST, RASP, 서비스 테스터, 인터랙티브 허브가 있다. 이 제품들의 경우 홈페이지에 있는 제품 브로슈어를 통해 각 제품들의 지원 언어 및 점검 항목과 운영체제와의 특징 및 흐름을 알 수 있다.^[1]

특징[편집]

장점[편집]

정적 분석 솔루션을 비교하거나 선택할 때 가장 중요한 요소는 오탐률이다. 분석기의 성능을 비교하는 벤치마크에서 분석기가 알려주는 보안약점의 개수만으로는 분석기의 우수성을 판단할 수 없다. 스패로우는 국내 유일 모든 형태의 시맨틱 분석이 가능한 높은 레벨의 시큐어코딩 분석 도구로써 보안 취약점 외에 소스코드 표준, 실행오류까지 모두 검출한다. 프로그램의 실행 의미를 분석하는 시맨틱 분석 엔진과 정해진 패턴을 바탕으로 빠르고 정확하게 구문을 분석하는 시맨틱 엔진을 복합 적용해 뛰어난 검출력과 낮은 오탐율을 가지고 있다.^[2]

서비스[편집]

진단 서비스

소스코드 진단 서비스는 진단 전문가가 스패로우 SAST 및 스패로우 SAQT로 소스코드를 진단하는 서비스이다. 자체 개발 분석 도구의 활용은 시큐어토딩 분석 도구인 스패로우 SAST로 진단하고, 소스코드 품질 분석 도구로 스패로우 SAQT로 진단한다. 진단 결과 보완조치 및 검출 결과의 리뷰와 진단전문가의 소스코드 결과를 리뷰한다. 또한, 미팅을 통하여 소스코드 수정 가이드를 제공하는 서비스이다. 스패로우는 다수의 진단 전문가를 보유하고 있다. 소프트웨어 보안약점 진단원 자격을 보유하고 있는 진단 전문가로 구성되어 있으며, 다수의 진단 전문가들이 신속하고 정확한 진단 서비스를 제공하는 시스템이다. 이로 인해 소프트웨어에 존재하는 취약점과 상태 확인이 가능하고, 신규 개발 및 운영 중인 소프트웨어의 안전성을 강화할 수 있다. 또한, 빠르게 변화하는 보안과 품질은 요구사항에 대해 신속하게 반영할 수 있다. 소스코드 진단 서비스는 다섯 단계로 진행되며, 진단 도구를 설치하는 사전준비에는 점검 기준 및 분석에 대상을 협의하는 단계이다. 1차 진단을 진행하면 소스코드 1차 분석 후에 분석 결과를 진단하며, 1차 결과에 대한 리뷰 및 통계와 자료 및 수정 가이드를 제공한다. 다음으로는 취약점을 수정하는 1차 진단 보완조치를 수행하고, 소스코드 2차 분석 후에 분석 결과를 진단해주는 이행점검인 2차 진단 진행이 이루어진다. 2차 결과에 대한 리뷰 및 통계와 수정 가이드를 제공한다. 마지막으로, 2차 진단 보완조치 단계까지 마치면 진단 서비스가 모두 완료된다.

웹 취약점 진단 서비스는 진단 전문가가 스패로우 DAST로 웹 사이트를 진단하는 서비스이다. 자체 개발 분석 도구를 활용하여 웹 취약점 분석 도구인 스패로우 DAST로 진단한다. 맞춤형 서비스 제공으로는 진단 전문가의 웹 취약점 진단 결과에 대한 리뷰와 미팅을 통하여 웹 취약점 수정 가이드를 제공한다. 또한, 소스코드 진단 서비스와 같이 다수의 전문가를 보유하여 소프트웨어 보안약점 진단원 자격으로 전문가들을 구성했다. 다수의 진단 전문가들은 신속하고 정확한 진단 서비스를 제공하고 있다. 이 웹 취약점 진단 서비스는 웹 애플리케이션에 존재하는 취약점 상태를 확인할 수 있고, 신규 개발과 운영 중인 웹 애플리케이션의 안전성을 강화한다. 또한, 빠르게 변화하는 보안과 품질에 대한 요구 사안을 신속하게 반영하고 있다. 수행 방법은 소스코드 진단 서비스와 동일하게 진행된다.^[1]

매니지드 서비스

매니지드 서비스는 스패로우 애플리케이션의 보안 강화와 품질 향상을 위한 사용자 맞춤형 관리 서비스이다. 시큐어 코딩 분석 도구인 스패로우 SAST로 분석 서비스를 제공하고, 전문가가 검출된 보안 약점을 쉽게 파악할 수 있도록 분류하는 서비스이다. 또한, 분석 결과에 대한 수정 가이드도 제공하고 있다. 품질 분석 서비스에는 코드 품질 분석 도구인 스패로우 SAQT로 분석 서비스를 제공하며, 전문가가 직접 검출된 품질 결함을 쉽게 파악할 수 있게 분류하고 있다. 분석 결과에 대한 수정 가이드 역시 제공하고 있다. 웹 취약성 분석 서비스는 시큐어코딩 분석 서비스와 품질 분석 서비스와 동일하며, 웹 취약점 분석 도구인 스패로우 DAST를 사용하여 분석하는 서비스이다. 상호작용 플랫폼 서비스는 소프트웨어 개발과 테스트 및 운영단계에서 발생할 수 있는 보안 취약점을 통합 관리하는 스패로우 인터랙티브 허브를 적용하여 각 분석 도구 간의 상호작용 정보를 활용하는 서비스이다. 스패로우의 다른 서비스와 같이 매니지드 서비스 역시 검출된 취약점 분석 결과에 대한 수정 가이드를 제공한다. 매니지드 서비스는 사용자에게 필요한 서비스를 제공하여 고객 만족도 향상과 전문가의 지속적인 관리로 업무 효율성을 개선할 수 있다. 또한, 제품 도입이 어려운 사용자가 보다 저렴한 맞춤형 서비스를 이용할 수 있다. 매니지드 서비스의 수행단계는 진단 서비스와 달리 네 단계로 구성되어 있다. 먼저, 사전준비 단계에서는 서비스 점검 도구를 설치하여 적합한 서비스 기간과 서비스 유형 및 교육 형태에 대한 협의가 이루어진다. 분석 수행 단계에서는 소스코드 및 웹을 분석하는 단계이다. 분석 결과를 확인한 후에 결과에 대한 리뷰와 통계 자료를 제공하고, 전문가가 직접 작성한 수정 가이드를 참고하여 검출하여 취약점을 수정한다. 수정 후에 검출된 취약점을 확인하는 이행 점검 단계에서는 필요시에만 이행 점검을 수행한다. 이후, 매니지드 서비스가 전부 완료되는 단계에서는 결과에 대한 보고서를 제공하고, 교육과 트레이닝을 제공한다.^[1]

컨설팅 서비스

스패로우의 컨설팅 서비스는 시스템 진단 및 모의행킹부터 기반 시설 취약점 분석 및 평가가 이루어지며, 다양한 컨설팅을 제공하는 서비스이다. 정보보호 관리체계에 대한 수립은 정보보호 거버넌스 시반의 정보보안 프레임원크를 수립하며, 기업 전략에 부합하는 정보보호 관리체계 및 관리 운영을 지원한다. 마스터플랜 서비스는 전략적 정보보호 활동과 보안 수준 유지를 위해 중장기 정보보호 계획을 수립하고 있다. 기업의 정보보호 현황, 예산, 일정, 효과분석을 통하여 최적의 마스터플랜 서비스를 제공하고 있다. 컨설팅 서비스의 보안 실태 점검 서비스는 기업에 적용되는 법령 및 각종 규제에 대한 해석과 체크리스트를 적용했다. 기업의 규정에 따라 체크리스트 기반의 정보보호 이행 수준을 점검하고 있다. 컨설팅 서비스를 이용하면 정보보호 관리체계 구축과 기술 향상을 가지고 오며, 산업 부문별 법률 및 사내 정보보호 규정 요구사항에 대한 대응이 가능하다. 또한, 정보보호 수준 향상을 통한 대내외적 이미지도 제공하고 있다. 컨설팅 서비스의 착수단계에서는 킹오프 미팅을 진행한다. 환경 및 요구사항을 파악하고, 범위 정의와 인식에 대한 교육을 진행한다. 현황 분석 단계에서는 문서 및 현황과 갭(Gap)에 대한 분석을 진행한다. 기술적 취약점에 대한 점검과 컴플라이언스(Compliance)에 대한 분석이 이루어지는 단계이다. 위험 분석 단계에서는 자산 분석과 위협 및 취약점에 대한 분석을 진행한다. 위험에 대한 평가와 개선 방안을 수립하는 단계이다. 체계 설계 단계에서는 정보보호 관리체계(ISMS)에 대한 설계가 이루어지는 단계이다. 정책과 지침을 개정하여 이행 계획을 수립하며, 대책 명세서를 작성한다. 내부 보안 감사를 진행하는 모의 심사 과정인 이행 및 개선 단계에서는 마스터 플랜을 수립하는 단계이다. 정보보호 관리체계에 대한 교육과 프로세스를 최적화한다.^[1]

모의 해킹 서비스

모의 해킹 전문 컨설턴트가 취약점으로 인해 발생할 수 있는 보안 사고 및 해킹 위협을 예방하기 위한 대책을 제시하는 서비스이다. 전문적인 모의 해킹 방법으로는 자동화 도구 및 수동 진단을 통한 모의 해킹과 다양한 모의 해킹 컨설팅 방법론을 이용한다. 또한, 모의 해킹 시나리오를 기반으로 침투 테스트도 진행한다. 다양한 모의 해킹의 기준은 주요 정보통신기반시설 취약점 분석 및 평가 기준, 금융 분야 취약점 분석과 평가 기준, OWASP 10순위 기준, 국정원 8대 웹서버 취약점 기준 등이 있다. 모의 해킹 서비스의 체계적인 모의 해킹 방법론에는 내부 및 외부 모의 해킹 방법론과 모바일 진단 방법론이 있다. 또한, 모의 해킹 서비스를 이용하여 효과적인 보안 취약점을 점검하고 보안 대처 능력 향상과 대외적인 이미지를 제고할 수 있다. 모의 해킹 서비스는 대상 범위를 선정하여 사전 준비를 하고, 다양한 시나리오를 기반으로 모의 해킹 대상에 최적화된 실질적 모의 해킹을 수행하여 발견된 취약점에 대한 조치와 계획 및 보호 대책을 수립한다. 이후, 장애 발생 가능성을 최소화 및 대응책을 마련하여 결과 보고서를 제공한다.^[1]

교육 및 트레이닝 서비스

교육 및 트레이닝 서비스는 스페로우에서 시큐어코딩 원포인트 레슨과 스패로우 제품 기존 사용자 대상의 트레이닝 레슨을 정기적으로 제공하는 서비스이다. 시큐어코딩 원포인트 레슨은 보안사고 사례 기반 시큐어코딩 필요성의 이해를 돕고, 소프트웨어 개발 보안 방법론과 취약점 원인 분석 및 활용 법법에 대한 교육이 이루어진다. 또한, 취약점 원인 분석과 시큐어코딩 기법 및 스패로우의 정적 분석 도구를 통하여 소스코드를 진단하는 법을 교육한다. 교육 및 트레이닝 서비스에는 스패로우 SAST, SAQT, DAST 관리자와 개발자를 교육하는 제품 사용법 교육 서비스도 제공한다. 제품 사용법 교유 서비스는 3일에 걸쳐 진행하고 참가비를 받지 않으며, 시큐어코딩 원포인트 레슨은 33,000원의 참가비를 내야 한다.^[1]

스패로우 흐름도[편집]

종류[편집]

SAST[편집]

스패로우 SAST는 다양한 보안점검 항목으로 행정안전부 보안가이드, 전자금융감독규정, OWASP 등 국내 및 국제표준 컴플라이언스 및 표준 가이드 검출 보안과 관련된 8,00여개의 점검항목을 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 모델-뷰-컨트롤러 패턴(MVC) 구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.^[1]

SAQT[편집]

스패로우 SAQT는 다양한 품질 점검 항목으로 MISRA,방위사업청, BSSC등 국내·국제 표준 컴플라이언스 및 표준 가이드를 검출하고 품질, 코딩컨벤션 등의 1700여개 점검항목 지원한다. 웹 기반 중앙통합관리 시스템으로 통합 점검 결과 관리 및 통계, 대시보드 제공 중앙화된 룰 관리를 통해 일괄 또는 부서별 위험도, 옵션, 설명 관리를 한다. 또한 빠르고 정확한 분석이 가능하여 MVC구조 분석, 연관파일 분석, 여러 단계의 함수·파일 호출 관계 분석과 재 분석시 변경·추가 및 연관된 파일만 분석하여 분석 시간을 최소화 할 수 있다. 지능형 애플리케이션으로 취약점 원인부터 문제발생 지점까지 과정을 따라가는 이슈 네비게이터를 가지고 있으며 검출된 취약점에 대해 자동으로 안전하게 수정된 실제 소스코드를 제안하며, 위험도 별 취약점이 자동 분류된다.^[1]

SQLCC[편집]

스패로우 SQLCC는 애플리케이션에 존재하는 에스큐엘(SQL)의 정합성을 검증하는 솔루션으로 다양한 점검 항목을 가지고 있어 Null값 체크, 길이 체크, 포맷 오류 , 그룹 함수 오류, 누락된 표현식과 같은 DB 정보처리 오류 등을 검출할 수 있다. 효율적인 분석 결과 관리로 사용자의 편의성을 고려하여 구성된 직관적인 대시보드 및 통계와 분석 완료 및 이슈 제외 신청에 대한 실시간 알림을 받을 수 있다. 또한, 정확한 검증을 통해 에스큐엘 문에 사용된 테이블·속성, 데이터 정의 언어(DDL)에 정의된 테이블·속성이 동일한지 검사할 수 있다. 검출 취약점의 정확한 위치 제공으로 취약점의 검출 과정을 쉽게 이해할 수 있는 네비게이터를 보유하고 있다.^[1]

DAST[편집]

스패로우 DAST는 강력한 분석 능력과 높은 사용 편의성을 제공하는 웹 애플리케이션 취약점 동적 분석 솔루션으로 높은 사용 편의성을 가지고 있어 웹 기반 사용자 인터페이스로 개별 설치가 필요 없으며 웹 브라우저를 통해 누구나 손쉽게 접근 가능하며 분석결과 공유 및 중앙 관리를 한다. 최신 웹 애플리케이션 기술을 적용하여 HTML5, 에이잭스(Ajax) 등 최신 기술을 사용하는 웹 애플리케이션 분석이 가능하며, 브라우저에서 수행할 수 있는 다양한 이벤트를 재현하여 보안 취약점 검출이 가능하다. 또한, 강력한 분석 능력을 가지고 있어 브라우저 이벤트 재현 기술을 사용하여 웹 애플리케이션에 존재하는 보안취약점 검출한다. 상호작용 지원으로 자사의 분석도구와 상호작용을 통해 동적분석 한계 극복하고, 웹 애플리케이션의 내부 동작 과정을 상호작용하며 직접 분석하는 트루스캔 기능을 가지고 있다.^[1]

RASP[편집]

외부 입력 데이터로 인한 공격을 실시간으로 탐지하고 방어할 수 있는 웹 애플리 케이션 자가 방어 솔루션으로 실시간 보안 위협 자가 방어가 가능하다. 모든 외부 요청 파라미터 데이터 및 DB 질의 결과 데이터 추적과 모든 외부 데이터의 WAS 내부에서의 처리 과정 추적, 추적 도중 위협 가능성 발견 시 해당 요청에 대한 이슈 기록 및 요청을 차단할 수 있다. 또한 효율적인 관리로 보호 대상 웹 애플리케이션 자가 방어로 규칙 정의 및 세부 사항 손쉽게 변경 가능하고, RASP가 탐지한 모든 공격 시도 관련 정보 및 공격 동향 등 확인 가능하며, 다수의 웹 애플리케이션을 한 곳에서 통합 관리 가능하다. 취약점 방어 비용과 리소스 절감으로 운영 중인 프로그램을 새로 개발하지 않더라도 신속하고 유연하게 취약점 방어 가능하다. 레거시 시스템에 대한 신규 개발없이 취약점 방어가 가능하여 신규 개발 비용이 절감되고, 다수의 웹 애플리케이션 보안 이슈 통합 관리 가능하다.^[1]

스패로우 서비스 테스터[편집]

스패로우 서비스 테스터는 애플리케이션에 존재하는 서비스 기능 단위·통합·회귀 검증 솔루션으로 손쉬운 테스트 케이스 생성으로 랜덤 규칙 유형을 이용해 생성한다. 경계 값 또는 동치 클래스 분석으로 도출된 조합 값을 이용해 생성하고, 정적 분석 기술을 접목한 자동 생성이 가능하다. 반복적인 테스트 케이스 사용으로 DB 설정 값을 이용하여 테스트케이스를 반복적으로 사용한다. 매크로와 스크립트를 이용하여 실행 시점에 변경되는 값을 재사용한다. 또한, 획기적인 커버리지 향상으로 다양한 테스트 케이스 생성 방법 제공으로 용이한 구문 커버리지를 달성하고, 정적 분석 기술을 이용한 테스트 케이스 자동 생성으로 용이한 분기문 조건문 커버리지 달성이 가능하다. 실시간 테스트 모니터링을 통해 실시간 테스트 케이스 생성 및 현황 집계를 하고, 개인별·팀별 등 다양한 테스트 진척 현황을 공유할 수 있고, 모니터링 데이터에서 테스트 오류 유형을 분석하여 반복적인 실수 확인 가능하다.^[1]

스패로우 인터랙티브 허브[편집]

스패로우 인터랙티브 허브는 애플리케이션 라이프사이클 전반에 대한 보안 취약점 통합 관리와 상호작용이 가능한 웹 애플리케이션 통합 취약 분석 플랫폼으로 웹 애플리케이션의 개발·테스트·운영 시 발생한 보안 취약점 통합 관리가 가능하다. 각 취약점 점검 도구간의 정보를 활용하여 취약점 검출 능력이 향상되고, 취약점 점검 도구에서 상호작용 정보를 사용할 수 있는 API 제공이 가능하다. 각 도구의 취약점 점검 시 저장된 상호작용 정보를 활용하여 취약점 점검이 가능하다.^[1]

각주[편집]

↑ ^1.00 ^1.01 ^1.02 ^1.03 ^1.04 ^1.05 ^1.06 ^1.07 ^1.08 ^1.09 ^1.10 ^1.11 ^1.12 스패로우 공식 홈페이지 - https://www.sparrowfasoo.com/ko/
↑ 관리자, 〈(솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’〉, 《컴퓨터월드》, 2015-08-01

참고자료[편집]

㈜스패로우 홈페이지 - https://www.sparrowfasoo.com/ko/
관리자, 〈(솔루션리뷰) 빠르고 정확한 시큐어코딩 진단 도구 ‘스패로우’〉, 《컴퓨터월드》, 2015-08-01

같이 보기[편집]

소스코드

이 스패로우 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반