애플리케이션 보안이란?

 

애플리케이션 보안은 애플리케이션 내의 데이터 또는 코드가 도난당하거나 해킹당하는 것을 방지하기 위한 애플리케이션 수준의 보안 조치입니다. 이는 애플리케이션 개발 및 설계 도중 야기될 수 있는 보안상의 고려 사항뿐만 아니라, 애플리케이션이 배포된 후 이를 보호하기 위한 시스템 및 접근 방식도 포괄합니다.

 

애플리케이션 보안에는 보안 취약점을 파악하거나 최소화할 수 있는 하드웨어, 소프트웨어 및 절차가 포함될 수 있습니다. 누군가가 인터넷에서 컴퓨터의 IP 주소를 조회하지 못하도록 보호할 수 있는 라우터는 하드웨어 애플리케이션 보안의 한 형태입니다. 하지만 애플리케이션 수준에서의 보안 조치는 어떤 활동이 허용되고 금지되는지 엄격하게 정의하는 애플리케이션 방화벽과 같이 일반적으로 소프트웨어에 내장되어 있습니다. 절차에는 정기적인 테스트와 같은 프로토콜을 포함하는 애플리케이션 보안 관련 반복 작업이 수반될 수 있습니다.

VMware 애플리케이션 보안

애플리케이션 공격 범위 축소를 통해 위협을 완화하는 방법 자세히 알아보기

무료 다운로드 

애플리케이션 보안 정의

애플리케이션 보안은 무단 액세스 및 수정과 같은 보안 취약점에 대한 위협을 방지하기 위해 보안 기능을 개발하여 애플리케이션에 추가하고 테스트하는 과정을 말합니다.

 

애플리케이션 보안이 중요한 이유

애플리케이션 보안이 중요한 이유는 오늘날의 애플리케이션이 주로 다양한 네트워크에서 사용되며 클라우드와 연결되므로 보안 위협과 침해에 대한 취약점이 증가하기 때문입니다. 네트워크 수준뿐만 아니라 애플리케이션 자체에서 보안을 유지해야 한다는 압박과 필요성이 증가하고 있습니다. 그 이유 중 하나는 해커들이 과거보다 현재 더 빈번하게 애플리케이션을 공격 대상으로 삼고 있기 때문입니다. 애플리케이션 보안 테스트는 애플리케이션 수준에서 취약점을 감지하여 이러한 공격을 방지할 수 있도록 지원합니다.

 

애플리케이션 보안 유형

애플리케이션 보안 기능의 다양한 유형에는 인증, 권한 부여, 암호화, 로깅 및 애플리케이션 보안 테스트가 포함됩니다. 또한 개발자는 애플리케이션을 코딩하여 보안 취약점을 줄일 수 있습니다.

 

소프트웨어 개발자는 애플리케이션에 대한 인증 및 권한 부여 절차를 구축하여 권한이 부여된 사용자만 애플리케이션에 대한 액세스 권한을 획득하도록 처리할 수 있습니다. 인증 절차는 사용자의 신원이 맞는지 확인합니다. 이는 애플리케이션에 로그인할 때 사용자에게 사용자 이름 및 암호를 제공하도록 요구하는 방식으로 수행됩니다. 다단계 인증은 두 가지 이상의 인증 방식을 요구합니다. 이 단계에는 사용자가 알고 있는 정보(암호), 사용자가 보유하고 있는 물건(모바일 기기) 및 사용자 자신(엄지손가락 지문 또는 안면 인식)이 포함될 수 있습니다.

 

사용자는 인증된 후에 애플리케이션에 대한 액세스 권한을 부여받아 이를 사용할 수 있습니다. 시스템은 사용자의 ID와 권한이 부여된 사용자의 목록을 비교하여 사용자가 애플리케이션에 액세스할 수 있는 권한이 있는지 확인합니다. 인증은 권한이 부여되기 전에 이루어져 애플리케이션이 검증된 사용자 자격 증명을 권한이 부여된 사용자 목록과 대조할 수 있도록 해야 합니다.

 

사용자가 인증을 받은 후 애플리케이션을 사용 중인 경우, 다른 보안 조치를 통해 사이버 범죄자가 중요 데이터를 보거나 사용하지 못하도록 보호할 수 있습니다. 중요 데이터가 포함된 트래픽이 최종 사용자와 클라우드 간에 전송되는 클라우드 기반 애플리케이션에서는 해당 트래픽이 암호화되어 데이터를 안전하게 보호할 수 있습니다.

 

마지막으로, 애플리케이션에 보안 침해가 발생한 경우 로깅을 통해 누가 어떤 방법으로 데이터에 액세스했는지 파악할 수 있습니다. 애플리케이션 로그 파일은 애플리케이션의 어느 부분에 누가 액세스했는지에 대한 타임스탬프가 표시된 기록을 제공합니다. 애플리케이션 보안 테스트는 이러한 보안 제어 기능이 올바르게 작동하는지 확인하는 데 필요합니다.

 

클라우드에서의 애플리케이션 보안

클라우드에서의 애플리케이션 보안은 몇 가지 추가적인 당면 과제를 수반합니다. 클라우드 환경은 공유 리소스를 제공하므로 사용자가 클라우드 기반 애플리케이션에서 볼 수 있는 권한이 부여된 데이터에만 액세스할 수 있도록 각별히 주의해야 합니다. 또한 클라우드 기반 애플리케이션의 중요 데이터는 인터넷을 통해 사용자와 애플리케이션 간에 전송되므로 더 취약합니다.

 

모바일 애플리케이션 보안

프라이빗 네트워크와 달리 모바일 기기는 인터넷을 통해 정보를 송수신하여 공격에 더 취약합니다. 기업은 가상 프라이빗 네트워크(VPN)를 사용하여 애플리케이션에 원격으로 로그인하는 직원을 위한 모바일 애플리케이션 보안 계층을 추가할 수 있습니다. 또한 IT 부서는 직원이 모바일 기기에서 기업 네트워크에 연결되는 애플리케이션을 사용하도록 허용하기 전에 모바일 애플리케이션을 점검하여 회사 보안 정책을 준수하는지 확인할 수 있습니다.

 

웹 애플리케이션 보안

웹 애플리케이션 보안은 사용자가 인터넷 기반의 브라우저 인터페이스를 통해 액세스하는 웹 애플리케이션 또는 웹 서비스에 적용됩니다. 웹 애플리케이션은 로컬 사용자 장비가 아닌 원격 서버에 상주하므로 정보는 인터넷을 통해 사용자 간에 전송될 수밖에 없습니다. 웹 애플리케이션 보안은 웹 애플리케이션을 호스팅하거나 웹 서비스를 제공하는 비즈니스에서 특히 주의를 기울여야 하는 사안입니다. 이러한 비즈니스는 네트워크를 침입으로부터 보호하기 위해 웹 애플리케이션 방화벽을 선택하는 경우가 많습니다. 웹 애플리케이션 방화벽은 검사를 통해 필요한 경우 피해를 줄 것으로 우려되는 데이터 패킷을 차단하는 방식으로 작동합니다.

 

애플리케이션 보안 제어란?

애플리케이션 보안 제어는 코딩 수준에서 애플리케이션 보안 수준을 향상하여 위협에 대한 취약점을 줄이는 기술입니다. 이러한 제어 기술 중 다수는 사이버 범죄자가 취약점을 활용하기 위해 사용할 수 있는 예상치 못한 입력에 애플리케이션이 대응하는 방식을 다룹니다. 프로그래머는 이렇게 예상치 못한 입력으로 인한 결과를 프로그래머가 더 효과적으로 제어할 수 있도록 애플리케이션의 코드를 작성할 수 있습니다. 퍼징(fuzzing)은 보안 허점을 드러낼 수 있는 예상치 못한 방식으로 애플리케이션이 작동하는 원인을 찾아내기 위해 예상치 못한 값 또는 입력으로 인한 결과를 개발자가 테스트하는 애플리케이션 보안 테스트 유형입니다.

 

애플리케이션 보안 테스트란?

애플리케이션 개발자는 소프트웨어 개발 프로세스의 일환으로 애플리케이션 보안 테스트를 수행하여 소프트웨어 애플리케이션의 새로운 버전 또는 업데이트된 버전에 보안 취약점이 없는지 확인합니다. 보안 감사를 통해 애플리케이션이 일련의 특정 보안 기준을 준수하는지 확인할 수 있습니다. 애플리케이션이 감사에 통과한 후 개발자는 권한이 부여된 사용자만 애플리케이션에 액세스할 수 있도록 해야 합니다. 개발자는 침투 테스트를 통해 자신이 사이버 범죄자라고 가정하고 애플리케이션에 침입할 방법을 모색합니다. 침투 테스트에는 소셜 엔지니어링이 포함되거나 사용자가 무단 액세스를 허용한 것처럼 속이려는 시도가 포함될 수 있습니다. 일반적으로 테스터는 로그인된 사용자로서 인증되지 않은 보안 검사 및 인증된 보안 검사를 모두 관리하여 두 상태 모두에서 드러나지 않을 수 있는 보안 취약점을 감지합니다.

VMware 애플리케이션 보안, 솔루션, 참고 자료

데스크톱 및 애플리케이션 가상화를 통해 데이터 보안을 지원하는 3단계

VMware의 데스크톱 및 애플리케이션 가상화 솔루션은 조직이 기업 데이터를 보호하는 동시에 사용자 생산성을 높이고 지원할 수 있도록 합니다. 이것이 어떻게 가능한지 궁금하실 것입니다. 데스크톱 및 애플리케이션 가상화를 통해 3가지 간편한 방식으로 기업 데이터를 보호할 수 있습니다.

최신 애플리케이션 보호 관련 당면 과제

최신 애플리케이션은 서버, 가상 머신, 서비스 및 데이터베이스의 네트워크로 구성되는 경우가 많으며 모두 함께 작동합니다. 즉, 애플리케이션 보안은 애플리케이션 자체만큼 민첩해야 합니다.

애플리케이션 보안 소프트웨어 – AppDefense

AppDefense는 위협을 추적하기보다 애플리케이션의 의도된 상태와 동작을 이해하고 위협을 나타내는 이상 징후를 모니터링합니다. 위협이 감지될 경우 AppDefense가 자동으로 대응합니다.

애플리케이션 및 인프라 보호

vSphere는 포괄적인 내장형 보안 기능을 제공하며 애플리케이션, 인프라, 데이터, 액세스를 보호하는 보안 소프트웨어 정의 데이터 센터(SDDC)의 핵심입니다.

애플리케이션의 위치와 관계없이 이를 보호하기 위한 5가지 방법

최신 애플리케이션은 해커와 맬웨어에 취약합니다. 사이버 공격을 실행하는 것이 그 어느 때보다 쉬워졌으며 보안상의 손실은 커지고 있습니다.

네트워크 가상화 및 보안 소프트웨어

VMware NSX® Data Center는 가상화된 네트워킹 및 보안 기능을 소프트웨어를 통해 완벽하게 제공하여 Software-Defined Data Center(SDDC)의 핵심 요소를 완성하며 가상 클라우드 네트워크를 통해 데이터 센터, 클라우드 및 애플리케이션을 연결하고 보호할 수 있습니다.