와라텍, 컨테이너화가 레거시 Java보안 위협에 대한 해결책이 될수 있을까??

Java는 세계에서 가장 오래 지속되고 널리 배포된 엔터프라이즈 프로그래밍 언어 중 하나입니다. 하지만 많은 보안 취약점으로 인해 가장 빈번하게 공격을 받을 수 있는 플랫폼 중 하나이며, 이 중 다수는 CVE(Common Vulnerabilities and Exposures) 스코어가 매우 높습니다. 이러한 문제는 데이터센터 혹은 클라우드 인프라에서 운영되는 애플리케이션이 여전히 오래된 버전의 플랫폼에서 실행되고 있다는 사실 때문이다. 현재 Java로 개발된 엔터프라이즈 응용 프로그램은 특정 버전의 Java에서 실행 되도록 되어 있으며 지금까지 유지되고 있는 실정이다.

Vulnerability Mitigation Road Blocks

레거시 Java보안 위협이 지속되는 두가지 요인은 비용과 운영 리스크 감당에 대한 책임입니다. 레거시 Java 취약성을 완화하려면 일반적으로 Java 런타임 가상 머신을 업데이트해야 합니다. 이 프로세스는 광범위한 응용 프로그램 테스트 및 검증이 필요하므로 많은 비용이 소요되며, 응용 프로그램 수정이 필요한경우 추가 비용이 발생할 수 밖에 없습니다. 또한 아무리 많은 테스트를 수행하더라도 응용 프로그램의 소스코드 수정등의 문제가 발생한다면 서비스 운영에서 감당해야 하는 리스크는 상당히 커질 수 밖에 없습니다. 

여러 이유를 들어 기존 레거시 애플리케이션은 현상태를 유지할 수 밖에 없는 상황에 놓이게 됩니다. 이 문제를 해결하기 위해 네트워크 기반의 보안 장비를 사용하고 위험을 해결하려 시도 합니다만, 일반적으로 정교한 공격이나 내부적으로 발생한 공격을 막는것은 역부족입니다. 정적 혹은 동적 코드 분석 도구가 애플리케이션 보안에 사용중일 수 있지만 Java런타임 레벨에서 스택 하위의 문제를 악용해 시도되는 공격을 완화하기 어려울것 입니다. 설상가상으로 이것들을 잠재적인 취약성에 대한 많은 정보를 생성하는데 우선 순위 지정 및 수정에 오랜 시간이 걸릴 수 밖에 없습니다. 

요약하자면, 레거시 Java 어플리케이션의 위험을 해결하는 것은 전형적인 엔터프라이즈 환경의 균열을 통해 발생하는 것입니다.

Alternative Measures

다행히 기존 Java에 대한 위협을 완화하기 위해 새로운 접근 방식인 Java컨테이너화가 등장했습니다. 컨테이너화는 응용 프로그램 및 필요한 모든 보조 소프트웨어를 하나의 패키지로 포장하는 것을 포함합니다. 새로운 개념은 아니지만 클라우드 배포에 적합한 Docker와 같은 기술 덕분에 새롭게 주목받고 있습니다 

Java보안 컨텍스트에서는 최신 런타임 환경 내에서 Java애플리케이션과 레거시 Java 프랫폼을 래핑하는 기술이 존재합니다. 이 방법을 사용하면 이전 버전에 직접 액세스하지 않고 보다 안전한 새로운 JVM(Java Virtual Machine)이 외부 위협을 차단합니다. 또한 애플리케이션은 여전히 기존 Java환경에서 실행되고 있으므로 이 모델은 기존 코드를 수정하지 않아도 작동 합니다. 이는 JVM 업그레이드와 관련된 애플리케이션 안정성의 위협을 제거하면서도 익스플로잇으로 부터도 JVM을 보호 합니다. 

한편 Java컨테이너화는 최신 Java 런타임 내에서 레거시 Java를 실행하는 것보다 추가적으로 보안상 이점을 제공합니다. 파일 시스템의 특정 영역에 대한 무단 액세스를 방지하거나 응용 프로그램내에서 사용하지 않지만 종종 해커에게 이용당하는 Reflection API 호출이나 프로세스 포킹과 같은 특정 자바 기능을 차단할 수 있습니다. 

정책 적용을 JVM내에 배치하여 보안 기능은 애플리케이션 동작과 밀접하게 연관되어 작동하며 성능에 미치는 영향은 최소화 할 수 있습니다. 이를 통해 기업은 코드를 변경할 필요 없이 컨테이너화를 통해 취약점에 대한 가상 패치를 제공받아 기존 Java애플리케이션을 지속적으로 이용할 수 있게 되는 것입니다. 

와라텍 정보 보기 ☞

Maxtive - 와라텍,헤임달,아크로니스,소프트웨어 정의 컴퓨팅, RASP, 가상패치, 가상 업그레이드, SQL 데이터 라우팅, SQL 캐싱