취약한 자바스크립트 기반 서비스 보호…악산, ‘시큐어JS’ 발표

글로벌 IT 보안 기업인 악산(Arxan)이 자바스크립트(JavaScript) 보안 솔루션 ‘시큐어JS(SecureJS)’를 발표했다.

‘시큐어JS’는 시중에 무료로 배포돼 쉽게 적용할 수 있는 간단한 치환과 난독화를 넘어 리버스 엔지니어링과 코드 위변조에 대한 자체적인 보호력과 복원력을 제공한다.

자바스크립트는 웹에 특화된 개발 언어로써 사용하기 쉽고 다양한 운영체제와 플랫폼을 지원할 수 있다는 장점을 갖고 있지만, 간단한 디버깅으로 소스코드가 노출되기 때문에 보안상으로 매우 큰 취약점을 내재한다. 물론 기존의 무료로 배포된 저가 보안 도구들이 많지만, 이들은 주로 최적화 역할만을 수행해 여타 분석 도구에 의해 쉽게 원본으로 복구할 수 있다.

시큐어JS는 자바스크립트 기반의 모든 웹, 모바일, 서버 등을 향한 공격으로부터 보호해 기업의 지적재산권과 디지털 자산의 침해, 도용, 절도를 방어한다. 디버그와 무결성을 탐지하고 난독화, 리네이밍, 문자열 암호화 등의 보안 기능을 제공한다. 클라우드와 온프레미스 방식을 지원해 기업 특성에 적합한 방식을 택할 수 있다.

주요 기능은 ▲강력한 자바스크립트 난독화 ▲위변조 방지 및 디버거 탐지 ▲쉬운 사용, 맞춤형 보호 설계 ▲빌드 시스템에 통합 가능한 애플리케이션프로그래밍인터페이스(API) ▲ES5, ES6, Node.js, Cordova, AngularJS, React.JS 지원 등이다.

샘 리반 악산 최고기술책임자(CTO)는 “자바스크립트, HTML5는 모바일과 웹, 서버, 임베디드 애플리케이션의 핵심적인 부분을 담당하지만 공격에는 매우 취약하다”며, “‘시큐어JS’는 자바스크립트 코드가 포함된 모든 서비스를 보호하여 방화벽 안팎에서 안전한 개발 환경을 제공할 수 있다”고 전했다.

악산의 국내 파트너사인 엔시큐어 문성준 대표는 “시큐어JS는 보안상 큰 취약점이 있는 자바스크립트의 문제점을 간단하게 해결할 수 있으며, 특히 클라우드 버전을 지원해 구축비용에 대한 부담을 현저하게 줄일 수 있다”고 밝혔다.

한편, ‘시큐어JS’는 현재 국내 주요 웹 및 모바일 앱 서비스를 제공하는 다수의 금융사에 구축돼 있다. 엔시큐어는 자바스크립트를 사용하는 업체를 대상으로 자사 홈페이지(www.ensecure.co.kr)와 소셜네트워크서비스(SNS)를 통해 이벤트를 진행할 예정이다.