본문 바로가기

Security_Space

SW 보안은「개발단계에서 출발」

코드 보안에 있어, 우리의 현실은 외국의 그것들과 비교해서 많이 늦은 편이다. 그러나, 지금부터라도 관심을 가지고 진행을 한다면 다행이라고 생각한다. 점점 보안의 레이어는 상위 계층으로 이르고 있고, 결국 소스코드의 보안에 까지 이르게 되는데, 완성된 소스를 분석하여 보안을 강화하는 것은 상당히 비효율적이다.
애초에 개발 초기 단계부터 소스 코드를 제작함에 있어 가이드와 지침이 존재한다면 훨씬 안정적으로 진행되지 않을까 싶다. 개발자들의 특성상 본인의 습관화된 코딩 방법으로만 코드를 작성하게 되고, 참조하는 다른 코드의 사용에도 검증 과정을 많은 부분 생략한 채, 사용한다. 이러한 부분은, 소스 자체의 결함으로 이어지게 되고, 결국 프로그램적인 에러 발생의 주요한 원인이 되기도 한다.
당장의 시간적인 손실보다는 차후의 안전과 안정을 도모하는 것이 결국 제대로 골에 이르는 길이라 확신한다.


================================================================================================================


소프트웨어 개발단계부터 소스코드 보안을 강화하려는 움직임이 커지고 있다. 개발자가 가진 오리지널 소스에 존재하는 취약점이 복제돼 퍼지는 것을 막겠다는 것. 마이크로소프트, 오라클, EMC 등 글로벌 기업들이 수년전 시작한 이런 행보는 이제 IT와 관련된 전 분야로 영역을 넓혀가는 중이다.

국내에서는 하나은행, 외환은행, 농협, 국민은행 등 금융기업들과 KT, SKT와 같은 통신사들이 최근 소스코드 보안 솔루션을 구축했다.

소스코드 보안이 중요시되는 이유는 보안 위협이 네트워크 보다 애플리케이션을 취약점 자체를 노리는 경향이 두드러지기 때문이다. 최근 가트너 조사에서는 보안 취약점의 70%가 네트워크가 아닌 애플리케이션에서 발생하는 것으로 나타났다.

또 미국 ‘마이터(MITER)’사는 지난해 실시한 조사에서 “웹 취약점은 공격/탐지가 네트워크단에서 보다 용이하다”며 “그런데도 개발 단계부터 보안을 적용하지 않는 SW가 많아 애플리케이션 공격은 늘어날 수밖에 없다”고 설명했다.

따라서 SW 벤더는 물론 금융권과 같이 온라인에 고객과의 접점을 구축한 기업들은 더 이상 패치와 같은 사후처방이 아닌 예방차원으로 접근을 요구하는 것이다.

MS, 오라클 등 성공사례 지속
이렇게 개발 단계 보안에 대한 수요는 늘어나는 반면, 관련한 솔루션 벤더는 세계적으로 포티파이와 온스랩만이 거론될 정도로 수가 적다. 현재 국내에는 포티파이만이 진출해 대부분의 수주를 독점하고 있는 상황이다.

기술 가치에 비해 벤더 수가 적은 이유는 그만큼 시장 장벽이 높기 때문이다. 가장 힘든 점은 고객사 SW 개발단계에 관여해야 한다는 것이다.

개발자들은 각기 정해진 업무 룰과 기간에 따라 움직이는데, 이 과정에서 타 회사 담당자와 머리를 맞대는 것이 부담스러운 것은 당연하다. 개발 단계 뿐 아니라 엔드유저까지의 전 과정을 파악해야 하는 어려움도 있다.

하지만 이를 적용해 성공한 업계 리더들의 사례가 계속 나오면서, 전보다는 사업이 수월해지고 있다는 것이 업계 설명이다.

포티파이 연구 총괄 제이콥 웨스트 이사는 “MS, 오라클, EMC, 애플 등이 자신들의 SW를 방어하기 위해 개발 단계 보안을 적용하고 있다”며 “자세히 밝힐 수는 없지만 주요 제품 대부분이 그 대상”이라고 말했다.

또 그는 “개발자가 보안 원칙을 준수하고 있는지 평가할 수 있는 가이드라인을 만들었다는 것이 가장 중요한 의미”라고 강조했다.

PHP, ASP까지 언어지원 계획
한편, 솔루션 벤더들은 근래 들어 특히 프로그램 언어 지원 다양화에 힘을 쏟고 있다. 이제 비주얼베이직6나 자바스크립트는 기본으로 지원되며, PHP, ASP 등을 탑재한 제품도 곧 등장할 예정이다.

국내의 경우 대부분 공공기관이 PHP와 ASP를 사용하고 있음을 감안할 때, 소스코드 보안 구축 움직임은 계속 커질 것으로 업계는 기대하고 있다. @



출처 : ZDNet Korea