세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
애플리케이션 보안의 간단한 역사, 그 역사를 닮은 포트폴리오
  |  입력 : 2017-07-25 17:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플리케이션 보안 위한 시큐어 코딩부터 오픈소스 보안 관리까지
애플리케이션 보안의 핵심은 개발, 보안, IT 등의 유기적인 협조


[보안뉴스 문가용 기자] 물리적인 현실에 가상의 제품 및 서비스를 덧입히려는 시도가 계속해서 이어지고 있다. 깨닫기도 전에 이런 물리적 경계들이 소프트웨어들에 침투당하고 있다. 핀테크의 등장은 금융 업무의 물리적인 영역을 소프트웨어에 상당 부분 내주었고, 페이스북은 아예 VR이 인간 상호작용의 미래라고 말하며 오큘러스 사업에 투자하고 있다. 아마존은 아마존고라는 인공지능 마트를 통해 상품을 고르고 구매하는 물리 영역에까지 소프트웨어 기술을 전투적으로 삽입하고 있다. 테슬라의 자동차는 바퀴 달린 스마트폰이라고까지 표현된다.

[이미지 = docker.com]


그래서 얼마 전 딱 하루 방한한 익시아의 마케팅 총괄인 브렌든 리치(Brendan Leitch)는 빠듯한 일정 속에 “소프트웨어가 하드웨어를 잡아먹고 있는 것에 예의 주시하라”고 마케팅 업무와는 상관없는 메시지를 전달하고 돌아갔다. 많은 전문가들이 입 모아 말하는 바 ‘소프트웨어의 전 방위적인 침투’가 핵심인데 각종 캠페인 제작자들은 ‘4차 산업혁명’이라 이름을 붙이고 있고, 이코노미스트는 이코노미스트답게 “소프트웨어 개발자 연봉이 의사나 은행가들의 그것을 앞질렀다”는 보도를 했다. 타임지는 팀 쿡(Tim Cook) 등의 실리콘 밸리 리더들이 프로그래밍 교육에 열을 올리는 현상을 보도했고 말이다. 갑자기 소프트웨어가 모든 소용돌이의 중심을 차지한 것처럼 보인다.

애플리케이션 보안에 대한 고민의 연혁
1) 하지만 보안 업계에서는 일찌감치 ‘애플리케이션 보안’을 화두로 삼아왔다. ‘시큐어 코딩’에 대한 권장도 널리 퍼졌었고, 보안을 처음 설계 단계에서부터 도입시켜야 한다는 ‘Security by Design’이 다시 부각된 게 이미 2014년 정도부터다. 그러나 사람이 만들어 완전할 수 없는 애플리케이션들은 늘 하나 이상의 버그를 안고 태어났고, 애플리케이션을 통한 사고는 매일처럼 발생했다. 그럼에도 지금은 ‘소프트웨어 시대’인 것처럼 애플리케이션의 사용자는 늘어만 갔고, 애플리케이션 숫자도 마찬가지였다. 애플리케이션 보안에 대한 업계의 고민은 깊어갔다.

2) 모바일 애플리케이션이 늘어나면서 처음부터 코딩을 잘 하는 ‘시큐어 코딩’ 실천만으로는 애플리케이션의 보안을 완전히 도모할 수 없자 그 다음 나온 것이 애플리케이션 무결성 보호라는 방법이다. 데스크톱 및 서버, 모바일 애플리케이션에 보안 기능을 탑재하여 중요 기능 우회 및 위변조에 대한 차단 및 방어 기술을 제공하는 것이다. 처음부터 튼튼히 만들고, 사용할 때도 튼튼하게 하는 것이다. 바이너리를 분석하고, 라이선스 도용 등에 대한 각종 해킹 공격을 원천 차단하고자 하는 노력이 여기에 속하기도 한다. 이러한 장치는 애플리케이션 컴파일 시 적용되는 게 가능하다.

3) 애플리케이션 보안, 잘 만들고 잘 지키는 식으로 문제에 접근했다. 그러나 사용자가 실수를 저지르거나 문제를 일으키면 어쩔 수가 없었다. 그래서 보안 업계는 보안 교육 콘텐츠에 대한 고민을 하기 시작했다. 전반적인 보안사고 관련 소식을 알려주거나 기본 실천 사항을 가르쳐주는 게 아니라 소프트웨어를 개발하거나 관련 업무를 맡은 자들을 대상으로 하는, 세분화되고 전문화된 교육이 씨지탈(Cigital) 등의 업체를 필두로 제공되기 시작했다.

4) 하지만 얼마 간 더 지켜보니 사용자의 실수 중에도 ‘조직적으로’ 막을 만한 것들이 있다는 걸 알게 되었다. 즉 애플리케이션을 개발하고 실제 업무 환경에 구축해 사용하는 ‘생태계’ 전반에 걸친 보안 전략을 어떻게 세우느냐에 따라 실수를 막을 수 있다는 걸 깨닫게 된 것이다. 이에 BSIMM(Building Security In Maturity Model) 과 같은 보안 전략 성숙도 진단 시스템이 등장하기 시작했다. 가입된 기업들이 서로의 전략을 비교하여 잘 된 부분과 잘 되지 않는 부분을 파악하고 보완할 수 있도록 한 서비스였다.

개발과 사용 후 찾아오는 문제, 배포
위 4)번과 이어지는 문제인데, 애플리케이션을 아무리 튼튼하게 만들고 사용자가 아무리 정신 바짝 차리고 사용해도 그 애플리케이션이 운영되는 엔드포인트 기기나 앱스토어에서 문제가 발생하면 어쩔 수가 없는 경우가 생기기 시작했다. 소셜 엔지니어링 공격이 대두가 되면서 애플리케이션 로그인 정보가 유출되고, 엉뚱한 사람들이 ‘합법적으로’ 접속하기도 했다. 그래서 관리자 계정을 통합적으로 원격에서 관리할 수 있는 솔루션들이 나타나고, 엔드포인트만을 위한 전문적인 보안 솔루션들도 나왔다.

애플리케이션의 사용이 늘어나면서 애플의 앱스토어와 구글의 플레이스토어만으로는 넘치는 수요를 감당할 수 없게 된 것도 ‘보안의 문제’였다. 보편적인 대중을 대상으로 한 앱이 아니라 특정 소수만을 위한 앱을 배포하는 문제에 있어서 공식 앱 스토어가 두 개밖에 없다는 건 언젠가 개선되어야 할 문제였다. 그래서 여기저기 비공식 서드파티 스토어들이 난립하기 시작했는데, 여기서는 보안 사고가 빈번하게 발생했다. 거르는 장치가 없으니 악성 의도를 가진 이들이 활동하기 좋은 곳이었다. 게다가 공식 앱 스토어에도 뚫려버리는 일이 발생하니 ‘공식 앱 스토어만 사용하세요’라는 보안 수칙은 무색하게 되었다.

딱 그 때 즈음 아페리안(Apperian)이라는 업체가 ‘안전한 앱 개발 라이프사이클 관리와 서드파티 스토어’ 플랫폼을 들고 시장에 등장했다. 특정 소수에게만 앱을 배포할 수 있게 해주며, 공식 스토어를 거치지 않은 앱들의 고질적인 문제였던 업데이트 배포 역시 해결해주는 솔루션이며, 해당 앱들에 대한 정책 변경도 간단하게 일괄 적용시켜 주는 기능을 가지고 있다. 또한 개발부터 테스트, 사이닝(signing), 안전한 배포까지 아우른다. 무엇보다 엔드포인트 기기에 대한 보안 상태와 상관없이 앱을 보호해주기도 했다. 기업 내에서만 사용하고 싶은 사설 앱 시장이 급물살을 탈 것으로 보인다. 게다가 시대도 소프트웨어를 폭발적으로 늘리고 있으니 타이밍이 좋다.

우리가 일반적으로 데스크톱이나 모바일에서 사용하는 애플리케이션들에 대한 보안은 현재 대략적으로 여기까지 진행된 상태다. 앞으로는 엔드포인트의 종류가 모바일을 넘어 각종 사물인터넷 기기는 물론 자동차와 공장 시스템에까지 확장되면서 애플리케이션을 안전하게 보호하고자 하는 시도는 계속해서 이어질 것이다. 소프트웨어가 물리 공간에 막 쳐들어오고 있을 때 이런 고군분투는 반드시 누군가 해야만 하는 일이기도 하다.

그런데 이러한 고민의 연혁과 쏙 빼닮은 포트폴리오를 가진 기업이 있다. 바로 엔시큐어다. 시큐어 코드 분석 솔루션에서부터 씨지탈의 교육 프로그램과 BSIMM 서비스를 거쳐 MAM까지, 한국에서는 엔시큐어를 거치면 전부 제공받는 게 가능하다. 거대한 재벌이 회사를 뚝딱 설립해 이러한 솔루션들을 한꺼번에 구매해 시장에 내놓은 게 아니라, 처음부터 애플리케이션 보안의 발전상을 그대로 쫓아오다보니 자연스럽게 연대기와 같은 포트폴리오가 완성되었다. 그 엔시큐어에서 기술 마케팅을 담당하고 있는 손장군 이사와의 간단 인터뷰를 진행했다.


보안뉴스 : 소프트웨어 개발 때문에 난리도 아니다. 앱 보안을 전문으로 하는 업체로서 체감되는 변화가 있는가?

손장군 : 효율적인 개발과 운영으로의 이관을 위해 데브옵스를 적용하고 있는 기업들이 늘고 있다. 특히, 보안까지 포함하는 시큐어 데브옵스(Secure DevOps)를 채택하는 것이 세계적인 추세다. 모바일 개발 환경의 경우 기존 개발 환경에 비해 개발, 빌드, 테스트, 운영까지의 단계들이 분리되어 자동화되지 않은 경우가 많고, 그로 인해 생산성 저하 및 사고의 발생 확률이 있는 것이 사실이다. 그래서 모바일 환경에도 개발, 테스트, 보안적용, 배포 까지 자동화하는 시큐어 데브옵스를 적용하려는 움직임이 생기고, 이를 자동화 하는 솔루션들이 등장하고 있다.

보안뉴스 : 네트워크 장비가 이제 가상이라는 이름을 얻어 소프트웨어 영역으로 들어가고, 자동차도 이제 스마트폰처럼 만들어진다고 하는데, 이런 하드웨어의 소프트웨어화 현상의 장단점은 무엇이라고 보는가?

손장군 : 기존의 하드웨어 기반의 환경에서는 물리적 한계와 비용 등의 문제로 확장성 측면에서 한계를 가지고 있었다. 그런데 소프트웨어화를 통해 저비용으로 빠른 확장이 가능하고 소비자의 요구에 빠르게 대응할 수 있다는 장점이 부각됐다. 하지만 다른 한 편에서는 오랜 이슈인 소프트웨어에 내재된 보안 취약점의 증가라는 문제가 같이 발생하고 있다. 장점과 단점이 함께 증식하고 있는 중이다.

보안뉴스 : 애플리케이션 보안에 대한 접근법이 계속해서 변해왔다. 하지만 그럼에도 한결 같이 유지되는 ‘핵심’이 있을 것으로 보인다. 있다면, 무엇인가? 즉 ‘애플리케이션 보안’이란 무엇인가?

손장군 : 오랫동안 애플리케이션 보안이라는 분야는 어려운 분야로 인식되고 있다. 이는 보안 전문가가 아닌 개발자가 생산한 소프트웨어 상의 보안 버그를 개발 전문가가 아닌 보안팀이 관리하고 찾아내며, 이를 또 개발자가 개선해야 하는 지루하고도 어려운 사이클을 돌아야 하기 때문이다. 특히, 조직이 크고 업무가 명확히 분장되어 있을수록 어려움이 큰 것 같다. 애플리케이션 보안은 그야말로 개발 팀과 보안 팀, 운영 팀의 유기적인 협조가 핵심 아닐까 한다.

보안뉴스 : 애플리케이션 보안에 있어서 가장 최근 이슈는 무엇인가? 엔시큐어가 눈여겨 보고 있는 다음 기술은 무엇인가?

손장군 : 애플리케이션 보안을 위해 소스코드 분석, 웹 스캐너, 웹 방화벽 등 다양한 기술들이 등장했고 시장을 형성하고 있다. 최근 오픈소스 취약점으로 인한 세계적인 사고 사례들이 빈번하게 발생하고 있다. 개발 생산성 등의 이유로 애플리케이션 개발 시에 60%가 넘는 코드가 오픈소스를 차용하고 있는 현실에서, 기존의 솔루션들로 해결 못하고 있는 부분이 오래 존재해 온 것이 사실이다. 이에 애플리케이션 개발 시 사용되는 오픈소스에 대한 보안 취약점을 점검하는 솔루션을 포트폴리오에 추가했다.

모바일 앱의 경우 보안성 검증을 위한 적당한 솔루션이 없어 모의 해킹을 통한 수동진단을 실시 할 수밖에 없다. 하지만 시간과 비용의 문제로 매번 발표되는 앱에 대한 보안성 검토를 하지 못하는 것이 현실이다. 이를 해결하기 위한 솔루션으로 기존 5일 정도 걸리던 보안 진단을 15분 정도로 자동화하는 솔루션 또한 포트폴리오에 추가한 바 있다. 엔시큐어는 기존 솔루션들이 커버하지 못하고 있던 오픈소스 보안 문제와 모바일 앱 보안 진단이라는 이슈까지 아우르는 포트폴리오를 이미 확보하고 있다.

보안뉴스 : 집에서 사용하는 컴퓨터나 개인 휴대폰을 사용할 때 어떤 보안 수칙을 적용하는가? 즉, 보안 담당자로서 가지고 있는 ‘보안 습관’이나 솔루션을 구매할 여력이 안 되는 사용자에게 권해줄 ‘보안 팁’이 있다면?

손장군 : 업무용 PC를 제외한 집에서 사용하는 PC는 사실상 보안성을 확보하기 어렵다. 주말에 가끔 PC 상태를 점검 해보면 멀웨어나 애드웨어 같은 것이 발견될 때가 있다. 두 자녀 때문인데, 게임 등을 불분명한 출처에서 다운받아 사용 하는 것이 문제다. 그렇다고 내가 집을 지키고 그것을 막기는 불가능하다. 기본적인 보안, 즉 안티바이러스 최신성 유지, OS 최신 패치 유지 등 업데이트를 강제로 진행하도록 설정해놓는 정도를 하고 있다. 물론 중요한 데이터는 PC에 없어야 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)