말로만 전해지던 ‘데브섹옵스’ 이제 현실이 됐다

베라코드 “소프트웨어 개발 주기에 보안 통합되고 있어”
애플리케이션 보안 위해 개발자 대상으로 교육·훈련 필요

[보안뉴스 오다인 기자] 새로 발표된 연구에 따르면, 개발자들이 기업의 애플리케이션 보안 실천을 가속화하도록 돕는 도구들 몇 가지가 현재 시중에 나와 있는 상태다. 이 도구들은 개발자가 코드를 쓸 때 공격자처럼 생각할 수 있도록 돕고 서드파티나 오픈소스 사용에 대해서 주의를 기울이도록 만들며 보안 전문가들을 적이 아닌 컨설턴트로 활용할 수 있도록 지원한다.

[이미지=iclickart]

최근 보안 업체 베라코드(Veracode)는 대기업과 중소기업의 자바(Java), 닷넷(.Net), 안드로이드, iOS, PHP 등 여러 언어로 작성된 애플리케이션을 약 400,000건 스캔한 뒤 데이터를 분석했다.

분석 결과, 상당수 기업들이 소프트웨어 개발 주기에 보안을 통합시키는 데 진전이 있는 것으로 나타났다. 예를 들어, 그 어느 때보다 많은 애플리케이션이 한 달에 한 번이나 그보다 자주 보안 취약점 검사를 받고 있는 것으로 나타났다. 즉, 데브섹옵스(DevSecOps)가 점점 더 많이 도입되고 있다는 뜻이다.

베라코드의 연구에 따르면, 작년과 비교해서 18% 더 많은 애플리케이션들이 매월 검사되고 있었으며 매주 검사되는 애플리케이션 수는 거의 50%나 뛰었다. 또한, 베라코드는 기업들이 자바와 닷넷으로 쓰인 애플리케이션을 집중적으로 검사하고 있다는 사실을 발견했다. 충분히 예상할 수 있는 일이겠지만, 검사를 더 자주 진행함으로써 기업의 오류 수정 비율도 개선되고 있다.

여기서 중요한 사실은, 자바스크립트(JavaScript)나 PHP 같은 웹 스크립트 언어로 작성된 애플리케이션에 대해서는 기업들이 상대적으로 드물게 검사하고 있다는 점이다. 이런 애플리케이션들에는 SQL 삽입, 교차 사이트 스크립팅, 암호화 오류, 크리덴셜 관련 오류와 같은 중대한 취약점 항목들이 더 만연하게 나타난다. PHP로 작성된 애플리케이션 47%가량은 SQL 삽입 취약점이 나타났으며, 43%는 교차 사이트 스크립팅 취약점이 나타났다. 닷넷으로 쓰인 애플리케이션 31% 미만이 SQL 삽입 취약점을 갖고 있었으며, 14%만이 교차 사이트 스크립팅 취약점을 갖고 있었다는 사실과 대비되는 부분이다.

이와 함께, 베라코드는 기업들이 고도로 심각한 취약점을 가진 애플리케이션 수도 크게 낮추고 있다고 분석했다. 작년과 비교해서 고도로 심각한 취약점을 가진 애플리케이션 비율은 26% 감소했다.

이 같은 데이터들은 데브옵스(DevOps)와 데브섹옵스라는 오래도록 말로만 이어져온 트렌드가 마침내 현실에서 이뤄지고 있다는 점을 보여준다. 한편, 베라코드는 개발자들이 앱섹(AppSec)으로 통칭되는 애플리케이션 보안 실천을 가속화하기 위해 더 많은 일을 할 수 있다는 뜻도 있다고 지적한다.

베라코드의 개발 업무 이사 피트 체스트나(Pete Chestna)는 “베라코드의 스캔 데이터가 제공하는 양적 증거들을 바탕으로, 이런 트렌드가 실제로 일어나고 있다는 걸 확인할 수 있다”고 말했다. “저희의 스캔 데이터는 애플리케이션들이 평균적으로 더 자주 검사되고 있다는 사실을 보여줍니다. 지난 2년 간 애플리케이션에서 거대한 성장이 일어났다는 사실을 알 수 있죠. 애플리케이션들은 매월 또는 그보다 더 자주 검사되고 있습니다. 저희는 이 같은 변화가 데브옵스로의 이동과 맞닿아 나타난 것이라고 봅니다. 코드를 이전보다 자주 데브옵스 방식으로 출시하고 있다고 분석되기 때문입니다.”

그러나 체스트나는 개발자들이 회사 교육 시스템과 사내 훈련의 부족 또는 보안 훈련의 부족 등으로 잠재력을 펼치지 못하는 상태라고 지적했다. “개발자들은 적절한 훈련이 주어지고 자신들에게 적합한 보안 툴이 주어질 때 훌륭하고 안전한 코드를 만들어낼 수 있습니다.”

예를 들어, 베라코드는 사내에서 온라인 보안 훈련을 제공받은 개발자들이 훈련을 받지 못한 개발자들보다 19%나 더 많은 취약점을 고칠 수 있었다고 분석했다. 이와 유사하게, 보안 전문가로부터 개선 코칭을 받은 개발자들은 평균적으로 88%나 많은 취약점을 고칠 수 있었던 것으로 나타났다.

체스트나는 “개발자들은 취약점을 고치는 데 책임이 있다”며 “보안에 대한 책임이 개발자들에게 점점 더 많이 부과되고 있다”고 말했다. 공식화된 앱섹 절차를 실행하는 건 다중의 이해관계자로부터 지지가 필요한 일이지만, 개발자들이 먼저 트렌드를 가속화하기 위해 이니셔티브를 취할 수도 있다.

일례로, 체스트나는 개발자들에게 공격자라면 어떻게 할 것인지 생각해봐야 한다고 조언했다. 공격자처럼 생각하기 시작해야 한다는 것이다. “당신의 API나 오류 메시지가 정보를 유출한다고 생각해보세요. 공격자는 이 애플리케이션과 이용자에 대해 더 많이 파악할 수 있을 것입니다. 인증 시 ‘잘못된 사용자명’이라든지 ‘잘못된 비밀번호’ 같은 걸 띄운다면, 즉 각기 다른 상황마다 각각에 상응하는 오류를 반환한다면 공격자들이 침입할 수 있도록 경로를 뚫어주는 것과 같습니다.”

그는 개발자들이 컴포넌스 사용에 있어서도 더 똑똑해질 필요가 있다고 지적했다. 베라코드 연구에서 깜짝 놀랄만한 결과 중 하나는 바로 취약한 컴포넌트가 최소 하나 포함된 자바 애플리케이션의 수가 무려 88%라는 사실이다. 체스트나는 “개발자들이 애플리케이션에서 사용되고 있는 오픈소스나 서드파티 코드에 어떤 컴포넌트들이 있는지 잘 모르고 있고 이를 자주 추적하고 있지도 않다”고 말했다.

소프트웨어 구성 분석과 함께 개발자들은 애플리케이션의 컴포넌트 목록을 최신으로 유지하고 가장 최신 버전의 컴포넌트를 사용해야 할 필요가 있다. 이것이 모범 사례(best practice)로 구축돼야 하고, 준수돼야 한다. 체스트나는 “보안 팀과 취약점 관리자들은 새 취약점이 발견되자마자 컴포넌트를 업데이트해야 할 필요가 있다”고 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)