Home > 전체기사
NIST, 세이프코드와 시큐어코딩 가이드라인 곧 발간
  |  입력 : 2018-04-18 17:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
NIST, RSAC 2018에 참석해 애플리케이션 보안 관련 워크샵 진행
보안 커뮤니티와 개발 커뮤니티 양쪽 의견 모두 듣고 간극 좁혀야


[보안뉴스 문가용 기자] 미국표준기술연구소(이하 NIST)의 연구원들이 애플리케이션 보안에 관심을 가지고 있다. 현재 NIST는 비영리 보안 관련 단체인 세이프코드(SAFECode)와 손을 잡고 애플리케이션 보안과 관련된 새로운 프로젝트를 진행하고 있다. 여느 다른 NIST 프로젝트와 마찬가지로 가이드라인을 발행할 예정인데, 제목은 ‘안전한 소프트웨어 개발 생애주기 가이드(Guide to Secure Software Development Life Cycle Practices)’다. 여기에 ‘생산자와 소비자 관점에서’라는 부제가 붙었다. 결국 소프트웨어의 안전한 개발과 관련된 것이라고 볼 수 있다.

[이미지 = iclickart]


이 가이드라인의 공식 발행 날짜는 아직 결정되지 않았다. 하지만 NIST와 세이프코드는 개념적인 정리는 마친 상태이며, 이를 바탕으로 보안 업계의 피드백과 의견을 받을 예정이라고 한다. 그렇게 함으로써 보다 완전한 가이드라인을 발표한다는 것이다. 이러한 피드백 수집은 현재 샌프란시스코에서 열리고 있는 RSA 콘퍼런스에서부터 시작될 것으로 알려졌다. 관련 워크샵이 시작하기 전, 세이프코드의 총괄 책임인 스티브 리프너(Steve Lipner)에게 애플리케이션 보안과 관련된 NIST의 행보를 물었다.

보안뉴스 : NIST와 함께 애플리케이션 보안과 관련된 프로젝트를 공동으로 진행하시는데요, 어떤 일들이 일어나고 있나요?
스티브 리프너 : 저희 세이프코드는 지난 10년이 넘는 기간 동안 보안에 입각한 개발과 관련된 실천사항 및 권고사항들을 계속해서 발행해 왔습니다. 개발자들이 처음부터 소프트웨어를 안전하게 만드는 게, 다 만들고 검사하고 고치는 것보다 더 낫다는 것이 저희의 일관된 믿음입니다.

그 기간 동안 산업 내에서 많은 변화들이 있었습니다. 그러나 자체적인, 민간 주도의 변화였지 정부가 참여하거나 영향을 미친 사례는 극히 드뭅니다. 현재까지도 정부 주도의 보안 개발 캠페인은 거의 존재하지 않지요. 그래서 NIST와 함께 애플리케이션 보안의 중요성을 긴 기간 논하고, 같이 일을 벌이기로 했습니다.

충분한 대화가 이뤄지니 NIST가 내부에서도 애플리케이션 보안과 관련된 작업들을 진행하기 시작했습니다. 실제 어떤 문제를 다뤄야 하고, 어떤 식으로 어떤 종류의 발행물을 만들어야 하는지를 연구하고 있습니다. 아직 정식 가이드라인이 발표되기까지는 시간이 좀 남았습니다. 하지만 NIST 내에서 이런 일들이 진지하게 다뤄지고 있다는 건 곧 소프트웨어 개발 보안이 정부의 방침이 될 것이라는 뜻이기도 합니다.

보안뉴스 : 가이드라인이 정식으로 발행되고 나면 어떤 변화를 기대하고 계십니까? 업계의 반응은 어떨까요?
스티브 리프너 : 세 가지를 기대하고 있습니다. 하나는 가이드라인이 개발자들에게 실제적인 도움을 제공한다는 건데요, 물론 이미 세이프 코딩과 관련된 가이드라인이 많은 것을 알고 있습니다. 세이프코드도 여러 개를 발표한 바 있고요. 그러나 NIST라는 국가 기관에서 이를 발표했다는 것에 남다른 무게감이 있고, 드디어 개발사나 개발자들이 진지하게 안전한 개발이 무엇인가를 받아들이기 시작할 것입니다.

또한 업계의 소비자 혹은 고객층에도 이러한 가이드라인이 도움이 될 것입니다. 프로젝트를 의뢰하려는 회사가 제대로 안전한 코딩을 실천하고 있는지 확인할 수 있는 근거자료가 되기 때문입니다. 사실 소비자가 이렇게 움직일 때 개발사들이 앗 뜨거 하고 움직이기 시작합니다. 그러므로 소비자에게 다가간다는 전략 역시 염두에 두고 있습니다.

마지막으로는 정부의 조달 사업에도 도움이 될 것이라고 봅니다. 정부가 민간 사업자에 프로젝트를 수주할 때에도 NIST와 세이프코드의 가이드라인을 참고하여 업체를 선정할 수 있게 되겠지요. 이 역시 개발사가 안전한 코딩 실천사항을 빠르게 도입해야 할 동기부여가 될 것입니다.

보안뉴스 : 이번 RSA에 참가하여 NIST와 세이프코드의 프로젝트를 설명하고 의견을 수렴하신다고 알고 있습니다. 그러나 보안 커뮤니티만이 아니라 개발 커뮤니티로부터의 의견이 더 중요한 게 아닐까요?
스티브 리프너 : 개발자들이야 말로 이번 프로젝트에서 가장 중요한 사람들입니다. 세이프코드 내에서도 이러한 점을 잘 이해하고 있으며, 여태까지 시큐어 코딩과 관련된 일을 할 때는 항상 개발자 커뮤니티에 접근하고 그들의 피드백을 받았습니다. 이번 프로젝트 역시 개발자들의 참여를 중요하게 생각하고 있습니다. 개발의 생애주기를 안전하게 만드는 것이 우리의 목표인데, 개발자들의 참여를 배제한다는 건 말이 안 되죠. 개발자와 보안 담당자들 사이의 간극을 줄이는 것도 시큐어 코딩 프로젝트의 일환입니다.

보안뉴스 : 비슷한 질문인데, 앞으로 NIST는 데브옵스의 확산에 맞춰 개발자들과 관련된 실천사항이나 표준을 더 많이 발표할 것이라고 보십니까?
스티브 리프너 : 세이프코드가 처음 소프트웨어와 관련된 안전한 개발 프로세스를 구축하고자 했을 때, 그 당시 개발이란 2~3년 걸리는 일이었습니다. 하지만 1~2년이 지나고 가이드라인을 발표했더니, 이 기간이 크게 단축되었을 뿐만 아니라 데브옵스라는 것이 새롭게 시장에 들어와 있더군요. ‘우리 가이드라인을 이 데브옵스란 것에 어떻게 적용하지?’란 고민을 할 수밖에 없었습니다.

그래서 곧 데브옵스란 무슨 뜻이며, 이 개발 과정을 안전하게 만든다는 건 무슨 뜻인지 이해하기 위한 연구를 진행했습니다. 그리고 답이 나왔죠. 시큐어 코딩은 데브옵스에서나 워터폴(waterfall)에서나 똑같은 시큐어 코딩이라는 것이 저희의 연구 결과였습니다. 다만 툴, 개발 프로세스, 배포 등의 과정에 보안을 적용하는 방식이 조금 달라지긴 했습니다. 피드백이 들어오는 부분도 달라질 수밖에 없고요. 또 한 가지 확실한 건 데브옵스를 적용한다고 해서 곧바로 시큐어 코딩이 되는 게 아니라는 겁니다.

NIST와 세이프코드의 가이드라인은 지나치게 엄격하지만은 않을 예정이기도 합니다. 여러 다른 개발 상황과 환경이 있음을 충분히 인지하고 있고, 그래서 충분한 유연성을 내포하고자 합니다. 아직은 시작 단계이고, 좌충우돌의 시간들이 있을 것이지만 불가능한 작업을 하는 건 아니라고 생각합니다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제