보안 애플리케이션 쌓여가고 있지만, 보안 강화는 요원

보안에 대한 투자는 늘어가고 있어 긍정적...그러나 활용의 측면에서는 아쉬움
솔루션 늘려가도 서로의 호환성 부족하면 도루묵...사용자의 전문성과 이해도도 필요

[보안뉴스 문가용 기자] 다양한 보안 애플리케이션과 솔루션을 사용함으로써 보안을 강화하는 전략이 많은 기업들 사이에서 인기가 높은 것으로 나타났다. 그러나 그 효과에 대해서는 아직 의문인 부분이 더 많다.

[이미지 = iclickart]

보안 업체 라드웨어(Radware)는 최근 약 300명의 수석 경영진과 보안 책임자, 앱 개발자들과 IT 책임자들을 전 세계적으로 만나 조사했다. 애플리케이션 보안을 강화하기 위해 기업들이 실제로 하고 있는 일이 무엇인지 알아보기 위함이었다. 그 결과 상당히 많은 수의 조직들이 다양한 기술들을 혼합해 사용하고 있음을 알게 됐다고 한다. 그러나 각 앱들의 상호 호환성을 진지하게 고려하는 곳은 그리 많지 않았다.

조사 결과 발견된 내용은 다음과 같다.
1) 웹 애플리케이션 방화벽을 갖춘 조직은 75%다.
2) 클라우드 웹 애플리케이션 방화벽을 갖춘 조직은 63%다.
3) 코드 리뷰를 진행하는 조직은 59%다.
4) 동적 애플리케이션 보안 실험(DAST)과 정적 실험(SAST) 도구를 사용하는 조직은 53%다.
5) 컨테이너를 사용하는 조직들 중 절반 이상이 컨테이너 보안 툴을 보유하고 있었다.

“언뜻 듣기엔 투자가 이뤄지고 있고, 따라서 보안을 잘 하고 있는 것으로 보입니다. 하지만 이건 스파게티 면이 익었는지 보려고 벽에 던져보는 것보다 나을 것이 없는 전략입니다. 즉 던져보고 붙으면 좋고 아니면 말고, 라는 식이죠.” 라드웨어의 설명이다. “일단 이것저것 사보고 보안 강화되었기를 바라는 게 현재 조직들이 구사하는 전략의 핵심이라는 겁니다.”

라드웨어가 이렇게 말하는 것은, 저렇게 많은 보안 솔루션들이 있음에도 효과가 제대로 나타나지 않기 때문이다. “저희가 조사한 조직들 대부분 애플리케이션 보안 사고를 겪었습니다. 무려 88%가 애플리케이션 층위에서의 침해 사고를 경험했다는 것이죠. 애플리케이션 데이터가 유출된 것을 경험한 사례도 88%나 되었습니다. 가장 흔한 사고 이유는 SQL 인젝션, 디도스, 프로토콜 공격인 것으로 나타났습니다. 그 외에는 세션과 쿠키 포이즈닝, API 조작, CSRF 공격에 취약하더군요.”

라드웨어의 수석 제품 마케팅 관리자인 벤 질버만(Ben Zilberman)은 “조직들이 다양한 기술과 솔루션에 투자를 진행하고, 보안 실천 사항들을 잘 지켜도 공격이 발생하는 이유”는 다름이 아니라 “올바른 구조, 역할, 프로세스, 스킬셋을 필요에 따라 조정하는 걸 힘들어하기 때문”이라고 말한다. 활용이라는 측면에서 아직 더 숙달될 필요가 있다는 뜻이다.

라드웨어는 조직들의 대다수가 기존의 애플리케이션 모델 혹은 구조에서 탈피했다는 걸 이번 조사를 통해 발견하기도 했다. “마이크로서비스, 컨테이너, 서버 없는 인프라 등의 활용이 어느 정도 궤도에 오른 모습을 보여주었습니다.” 그러면서 그는 다음과 같은 ‘수치들’을 제시했다.

1) 67% 이상이 마이크로서비스와 컨테이너를 활용하고 있었다.
2) 90%가 데브옵스 혹은 데브섹옵스 팀을 보유하며 운영하고 있었다.
3) 데브섹옵스 팀을 보유한 조직들 중 일부는 소프트웨어 개발자 6명 당 한 명 꼴로 데브섹옵스 전문가를 배치하고 있었다.
4) 그 외 조직들은 개발자 10명 당 한 명 꼴로 데브섹옵스 전문가를 배치하고 있었다.

“이런 결과만 보면 얼마 전까지 ‘신기술’ 혹은 ‘신개념’이라고 회자되던 것들이 기업의 생산 활동에 실제적으로 많이 녹아들어 간 것을 알 수 있습니다. 이는 보다 장기적인 목표인 ‘디지털 변혁’을 이루기 위함이죠. 하지만 아직 보안을 위한 태도나 인식의 측면에서는 향상해야 할 바가 남아 있습니다. 왜냐하면 아직까지 이런 신기술의 도입 이유가 ‘혁신성’과 ‘출시 속도’에 맞춰져 있기 때문입니다.”

그래서 보안을 책임지는 것이 CISO나 CSO지만, 의외로 애플리케이션 보안은 다른 사람이 권한과 책임을 가지고 있는 경우가 많다. “여전히 IT 부서나 책임자가 애플리케이션 쪽에서 큰 목소리를 낼 수 있는 구조를 가진 조직이 다수입니다. 심지어 보안 툴의 구매를 결정하는 것에 있어서 CISO의 의견이 IT 책임자보다 덜 중요하게 고려될 때도 많습니다. 실제 환경에서 보안은 여전히 생산 활동의 하위 개념입니다.”

또한 기술에 대한 막연한 기대감이나 잘못된 개념도 보안을 갉아먹는 요소라고 한다.
1) 67%의 조직들이 오픈소스 코드가 안전하다고 답했다.
2) 68%가 마이크로서비스를 사용하는 것만으로도 보안이 강화된다고 답했다.
3) 77%가 서버레스 인프라로 구조를 바꾸면 능동적인 보안이 가능해질 것이라고 답했다.

질버만은 “기술 그 자체만 있으면 보안이 전부 해결될 것이라고 믿으려는 경향이 가장 위험하다”고 지적한다. “보안을 위한 기술은, 보안 전문가가, 숙련도와 이해도를 높인 상태에서 사용해야 제 기능을 발휘합니다. 세상 많은 것들이 그러하듯이 보안도 절대로 저절로 되는 것이 아닙니다.”

3줄 요약
1. 보안 위한 투자 늘어나고 있지만, 그저 소프트웨어만 쌓아올리고 있는 모양새.
2. 데브옵스와 데브섹옵스도 빠르게 보편화되고 있지만, 보안 아니라 출시 속도가 더 중요.
3. 솔루션 설치하면 저절로 보안이 강화된다는 마인드가 가장 위험.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)