애플리케이션 보안의 현재 상황, 갈수록 악화되고 있어

애플리케이션 보안, 앞으로 클라우드, 데브옵스 등도 아우르는 개념 될 것
문제는 예산...애플리케이션 보안 제대로 할 사람 부족...현재 인력은 번아웃

[보안뉴스 문가용 기자] 소프트웨어 보안을 걱정하는 목소리가 높아지고 있지만, 아직도 애플리케이션을 단단하게 보호하는 것에 있어 제대로 된 노력을 하고 있지 않은 조직이 대부분이라는 소식이다. 특히 사이버 보안 책임자가 애플리케이션 보안에 제대로 배정되지 않는다는 조사 결과가 나와 충격을 주고 있다.

[이미지 = iclickart]

11월 21일 소프트웨어 보안 전문 업체인 화이트햇 시큐리티(WhiteHat Security)가 발견한 바에 의하면 “개발자들의 3/4가 자신들이 만들거나 사용하는 애플리케이션의 보안 문제를 걱정하고 있고, 7/8이 보안이 개발 과정에서 대단히 중요하게 고려되어야 할 요소라고 꼽고 있다”고 한다. 하지만 정작 개발 과정의 보안을 전담할 고급 인력이 배치된 곳은 절반 정도뿐이다. 마감 시간에 맞추는 게 보안을 탄탄히 하는 것보다 더 중요하다는 문화도 여전히 팽배하다.

“보안을 강화하려는 개발자들의 염려와 고민은 상승 궤도에 올라가 있습니다. 문제는 염려와 고민에서만 그친다는 것이죠. 실제로 행동하는 데 이르기까지는 아직 많은 시간이 남아있는 것으로 보입니다.” 화이트햇의 CSO인 조셉 페이만(Joseph Feiman)의 설명이다. “사이버 방어진을 구축하는 데 있어 대부분의 조직에서 최전선을 담당하고 있는 사람들은 개발자입니다. 조직 차원에서 이들에게 알맞은 무기와 도구를 제공해야 합니다.”

보안 업체 트렌드 마이크로(Trend Micro)의 사이버 보안 부문 부회장인 그렉 영(Greg Young)은 “IT 예산 대부분이 IT와 직접적인 상관이 있는 데에만 사용되는 게 과거였다면, 데브옵스 등 IT와 직접적인 관련이 없는 곳에도 예산이 분포되고 있다는 게 요즘”이라고 설명한다. “이런 현상을 이끌어 낸 데에는 보안도 적잖은 역할을 했습니다. 기업들은 이제 점점 더 보안이 약하고 강한 게 아니라, 있느냐 없느냐의 기준으로 판단 될 것입니다. 보안을 잘 하는 기업, 못 하는 기업을 넘어, 보안을 하는 기업 안 하는 기업으로 나뉜다는 것이죠.”

그러면서 영은 “보안은 애플리케이션 보안, 클라우드 보안, 데브섹옵스 등으로 세분화될 것”이라고 설명을 이어갔다. “애플리케이션 보안을 강화한다는 건, 현재 트렌드에 비춘다면 컨테이너와 워크로드 보안 자동화 툴 등을 활용해 데브옵스에 보안을 필수 요소로 추가하는 것을 말합니다. 여기에 그런 앱들이 클라우드에서도 안전하게 활용될 수 있도록 하는 것 역시 포함될 것이고요. 즉 ‘보안을 하는 기업’이라면 애플리케이션 보안에서 강점을 분명히 나타낼 것이라는 뜻입니다. 반대로 ‘보안을 하지 않는 기업’이라면 예전 보안 모델을 사용하는 기업이 되겠죠.”

애플리케이션 보안을 제대로 해야 한다는 압박이 기업에게 가해질 예정인데, 이 때 심각한 문제가 되는 건 클라우드, 데브옵스, 애플리케이션 개발을 두루두루 이해하고 있는 사람을 구하는 게 힘들다는 것이다. 영은 “데브옵스에 보안을 반드시 추가하는 기업들은 꽤나 튼튼한 앱을 만든다”고 말한다. “하지만 그런 기업들은 데브옵스 보안 전문가에게 엄청난 비용을 지불합니다. 그럴 여유가 없는 기업들이 현실 속에는 어마어마하게 많겠죠. 그게 지금 앱 환경의 가장 큰 문제가 아닐까 합니다.” 화이트햇 시큐리티의 CTO인 안토니 베티니(Anothony Bettini)의 설명이다.

“애플리케이션 보안 전문가를 고용할 여력이 있는 회사는 그렇게 하면 됩니다. 하지만 그럴 여력이 되지 않는 회사라면 어떻게 해야 할까요? 현재 그런 기업들은 내부에서 보안에 가장 가까운 업무 역량을 가진 사람을 뽑아 애플리케이션 보안을 공부하도록 하고 일을 맡깁니다. 혹은 외부에서 주니어 레벨의 애플리케이션 보안 전문가를 잠시 동안 고용하는 곳도 있습니다. 둘 중 어떤 게 더 나은지 말할 근거는 부족합니다. 기업 사정과 프로젝트의 성격에 따라 알맞은 것을 선택하면 될 듯 합니다.”

또 다른 문제가 있다면 보안 전문가라는 타이틀을 이미 가지고 있는 사람의 절반 이상(52%)이 ‘번아웃 증후군’을 앓고 있다는 것이다. 화이트햇 시큐리티는 “인재를 확보하기 힘든 것도 문제인데, 이미 현장에 있는 인재들조차 살인적인 업무량에 지치고 있어서 제대로 효율을 내지 못한다는 것도 큰 문제”라고 지적했다.

그런 가운데 새로운 위협들도 빠르게 등장하고 있어서 긴장감을 더하고 있다. “최근 API를 통해 들어오는 위협 요소들도 적잖은 걱정거리가 되고 있습니다. 하지만 API 보안은 아직까지 꽤나 생소한 분야입니다. 제대로 된 대처를 하는 게 쉽지 않은 상황입니다.” 실제 API 서버를 통한 해킹 시도를 경험한 기업이 1/4 이상이라고 한다. 경험을 못한 나머지 중 16%는 공격 시도가 있었는지 없었는지 확인할 수 없는 상태다.

보안 업체 클라우드벡터(CloudVector)의 엔지니어이자 부회장인 라비 발루파리(Ravi Balupari)는 “아마 우리가 모르는 위협은 더 많을 것이고, 따라서 우리가 미처 헤아리거나 알아채지 못하는 공격이 벌어지고 있을 가능성이 매우 높다”고 말한다. “사실 우리가 지금 이러쿵저러쿵 하는 보안 위협들은 빙산의 일각도 되지 않을 것입니다. 현재 네트워크와 인터넷 망에 대한 가시성은 형편없는 수준이거든요.”

그래도 좋은 소식이 아주 없는 건 아니다. 이번 화이트햇 시큐리티의 조사 결과 개발 팀의 82%가 자신들이 만드는 소프트웨어를 최소 한 달에 한 번 스캔한다고 한다.

3줄 요약
1. 애플리케이션 보안, 기업의 신뢰도를 좌지우지 하게 될 지표.
2. 하지만 보안 강화할 인재가 부족한 상황. 현 인재들은 번아웃 상태.
3. 새롭게 떠오르는 보안 위협들도 문제. 특히 API.
[국제부 문가용 기자(globoan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)