Home > 전체기사
‘코드 없는 개발’ 유행하고 있는 지금, 보안이 취해야 할 태도는?
  |  입력 : 2020-01-09 14:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코드를 직접 짜지 않아도 개발 가능케 해주는 플랫폼, 업체 사이에서 유행
보안에서 전문가와 비전문가 가려져...‘보안은 어떻게 되는가?’ 질문할 수 있어야


[보안뉴스 문가용 기자] 기업 내 애플리케이션 개발 분야에서 새로운 유행이 자리를 잡았다. 코드를 쓰지 않고 앱을 만드는 것이다. 이른 바 ‘로우 코드(low-code)’ 혹은 ‘노코드(no-code)’ 개발이 바로 그것이다. 이러한 개발 플랫폼들은 현재 여러 조직들에서 사용되고 있으며, 보다 적은 인원으로 빠른 앱 개발을 가능하게 만들어주는 것으로 여겨지고 있다.

[이미지 = iclickart]


그런데 코드를 사용하지 않는 개발은 안전한 걸까? 보안에 있어서 이 유행은 어떤 의미를 갖는 걸까?

로우 코드 및 노코드 플랫폼은 개발자들이 ‘로직’에 집중할 수 있게 해준다. 세부 사항과 배포, 사용자 인터페이스 등은 플랫폼이 알아서 처리해주기 때문이다. 보안 업체 버섹(Virsec)의 수석 프로그램 관리자인 비나이 나미디(Vinay Namidi)는 “로우 코드와 노코드 플랫폼들은 기술적인 배경이 출중하지 않은 사람이라도 얼마든지 앱 개발을 할 수 있게 해주는 강력한 도구”라고 말한다.

“하지만 세상에 공짜는 없죠. 로우 코드와 노코드 플랫폼도 마찬가지입니다. 기술적 배경이 부족한 사람들이 플랫폼의 강력함만을 믿고 만든 앱들은 거의 전부 보안 상태가 엉망입니다. 그런 데서 제대로 된 전문가인가 아닌가가 드러납니다. 즉 개발이 쉬워져도 ‘보안’만큼은 아직 대중화가 멀었다는 겁니다.”

또 문제가 되는 건, 로우 코드 및 노코드 플랫폼들 자체가 ‘보안은 맨 나중에 제품을 완성시키고 덧대는 것’이라는 개념으로 만들어졌다는 것이다. “플랫폼 개발자들부터가 ‘시큐어 코딩’이라는 걸 크게 중요치 생각하지 않은 게 티가 납니다.” 보안 업체 시퀀스(Cequence)의 상주 해커 제이슨 켄트(Jason Kent)의 지적이다.

보안 업체 스택록스(StackRox)의 공동 창립자인 알리 골샨(Ali Golshan)은 “개발 인력이 적고 세분화 되지 않은 작은 조직에서, 사업이나 주요 서비스와 직결되지 않는 앱을 개발하는 것이라면 로우 코드나 노코드 플랫폼을 사용하는 게 괜찮다”는 의견이다. “그런 앱들이라면 보안을 나중에 추가해도 크게 나쁠 것 없기 때문”이다.

“심지어 가장 흔히 나타나는 소프트웨어 취약점은 로우 코드와 노코드 플랫폼에서 해결해주기도 합니다. 입력값에 대한 확인 절차를 넣지 않는다든가, 코드 무결성을 확인하지 않아서 발생하는 보안 사고가 정말 많죠. 기본적인 절차인데 전문 개발자들도 깜빡 잊는 경우가 많습니다. 개발 플랫폼들은 이런 ‘최소한의’ 절차를 해결해주기 때문에 오히려 보안에 도움이 될 수도 있습니다.” 보안 업체 주니퍼 네트웍스(Juniper Networks)의 위협 연구 책임자인 무니르 하하드(Mounir Hahad)의 설명이다.

또 하나 기억해야 할 건 “이런 플랫폼을 통해 만든 앱에서 보안 취약점이 발견되었을 때, 그 책임은 여전히 개발자, 즉 사용자에게 있다는 것”이다. 보안 사고가 발생한다고 하더라도, 플랫폼 제공 업체는 책임을 지지 않는다. “당연한 사실인데, 이걸 모르거나, 아예 보안까지 플랫폼에 다 맡겨버리는 경우가 허다합니다.”

하하드는 “개발 플랫폼을 사용하든 안 하든, 결국 애플리케이션 보안을 강화하는 작업에는 변함이 없다”고 말한다. “여전히 취약한 부분에 대해서는 패치를 개발하고, 서드파티 코드를 점검해야 하는 책임은 개발사에 있습니다.” 즉, 보안마저 개발처럼 쉽고 편하게 되지 않는다는 ‘마인드셋’을 유지해야 노코드 플랫폼을 안전하게 사용할 수 있다는 것이다.

그래서 나미디와 같은 전문가는 “노코드 플랫폼이 위험할 수 있다”고 경고한다. “로우 코드나 노코드 플랫폼을 사용하면 생산성이라는 측면에서 확실히 좋아집니다. 하지만 보안 강화 절차가 이 속도를 따라오지 못해요. 생산성‘만’ 좋아지는 거라고 할 수 있죠. 그러면서 가시성이 약화되고 오히려 사고의 가능성은 높아질 수 있습니다. 그러므로 노코드 플랫폼을 사용하기에 앞서 정확한 전략과 계획을 세워야 할 필요가 있습니다. 노코드가 제공하는 속도를 계획 없이 즐기다가는 휩쓸리기 십상입니다.”

골샨도 “그러한 플랫폼 내에서 어떤 일이 벌어지고 있는지, 그러한 플랫폼으로 만들어진 애플리케이션이 어떠한 원리로 작동하는지 정확히 이해하고 있어야 한다”고 강조한다. 그러면서 “마이크로서비스가 활성화된 클라우드 환경에서 노코드 애플리케이션을 구축 및 운영하는 게 여러모로 유리하다”고 귀띔했다.

그만큼 개발 팀과 보안 팀의 협력 관계가 중요하다는 의견도 나온다. 시퀀스의 제품 마케팅 책임자인 맷 케일(Matt Keil)은 “여러 잡음이 나올 것이 분명하지만, 반드시 이뤄내야 할 부분”이라고 주장한다. “사실 노코드 플랫폼을 회사에서 공식적으로 사용한다고 선포하는 것에서부터 두 부서 간 파트너십은 필수불가결의 요소가 됩니다. 개발 속도가 너무 빨라서 그 누구도 주체할 수 없게 되니, 둘이 손을 잡을 수밖에 없습니다. 개발자나 보안 담당자나 조금은 넓은 마음으로, 공동의 적에 대항한다는 기분으로 대화를 나눠야 합니다.”

켄트는 “앱 개발과 생산이라는 측면에서 앞으로 많은 투자가 이뤄지고 실제적인 발전이 있을 것은 자명한 사실”이라고 말한다. “로우 코드와 노코드 플랫폼도 그러한 현상이 구체화 된 것일 뿐입니다. 더한 것들이 미래에 나오겠죠. 하지만 그럴 때마다 누군가는 ‘그래서 보안은?’이라고 물을 수 있어야 합니다. 그런 사람을 조직에 두는 것이 반드시 필요합니다.”

3줄 요약
1. 최근 인기 높아지고 있는 로우 코드와 노코드 개발 플랫폼.
2. 개발 속도 크게 높아지는 건 사실이지만, 그 사이로 보안이 새나가기도 함.
3. 개발자와 보안 담당자 사이의 긴밀한 협업이 점점 더 요구되는 때.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)