Home > 전체기사

디지털 변혁에 속도가 붙으니, 애플리케이션이 위험해진다

  |  입력 : 2021-01-25 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나로 인해 디지털 변혁에 속도가 붙었다. 그러면서 앱들이 쏟아져 나오기 시작했다. 그런데 이 앱들의 절반 이상에서 심각한 취약점들이 나오고 있다. 내실 다질 시간, 즉 보안 강화 시간을 희생시켜서 얻은 속도였기 때문이다.

[보안뉴스 문가용 기자] 디지털 변혁 프로젝트가 점점 누구나 해야만 하는 것으로써 인식되고 있다. 좀 더 빠르고 유연하게 디지털 생태계에서 살아남으려는 기업들 사이에서 이러한 분위기는 더 노골적으로 변하고 있다. 그러나 결국 디지털 변혁의 주안점은 소프트웨어 개발의 가속이고, 속도를 중시한 디지털 변혁은 애플리케이션 보안의 질을 크게 낮출 수 있다는 우려가 보안 전문가들 사이에서 나오기 시작했다.

[이미지 = utoimage]


제조, IT, 도소매와 같은 산업들은 수많은 양의 애플리케이션들을 운영하고 있고, 따라서 취약한 애플리케이션들도 다수 존재한다고 보안 업체 화이트햇 시큐리티(WhiteHat Security)는 앱섹 스태츠 플래시(AppSec Stats Flash) 보고서를 통해 발표했다. 제조업 애플리케이션의 70%, IT 애플리케이션의 56%, 도소매 애플리케이션의 56%에서 최소 한 개 이상의 심각한 취약점이 발견되고 있다는 것이다. 그 다음으로는 정부 기관, 의료, 부동산 쪽의 애플리케이션들도 심각한 수준을 기록했다.

“열거된 산업들의 공통점은 무엇일까요? 최근 몇 년 동안 애플리케이션들을 쏟아낸 산업들이라는 겁니다. 한 조직 당 애플리케이션 수가 급격히 늘어난 산업에서 지금 애플리케이션 문제점들이 다수 등장하는 겁니다. 디지털 변혁을 가장 먼저 시도하고 있는 곳에스 부작용이 나타나는 곳이라고 볼 수 있습니다.” 화이트햇 시큐리티의 자크 존스(Zach Jones)의 설명이다. “생산과 관련된 변혁은 해냈는데, 나타는 문제들에 대한 픽스를 서두르는 부분은 간과되고 있는 곳이기도 합니다.”

디지털 변혁이 여러 산업에서 계속해서 이뤄지는 것을 봤을 때 이런 부작용들은 앞으로 더 늘면 늘었지 줄 것으로 보이지는 않는다. “디지털 변혁의 가시적인 성과는 출시하는 애플리케이션이 늘어났다는 것입니다. 즉 생산성에서는 결과물이 나타나기 시작했다는 것이죠. 그러나 출시에만 신경을 썼지 사후 관리 문제는 디지털 변혁의 일부로 보고 있지 않습니다. 빠르게 시장에는 내놔야겠는데, 그 빠르게 내놓은 것을 빠르게 고쳐놓을 생각은 못하고 있는 게 여러 기업들의 현실입니다.”

보안 업체 베라코드(Veracode)의 공동 창립자인 크리스 와이소팔(Chris Wysopal)은 “개발을 서두르는 조직들은 오픈소스 애플리케이션들을 자주 사용하려는 경향을 가지고 있다”며 “개발자들은 소프트웨어를 구성하는 모든 요소들의 취약점에도 주의를 기울여야 한다”고 지적한다. “완성되고 출시된 코드만이 문제가 아니라, 아예 처음부터 사용하는 요소들도 점검할 수 있어야 진정한 ‘데브옵스’가 될 것입니다.”

와이소팔은 오픈소스에 대해 “양날의 검”이라고 표현한다. “간편하고 저렴하며 기능성도 뛰어나 디지털 변혁의 필수 요소로서 자리 잡기 정말 좋지만, 취약점들도 내포하고 있어서 위험하기도 합니다. 오픈소스로 만들어진 앱들에서 취약점이 발견되었다고 했을 때, 많은 경우 결과물 자체보다 오픈소스가 문제가 되는 경우가 많습니다.”

앱이 많아지고 취약점이 넘쳐나니 관리가 불가능해지는 경우도 많다. 이번 화이트햇 보고서에 의하면 공공 업무, 교육 서비스, 편의시설 분야는 취약점을 패치하는 데에 평균 365일이 넘는 시간이 걸린 것으로 계산됐다고 한다. 치명적 위험도를 가졌거나 고위험군에 소속된 취약점들이 패치되는 시간은 평균 200일, 저위험군의 경우는 평균 320일로 집계됐다.

화이트팻의 존스는 “안전한 애플리케이션들을 만드는 데에 ‘인센티브’가 제공되어야 한다”며 “빠르게 출시된 앱들을 소비자들이 구매해주기 때문에 인센티브가 생기는데, 픽스와 패치를 아무리 잘 해봐야 기업 입장에서 가져갈 것이 별로 없다”고 말한다. “오히려 패치가 잦으면 소비자들이 귀찮아하죠. 이 부분에서부터 개선이 되어야 조직들과 개발자들이 패치를 잘 하게 될 겁니다.”

그러면서 존스는 “보안 패치 기한을 1달 정도로 주는 것도 비현실적”이라고 지적한다. “지금 기업들이 200일 걸리는 걸 교육과 계도를 통해 30일로 줄인다는 것도 현실을 외면하는 탁상 행정일 뿐입니다. 기한을 좀 서서히 줄일 필요가 있습니다. 그래야 픽스를 개발해야 하는 기업들이 처음부터 포기하지 않게 됩니다.”

존스는 “보기에만 아름다운 정책을 정하면 위반이 생활화 된다”며 “좋은 정책이라고 하더라도 생활 속에 안착시키는 방법을 좀 더 고민해야 한다”고 강조했다. “픽스 개발에 걸리는 시간이 200일이 현실적이라면, 이를 100일로 먼저 줄이고, 그 다음 50일로 줄이는 등 멀리 바라보고 목표에 다가가야 합니다.”

3줄 요약
1. 디지털 변혁 서둘렀던 산업은 현재 애플리케이션 양산 중.
2. 하지만 양산되는 것만큼 애플리케이션에 문제가 많아서 문제.
3. 앱 출시는 서두르지만 픽스에는 느긋한 것, 완성된 디지털 변혁 아님.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비