독특한 교육과 평가 콘텐츠 가지고 보안 시장에 뛰어들어
콘텐츠도 뛰어나야 하지만 받아들이는 사람의 마음가짐이 더 중요
[보안뉴스 문가용] 사람은 어떻게 바뀌는 것일까? 가장 효율이 좋은 보안은 어떤 것일까? 아무리 좋은 툴을 만들고 아무리 강력한 정책을 통과시켜도 마치 평생을 감기를 달고 살아 면역체계가 갖춰져도 아주 약간 변형된 바이러스에 당하는 것처럼 새로운 멀웨어 등장에 업계 최신 기술을 총망라한 툴들도 무용지물이 되고 업계 전체가 흔들흔들거린다. 대기업이고 신규사업자고 할 것 없이 패치 내기에 급급하고 요즘은 그 패치도 완전치 않아 패치의 패치도 등장하고 있다.
▲ 아예 처음부터 설계를 잘 해야 나중이 편하다.
그래서 각종 온라인 서비스들은 제때 암호를 좀 바꾸라고 경고 창을 띄우지만 사용자들은 다음에 바꾸고 만다. 회사 내 누군가는 꼭 스팸 메일을 열어보고, 심지어 힐러리 클린턴이라는 유력한 미국 대선후보도 개인 메일과 공무 메일을 구분 없이 쓰다가 구설수에 올랐다. 보안업계에서 제일 많이 올라오는 칼럼의 주제는 의외로 ‘사람’일 정도다.
이런 가운데 모바일이나 일반 사무 및 비즈니스 환경에서 사용자들의 편의성을 높여주는 애플리케이션들이 끊임없이 등장하고 있다. 그리고 이 애플리케이션들은 사용자의 편의성을 늘여주는 것만큼 해커의 해킹 창구 역할도 제대로 하고 있다. 해커들 입장에선 어디론가 들어갈 문이 날마다 늘어가는 꼴이다. 사람이 문제인데, 이런 사람이 만들고 쓰는 애플리케이션에서 잡음이 나지 않는다면 그게 더 이상할 게다.
그래서 씨지탈(Cigital)에서는 애플리케이션 보안을 향상시키기 위해 사람에 집중하기로 했다. 특히 애플리케이션 개발자들을 대상으로 한 보안 교육을 실시했다. “보안의 문화화가 이루어지지 않는다면 제품 출시 후 사고 발생이 일어나고 그에 대한 패치가 뒤늦게 나오는 악순환이 계속해서 이루어질 수밖에 없다고 판단했습니다. 비용 면에서도 비효율적이며 보안의 측면에서도 마찬가지입니다. 개발 단계에서부터 보안을 철저히 생각하면 훨씬 안정적이면서도 보안에 드는 비용도 크게 줄일 수 있다고 믿었고, 그것을 지난 수년간 증명해왔습니다.” 씨지탈의 부사장인 라지브 신하(Rajiv Sinha)의 설명이다.
“개발자들의 사고방식(mindset) 자체를 바꾸지 않으면 시큐어 코딩이 아무리 강조되어도 큰 효력을 발휘할 수 없죠. 그래서 그 부분에 대한 고민을 했습니다. 결국 기업 전체에 바탕이 되는 공통의 보안정서가 형성이 되어 있어야 하고, 보안에 대한 소통이 원활해야 한다는 결론에 이르렀고요.” 단지 보안이 중요하다는 인식이 아니라 구체적으로 어느 정도 선까지는 지켜야 한다는 가시적인 목표가 있고 그에 대한 대화가 있어야 지키기도 쉽다는 것이다. “그래서 제일 먼저 시작하는 건 ‘보안의 언어’를 가르치는 겁니다. 예를 들어 XSS라는 용어는 정보보안 전문가들은 알지만 개발자들은 잘 모릅니다. 같은 용어를 쓰고 대화를 하는 게 소통의 첫 걸음이라고 봤습니다.”
씨지탈에서 집중하는 분야가 정보보안의 여러 분야 중에서도 특히 애플리케이션 보안이기 때문에 교육 과정이 주로 개발자를 대상으로 하고 있지만 “보안에 대한 짐은 기업 내 모든 인원이 나눠져야 하는 것”이기 때문에 일반 사용자들을 위한 기초 코스도 제공한다. 또한 소규모 사업장에서야 날을 잡아 오프라인 강의를 듣는 게 어렵지 않지만 개발 부서만 수십에서 수백 명이 되는 대기업에서는 사실상 ‘공통의 정서’나 ‘문화’를 형성하기 위한 한 교육을 진행하기가 어렵다는 것에 착안, 온라인 형태로 교육을 진행한다. “접근이 용이하다는 점이 사고방식의 변화에 큰 역할을 했습니다.”
하지만 아무리 교육 내용이 훌륭해봐야 그것이 책 안에만 머무르면 학생의 고개를 끄덕이게 할 수 있을지는 몰라도 실제 삶을 바꾸지는 못한다. 씨지탈은 보안의 생활화가 얼마나 간편하고 편리한지 직접 보여주기 위해 CSA(Cigital Secure Assist)라는 툴을 개발해 코딩작업을 실시간으로 분석해 보안성을 높였다. “CSA는 실시간으로 보안점검을 해주기 때문에 개발자들이 별다른 불편함 없이 보안을 몸에 익힐 수 있도록 해주었습니다. 수업 시간에 보안에 대해 교육을 받고, 실제 업무 중에 보안의 편리함을 몸으로 익히니 보안이라는 문화가 빨리 형성될 수 있었습니다.” 결국 사람은 체험을 통해 바뀌고, 그 체험이 쉬우면 쉬울수록 변화의 속도가 높다는 것이다.
씨지탈은 올해부터 엔시큐어를 통해 한국 시장에 자신들의 콘텐츠를 공개할 계획이다. 이미 영어로는 공개되어 있는 교육 콘텐츠는 한글화 및 현지화를 거쳐 하나하나 제공될 것이며, 또한 씨지탈이 자체 개발한 평가 모델인 BSIMM(Build Security in Maturity Model)도 함께 도입할 예정이다. BSIMM은 ‘애플리케이션 보안 성숙도 진단’으로 인터뷰, 자체 기술팀 운영, 자산 점검 등을 통해 기업의 애플리케이션 보안의 현 상태를 정확하게 파악해 잘 하고 있는 부분은 어디인지, 더 보완해야 할 부분이 어디인지 평가하고 알려준다. 이와 더불어 BSIMM에 참여한 모든 회원 기업들의 보안 성숙도를 종합한 보고서도 함께 제공되기 때문에 전체 지형 파악에도 상당히 도움이 된다. “물론 각 업체의 상세 정보는 해당 업체에게만 제공됩니다.” 보안 정보가 워낙에 민감하기 때문에 철저하게 비공개를 원칙으로 하고 있으며 그래서 BSIMM은 회원제로 운영된다. “한국에서도 이는 마찬가지일 것입니다.”
▲ 왼쪽이 엔시큐어의 손장군 이사, 오른쪽이 라지브 신하 씨지탈 부사장
평가를 통해 객관적인 자가진단을 한 후에나 교육을 통해 보안에 대해 더 잘 알게 된 후에나 결국은 사람이 바뀌어야 진정한 효과가 있다고 볼 수 있을 것이다. “1992년에 이 사업을 시작했으나 공격적으로 사업을 확장시킨 건 2005년부터였습니다. 그만큼 변화에 이르는 데에 시간이 상당히 걸린다는 것이죠. 대신 그 긴 시간 동안 변화를 지켜보며 저희 안에는 자신감이 쌓였습니다.”
“몇 년 째 지켜보니 나는 이미 다 알고 있다는 자세를 고집하는 이들과 변화를 두려워하는 이들은 대체로 바뀌지 않더군요. 마음이 열려야 변화를 빨리 수용합니다. 그건 어느 분야나 마찬가지겠지요.” 한 번에 모든 보안을 책임질 수 있다는 최신 툴의 소식이 아니라 조금은 길게 보자는 새로운 보안 솔루션의 등장이 신선하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>