한 발짝 앞에서 시작하는 것이 새로운 보안경쟁력
[보안뉴스 주소형] 보안의 출발점에 변화가 생기고 있다. 기존에 보안이 ‘1’에서 시작했다면, 이제 ‘0’ 나아가 ‘마이너스’에서부터 시작하고 있다는 것. 프로그램이나 애플리케이션 등을 개발하는 단계에서부터 보안이라는 개념을 도입해야 한다는 목소리가 점점 높아지면서 이에 대한 움직임이 실제로 나타나고 있다.
하지만 ‘개발단계에부터 공격을 대비하라’는 미션은 말처럼 간단하지 않다. 모든 것을 최초로 창조해내는 작업은 그 자체만으로도 충분히 복잡하고 어려운데다가 그들이 고려해야 할 무수히 많은 항목에서 ‘보안’을 추가적으로 끼워 넣어야 하기 때문이다. 따라서 일단 개발자들이 ‘직접’ 실천하기에 현실적으로 한계가 있는 상황 등을 고려하여 그들이 보안상황을 바로바로 파악할 수 있도록 일종의 ‘도와주는’ 솔루션과 서비스가 등장하고 있다.
금주 한국에서 기자간담회를 가진 미국과 벨기에 기반의 글로벌 보안기업인 씨지탈(Cigital)과 가드스퀘어(Guard Square)도 ‘개발자들을 위한 보안’을 강조했다. 먼저 씨지탈의 경우 자사의 ‘비즘(BSIMM)’이라는 보안성숙도 진단 도구를 통해 개발자 단에서의 보안이 중요한 이유를 설명했다.
“비즘은 소프트웨어가 설계되는 단계에서부터 보안을 접목시킬 수 있다. 이는 프로그램이나 제품이 다 만들어진 상태에서 보안을 점검하는 구조가 아니라 진행과정에서 개발자가 그때그때의 현황을 파악할 수 있게 해준다. 이제 보안은 시간과도 싸워야 한다. 솔루션을 둘러싼 환경이 빠르게 변하고 있어 즉각적인 대응이 관건이기 때문이다. 비용적인 측면에서도 모든 것이 완성된 상태에서 보안을 점검하는 것은 손해다.” 씨지탈의 라지브 신나(Rajiv Sinha) 부사장의 말이다.
가드스퀘어도 마찬가지다. 가드스퀘어는 벨기에에 본사를 둔 애플리케이션 코드 난독화 전문기업인데 이들 역시 개발자들을 위한 보안 제품에 사활을 걸고 있다. 이를 위해 오픈소스 제품인 프로가드(ProGuard)와 상업용 제품인 덱스가드(DexGuard)를 동시에 제공하며 시장 점유율을 높이고 있는 모습이다.
“개발 초기단계에서부터 바로바로 보안을 도입할 수 있어야 한다. 지금의 보안 경쟁력은 보안을 한 발짝 먼저에서부터 시작하고 끝까지 끈질기게 남아있는 것이다. 해커들을 교란시키고 진화하는 위협에 제대로 대응하기 위해서는 애플리케이션마다 각각 다른 알고리즘을 적용하고 그들의 공격 패턴을 파악해야 한다. 현재 전 세계 해커들은 약 35가지 유형의 공격을 반복하고 융합하여 사용하고 있다. 공격의 골격구조는 이미 우리가 알고 있다는 것이다. 따라서 공격자와의 싸움에서 충분히 승산이 있다.” 가드스퀘어의 공동설립자이자 CTO인 에릭 라포춘(Eric Lafortune)이 말했다.
한편, 사이버 공격과 위협을 뛰어넘기 위해 이러한 보안의 출발점 뿐 아니라 끝단 또한 늘어나고 있다. 그게 바로 엔드포인트 솔루션인데, 주로 모든 기기의 엔드포인트가 되는 ‘사용자’가 그 대상이다. 이렇게 개발자 단에서 엔드유저까지 모두 보안의 영역으로 들어오면서 보안의 시작점과 종착점 사이의 길이가 점점 길어지고 있다.
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>