개발자들 대부분에게 앱 개발 환경은 너무나 가혹
해킹에 능동적으로 대처하는 대신 기본 수칙 지키는 쪽으로

[보안뉴스 문가용] 애플리케이션 개발 속도가 점점 빨라지고 있다. 그런데 그 빠른 와중에 보안은 제대로 지켜지고 있을까? 분명 출시한 후에 문제가 발생되면 수정하는 데에 자금과 인력을 다시 투자해야 되고, 발표를 하는 데에 늦기라도 하면 온갖 원성을 들어야 하는데도 애플리케이션들은 여전히 허약하기만 하다.



우리가 꿈꾸는 완벽한 애플리케이션이란 코딩 단계에서부터 안전하고, 취약점 검사란 검사는 모두 통과하며 제로데이 공격을 영원히 받지 않는 것을 말한다. 하지만 이는 정말 ‘꿈’일뿐 현실에는 단 하나도 존재하지 않는다. 게다가 애플리케이션 개발 속도가 점점 높아지다 보니 개발자들은 이미 오래 전에 개발한 애플리케이션의 보안 구멍을 막고 업데이트를 내놓는 걸 귀찮고 하찮은 일이라고만 여긴다. 보안 때문에 새 앱 개발이 늦춰진다고 생각한다.

최근 프레보티(Prevoty)라는 보안 업체는 200명이 넘는 애플리케이션 및 소프트웨어 개발자들을 대상으로 서베이를 실시했다. 응답자의 70%는 보안과 관련된 걱정거리란 결국 업데이트를 계속 내놔야 한다는 부담감이라고 답했으며 85%는 취약점 해결하다보면 제때 신상품을 내놓지 못한다고 답했다. 이는 기업에게 심각한 타격이라는 관점이다.

결국 개발자로서는 앱도 개발하고, 업데이트도 개발하고, 버그 픽스도 개발해야 한다. 결론적으로 이번 설문에 응한 응답자 중 반 이상이 일주일에 하나에서 두 개의 완성물을 내놓아야 하는 입장이라고 답했다. 일주일에 뭔가의 개발을 하나씩 꼬박꼬박 마친다는 것은 그 자체로 말도 안 되는 스케줄이다. 그럼에도 ‘앱의 보안 문제가 반복되면 고객의 신뢰를 잃는다’는 압박감까지 있어 스트레스가 이만저만이 아니라는 응답자는 80%가 넘었다.

그렇다고 해서 이런 업계의 고질적인 업무 환경 여건만이 앱 취약점을 증식시키는 요인은 아니다. 애플리케이션의 취약점 자체도 계속 발전하고 있으며 그 형태도 계속해서 변하고 있어서 예측은커녕 잡아내기도 쉽지 않은 게 사실이다. 게다가 컴퓨터를 잘 한다고 하니 모두 같은 부류라고 생각하는데, 개발자와 해커와 보안 전문가는 전혀 다르다. 그러니 개발자가 해커들의 전략과 기술을 익혀 방어까지 완벽히 해나가며 코딩을 할 수는 없는 것이다.

그래서 이렇게 짧은 개발 주기에 맞춰가면서 동시에 보안을 강화하려고 개발자들은 여러 보안 수칙들을 정해놓고 지키려고 하는 편이다. 앱 취약점 스캔, 침투 테스트, 사내 보안 담당자들과의 협업 등이 바로 그것이다. 다행히 앱 발표 전에 이러한 과정을 거친다고 답한 사람은 전체 응답자의 82%나 되었다.

하지만 이 82%에 안도하면 안 된다. 왜냐하면 실험을 하기는 하지만 그 실험을 통해 발견된 취약점을 고치지 않은 채 사업계획 그대로 앱을 시장에 내놓는 경우가 태반이기 때문이다. 설문 응답자의 절반 정도가 이러한 사실을 인정했다. 적어도 프로젝트의 80%가 이렇게 불안전한 상태로 소비자들을 만난다고 한 것이다. 이는 꽤나 높은 수치로 기업의 양심을 물을 수밖에 없는 지경이다.

아직도 데이터 유출 사고가 얼마나 위험한지 모르는 사람은 없다. 또한 최근 들어 이런 사고가 얼마나 자주 일어나는지도 어느 정도는 다 알고 있을 것이다. 사건 하나로 회사 문을 닫을 수 있는 공격이라면 기업 입장에서 가장 우선순위에 놓고 대처법을 강구하는 것이 자연스러울 것이다. 그러나 그것이 앱을 만들어내는 게 주 임무인 개발자들의 책임이 되어서는 안 될 것이다. 사이버 사고는 부서와 직책을 막론하고 조직 전부에게 영향을 미치는 사건이다. 크게 보고 크게 대처하는 것이 필요하다.
글 : 줄리엔 벨란저(Julien Bellanger)



Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>