사물인터넷 시대, 소프트웨어의 질에 대한 고민 깊어져
이미 드러난 문제들 차근차근 해결해 나가야
[보안뉴스 문가용] 스마트 하드웨어라고 해도 결국 그 안에 장착된 소프트웨어만큼의 성능만 발휘할 뿐이다. 소프트웨어가 불량이면 아무리 공들여 한 땀 한 땀 깎아 만든 하드웨어라 하더라도 한계가 금방 드러난다. 안전한 코딩을 하지 않아서 벌어진 사건 사고들을 우린 하루에도 얼마나 많이 접하고 있는가. 애플리케이션 자체에 대한 신뢰가 점점 낮아지고 있을 정도다.
사물인터넷 시대가 열리면서 이는 더 큰 악재로 작용하고 있다. 집주인이 방에 들어오면 자동으로 전등이 들어오는 시스템이라면 설사 오작동이 난다고 하더라도 별 문제가 없지만 화재 발생 시 물을 뿌려주는 장치나 약한 심장에 달려 심장박동수를 채워주는 기기라면 엄청난 재산, 심지어 인명 피해까지도 발생할 수 있다. 이런 시대에도 소프트웨어 혹은 애플리케이션을 믿을 수 없다면, 그것은 대단한 비극이 아닐 수 없다.
재미있는 건 사물인터넷 시대라는 새로운 때가 다가오면서 새로운 문제가 발생하는 건 아니라는 것이다. 이미 알고 있는 문제들이 수면 위로 드러나고 있는 게 현재까지의 상황이다. 예를 들어 원격 공격이나 내부자 공격을 모두 다룰 수 있는 전체적이고 광범위한 보안 강구책이 필요하다는 걸 모르는 기업이 어디 있었을까? 다만 사물인터넷 시대가 되면서 보안의 영역이 더 광범위해졌을 뿐이다.
또한 애플리케이션 개발 과정을 되도록 짧게 가져가려는 운영진의 마찰 역시 사물인터넷 시대의 보안문제로 인해 더욱 노골적으로 불거지고 있다. 속도와 질, 둘 사이의 간극을 사물인터넷이 주는 문제의 본질이라고 분석하는 이들도 있을 정도다. 이런 때 개발자들이 할 수 있는 일은 무엇일까? 사물인터넷 시대를 살아가야 하는 개발자들을 위한 수칙 5가지를 꼽아보았다.
수칙 1 : 코드 검토를 반복적으로 하는 걸 습관화하고, 이를 개발 과정의 가장 중요한 순위로 넣어라. 그렇게 하려면 하드웨어 제작자들도 사물인터넷 시대에 소프트웨어가 얼마나 중요한지 알고, 소프트웨어 개발 과정을 보다 엄격히 가져가는 걸 이해할 수 있도록 설득해야 한다.
수칙 2 : 소프트웨어의 기능성도 중요하지만 보안성도 대단히 중요하다. 사물인터넷 환경, 즉 초연결 환경에 제품을 내놓는다는 건 자사의 보안 철학과 기술력이 대중에게 발가벗은 채로 드러난다는 것과 같다. 또한 요즘에는 꾸준하고 재빠른 업데이트 제작 및 배포 능력도 필수이며, 이 또한 대중들의 눈에 고스란히 드러난다. 이런 걸 전부 다 소화해내려면 어떻게 해야 할까? 제일 먼저 해야 할 일은 소프트웨어에 대한 지속적인 모니터링이다. 이미 출시된 것이라도 지속적으로 모니터링 하는 것이 반드시 필요하다.
수칙 3 : 이제 소프트웨어에서 발생한 보안 문제를 개발자의 책임으로만 돌릴 수는 없는 때가 되었다. 운영진들도 비슷하거나 더 막중한 책임을 나눠 맡아야 한다. 사실 일반 소비자들이 어떤 앱을 통하여 보안 사고를 겪었을 때, 보통 앱을 개발한 회사를 비판하지 그 안에서 근무하는 개발자의 이름을 언급하지는 않는다. 이를 일개 개발자가 어떻게 인지시켜야 할까? 자신의 회사와 비슷한 곳이나 경쟁회사, 혹은 산업 전체에서 좋은 예를 찾아 벤치마킹하는 걸 추천한다. 보안 시스템이나 네트워크에 변화가 있다면 경영진에서 먼저 물어올 것이다. 혹은 변화를 도입하기 전 승인을 받기 위해서도 경영진과 이야기를 한번쯤은 나눌 수밖에 없다. 그 기회를 잘 포착해야 한다.
수칙 4 : 개발자들 자신도 보안이 좀 더 강력하게 부각되는 산업을 들여다보고 공부할 필요가 있다. 예를 들어 금융기관이나 공공 산업시설, 항공산업 같은 곳이 좋은 예다. 이런 산업에 속한 조직들은 정말 숨도 쉬기 힘들 정도로 보안을 강조해온 것으로 유명하다. 최근엔 대형 게임사도 그렇다. 그런 기업들은 보안을 어떻게 그렇게 철저하게 지키는지 조사하고 자신의 삶과 작업에 적용해보면 큰 도움이 될 것이다. 보안은 아무리 철저해도 나쁠 게 없다.
수칙 5 : 꾸준히 설파하고 다녀라. 소프트웨어의 보안이 얼마나 중요한지 틈만 나면 교육하면 그것이 어느 날 돌고 돌아 자신에게 이득이 된다. 한 번에 변하는 사람은 없다. 한 번에 변하는 시스템도 없다. 계속해서 여러 번 치고 들어가야 한다. ‘소프트웨어, 이제 보안의 질을 높여야 한다’고 작은 목소리로, 그러나 반복적으로 강조하라.
물론 소프트웨어 환경은 앞으로도 영원히 100% 안전하지는 않을 것이다. 어쩌면 지금보다 더 낮은 방어 성공률을 보일 수도 있다. 하지만 그렇다 해도 자기의 자리에서 할 것을 하는 게 중요하다. 사물인터넷의 빠른 성장 덕분에 오히려 보안의 기초부터 다시 닦아나갈 수 있기 때문이다. 마침 여러 가지 법과 정책도 바뀌고 있는데, 컴플라이언스도 지킬 겸 성과 없어 보이는 보안 수칙들을 미리부터 몸에 익혀나가는 게 그리 나쁜 준비는 아닐 것이다.
글 : 레브 레소킨(Lev Lesokhin)
.jpg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
이미 드러난 문제들 차근차근 해결해 나가야
[보안뉴스 문가용] 스마트 하드웨어라고 해도 결국 그 안에 장착된 소프트웨어만큼의 성능만 발휘할 뿐이다. 소프트웨어가 불량이면 아무리 공들여 한 땀 한 땀 깎아 만든 하드웨어라 하더라도 한계가 금방 드러난다. 안전한 코딩을 하지 않아서 벌어진 사건 사고들을 우린 하루에도 얼마나 많이 접하고 있는가. 애플리케이션 자체에 대한 신뢰가 점점 낮아지고 있을 정도다.
사물인터넷 시대가 열리면서 이는 더 큰 악재로 작용하고 있다. 집주인이 방에 들어오면 자동으로 전등이 들어오는 시스템이라면 설사 오작동이 난다고 하더라도 별 문제가 없지만 화재 발생 시 물을 뿌려주는 장치나 약한 심장에 달려 심장박동수를 채워주는 기기라면 엄청난 재산, 심지어 인명 피해까지도 발생할 수 있다. 이런 시대에도 소프트웨어 혹은 애플리케이션을 믿을 수 없다면, 그것은 대단한 비극이 아닐 수 없다.
재미있는 건 사물인터넷 시대라는 새로운 때가 다가오면서 새로운 문제가 발생하는 건 아니라는 것이다. 이미 알고 있는 문제들이 수면 위로 드러나고 있는 게 현재까지의 상황이다. 예를 들어 원격 공격이나 내부자 공격을 모두 다룰 수 있는 전체적이고 광범위한 보안 강구책이 필요하다는 걸 모르는 기업이 어디 있었을까? 다만 사물인터넷 시대가 되면서 보안의 영역이 더 광범위해졌을 뿐이다.
또한 애플리케이션 개발 과정을 되도록 짧게 가져가려는 운영진의 마찰 역시 사물인터넷 시대의 보안문제로 인해 더욱 노골적으로 불거지고 있다. 속도와 질, 둘 사이의 간극을 사물인터넷이 주는 문제의 본질이라고 분석하는 이들도 있을 정도다. 이런 때 개발자들이 할 수 있는 일은 무엇일까? 사물인터넷 시대를 살아가야 하는 개발자들을 위한 수칙 5가지를 꼽아보았다.
수칙 1 : 코드 검토를 반복적으로 하는 걸 습관화하고, 이를 개발 과정의 가장 중요한 순위로 넣어라. 그렇게 하려면 하드웨어 제작자들도 사물인터넷 시대에 소프트웨어가 얼마나 중요한지 알고, 소프트웨어 개발 과정을 보다 엄격히 가져가는 걸 이해할 수 있도록 설득해야 한다.
수칙 2 : 소프트웨어의 기능성도 중요하지만 보안성도 대단히 중요하다. 사물인터넷 환경, 즉 초연결 환경에 제품을 내놓는다는 건 자사의 보안 철학과 기술력이 대중에게 발가벗은 채로 드러난다는 것과 같다. 또한 요즘에는 꾸준하고 재빠른 업데이트 제작 및 배포 능력도 필수이며, 이 또한 대중들의 눈에 고스란히 드러난다. 이런 걸 전부 다 소화해내려면 어떻게 해야 할까? 제일 먼저 해야 할 일은 소프트웨어에 대한 지속적인 모니터링이다. 이미 출시된 것이라도 지속적으로 모니터링 하는 것이 반드시 필요하다.
수칙 3 : 이제 소프트웨어에서 발생한 보안 문제를 개발자의 책임으로만 돌릴 수는 없는 때가 되었다. 운영진들도 비슷하거나 더 막중한 책임을 나눠 맡아야 한다. 사실 일반 소비자들이 어떤 앱을 통하여 보안 사고를 겪었을 때, 보통 앱을 개발한 회사를 비판하지 그 안에서 근무하는 개발자의 이름을 언급하지는 않는다. 이를 일개 개발자가 어떻게 인지시켜야 할까? 자신의 회사와 비슷한 곳이나 경쟁회사, 혹은 산업 전체에서 좋은 예를 찾아 벤치마킹하는 걸 추천한다. 보안 시스템이나 네트워크에 변화가 있다면 경영진에서 먼저 물어올 것이다. 혹은 변화를 도입하기 전 승인을 받기 위해서도 경영진과 이야기를 한번쯤은 나눌 수밖에 없다. 그 기회를 잘 포착해야 한다.
수칙 4 : 개발자들 자신도 보안이 좀 더 강력하게 부각되는 산업을 들여다보고 공부할 필요가 있다. 예를 들어 금융기관이나 공공 산업시설, 항공산업 같은 곳이 좋은 예다. 이런 산업에 속한 조직들은 정말 숨도 쉬기 힘들 정도로 보안을 강조해온 것으로 유명하다. 최근엔 대형 게임사도 그렇다. 그런 기업들은 보안을 어떻게 그렇게 철저하게 지키는지 조사하고 자신의 삶과 작업에 적용해보면 큰 도움이 될 것이다. 보안은 아무리 철저해도 나쁠 게 없다.
수칙 5 : 꾸준히 설파하고 다녀라. 소프트웨어의 보안이 얼마나 중요한지 틈만 나면 교육하면 그것이 어느 날 돌고 돌아 자신에게 이득이 된다. 한 번에 변하는 사람은 없다. 한 번에 변하는 시스템도 없다. 계속해서 여러 번 치고 들어가야 한다. ‘소프트웨어, 이제 보안의 질을 높여야 한다’고 작은 목소리로, 그러나 반복적으로 강조하라.
물론 소프트웨어 환경은 앞으로도 영원히 100% 안전하지는 않을 것이다. 어쩌면 지금보다 더 낮은 방어 성공률을 보일 수도 있다. 하지만 그렇다 해도 자기의 자리에서 할 것을 하는 게 중요하다. 사물인터넷의 빠른 성장 덕분에 오히려 보안의 기초부터 다시 닦아나갈 수 있기 때문이다. 마침 여러 가지 법과 정책도 바뀌고 있는데, 컴플라이언스도 지킬 겸 성과 없어 보이는 보안 수칙들을 미리부터 몸에 익혀나가는 게 그리 나쁜 준비는 아닐 것이다.
글 : 레브 레소킨(Lev Lesokhin)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
