NIST, RSAC 2018에 참석해 애플리케이션 보안 관련 워크샵 진행
보안 커뮤니티와 개발 커뮤니티 양쪽 의견 모두 듣고 간극 좁혀야
[보안뉴스 문가용 기자] 미국표준기술연구소(이하 NIST)의 연구원들이 애플리케이션 보안에 관심을 가지고 있다. 현재 NIST는 비영리 보안 관련 단체인 세이프코드(SAFECode)와 손을 잡고 애플리케이션 보안과 관련된 새로운 프로젝트를 진행하고 있다. 여느 다른 NIST 프로젝트와 마찬가지로 가이드라인을 발행할 예정인데, 제목은 ‘안전한 소프트웨어 개발 생애주기 가이드(Guide to Secure Software Development Life Cycle Practices)’다. 여기에 ‘생산자와 소비자 관점에서’라는 부제가 붙었다. 결국 소프트웨어의 안전한 개발과 관련된 것이라고 볼 수 있다.
[이미지 = iclickart]
이 가이드라인의 공식 발행 날짜는 아직 결정되지 않았다. 하지만 NIST와 세이프코드는 개념적인 정리는 마친 상태이며, 이를 바탕으로 보안 업계의 피드백과 의견을 받을 예정이라고 한다. 그렇게 함으로써 보다 완전한 가이드라인을 발표한다는 것이다. 이러한 피드백 수집은 현재 샌프란시스코에서 열리고 있는 RSA 콘퍼런스에서부터 시작될 것으로 알려졌다. 관련 워크샵이 시작하기 전, 세이프코드의 총괄 책임인 스티브 리프너(Steve Lipner)에게 애플리케이션 보안과 관련된 NIST의 행보를 물었다.
보안뉴스 : NIST와 함께 애플리케이션 보안과 관련된 프로젝트를 공동으로 진행하시는데요, 어떤 일들이 일어나고 있나요?
스티브 리프너 : 저희 세이프코드는 지난 10년이 넘는 기간 동안 보안에 입각한 개발과 관련된 실천사항 및 권고사항들을 계속해서 발행해 왔습니다. 개발자들이 처음부터 소프트웨어를 안전하게 만드는 게, 다 만들고 검사하고 고치는 것보다 더 낫다는 것이 저희의 일관된 믿음입니다.
그 기간 동안 산업 내에서 많은 변화들이 있었습니다. 그러나 자체적인, 민간 주도의 변화였지 정부가 참여하거나 영향을 미친 사례는 극히 드뭅니다. 현재까지도 정부 주도의 보안 개발 캠페인은 거의 존재하지 않지요. 그래서 NIST와 함께 애플리케이션 보안의 중요성을 긴 기간 논하고, 같이 일을 벌이기로 했습니다.
충분한 대화가 이뤄지니 NIST가 내부에서도 애플리케이션 보안과 관련된 작업들을 진행하기 시작했습니다. 실제 어떤 문제를 다뤄야 하고, 어떤 식으로 어떤 종류의 발행물을 만들어야 하는지를 연구하고 있습니다. 아직 정식 가이드라인이 발표되기까지는 시간이 좀 남았습니다. 하지만 NIST 내에서 이런 일들이 진지하게 다뤄지고 있다는 건 곧 소프트웨어 개발 보안이 정부의 방침이 될 것이라는 뜻이기도 합니다.
보안뉴스 : 가이드라인이 정식으로 발행되고 나면 어떤 변화를 기대하고 계십니까? 업계의 반응은 어떨까요?
스티브 리프너 : 세 가지를 기대하고 있습니다. 하나는 가이드라인이 개발자들에게 실제적인 도움을 제공한다는 건데요, 물론 이미 세이프 코딩과 관련된 가이드라인이 많은 것을 알고 있습니다. 세이프코드도 여러 개를 발표한 바 있고요. 그러나 NIST라는 국가 기관에서 이를 발표했다는 것에 남다른 무게감이 있고, 드디어 개발사나 개발자들이 진지하게 안전한 개발이 무엇인가를 받아들이기 시작할 것입니다.
또한 업계의 소비자 혹은 고객층에도 이러한 가이드라인이 도움이 될 것입니다. 프로젝트를 의뢰하려는 회사가 제대로 안전한 코딩을 실천하고 있는지 확인할 수 있는 근거자료가 되기 때문입니다. 사실 소비자가 이렇게 움직일 때 개발사들이 앗 뜨거 하고 움직이기 시작합니다. 그러므로 소비자에게 다가간다는 전략 역시 염두에 두고 있습니다.
마지막으로는 정부의 조달 사업에도 도움이 될 것이라고 봅니다. 정부가 민간 사업자에 프로젝트를 수주할 때에도 NIST와 세이프코드의 가이드라인을 참고하여 업체를 선정할 수 있게 되겠지요. 이 역시 개발사가 안전한 코딩 실천사항을 빠르게 도입해야 할 동기부여가 될 것입니다.
보안뉴스 : 이번 RSA에 참가하여 NIST와 세이프코드의 프로젝트를 설명하고 의견을 수렴하신다고 알고 있습니다. 그러나 보안 커뮤니티만이 아니라 개발 커뮤니티로부터의 의견이 더 중요한 게 아닐까요?
스티브 리프너 : 개발자들이야 말로 이번 프로젝트에서 가장 중요한 사람들입니다. 세이프코드 내에서도 이러한 점을 잘 이해하고 있으며, 여태까지 시큐어 코딩과 관련된 일을 할 때는 항상 개발자 커뮤니티에 접근하고 그들의 피드백을 받았습니다. 이번 프로젝트 역시 개발자들의 참여를 중요하게 생각하고 있습니다. 개발의 생애주기를 안전하게 만드는 것이 우리의 목표인데, 개발자들의 참여를 배제한다는 건 말이 안 되죠. 개발자와 보안 담당자들 사이의 간극을 줄이는 것도 시큐어 코딩 프로젝트의 일환입니다.
보안뉴스 : 비슷한 질문인데, 앞으로 NIST는 데브옵스의 확산에 맞춰 개발자들과 관련된 실천사항이나 표준을 더 많이 발표할 것이라고 보십니까?
스티브 리프너 : 세이프코드가 처음 소프트웨어와 관련된 안전한 개발 프로세스를 구축하고자 했을 때, 그 당시 개발이란 2~3년 걸리는 일이었습니다. 하지만 1~2년이 지나고 가이드라인을 발표했더니, 이 기간이 크게 단축되었을 뿐만 아니라 데브옵스라는 것이 새롭게 시장에 들어와 있더군요. ‘우리 가이드라인을 이 데브옵스란 것에 어떻게 적용하지?’란 고민을 할 수밖에 없었습니다.
그래서 곧 데브옵스란 무슨 뜻이며, 이 개발 과정을 안전하게 만든다는 건 무슨 뜻인지 이해하기 위한 연구를 진행했습니다. 그리고 답이 나왔죠. 시큐어 코딩은 데브옵스에서나 워터폴(waterfall)에서나 똑같은 시큐어 코딩이라는 것이 저희의 연구 결과였습니다. 다만 툴, 개발 프로세스, 배포 등의 과정에 보안을 적용하는 방식이 조금 달라지긴 했습니다. 피드백이 들어오는 부분도 달라질 수밖에 없고요. 또 한 가지 확실한 건 데브옵스를 적용한다고 해서 곧바로 시큐어 코딩이 되는 게 아니라는 겁니다.
NIST와 세이프코드의 가이드라인은 지나치게 엄격하지만은 않을 예정이기도 합니다. 여러 다른 개발 상황과 환경이 있음을 충분히 인지하고 있고, 그래서 충분한 유연성을 내포하고자 합니다. 아직은 시작 단계이고, 좌충우돌의 시간들이 있을 것이지만 불가능한 작업을 하는 건 아니라고 생각합니다.
[국제부 문가용 기자(globoan@boannews.com)]
보안 커뮤니티와 개발 커뮤니티 양쪽 의견 모두 듣고 간극 좁혀야
[보안뉴스 문가용 기자] 미국표준기술연구소(이하 NIST)의 연구원들이 애플리케이션 보안에 관심을 가지고 있다. 현재 NIST는 비영리 보안 관련 단체인 세이프코드(SAFECode)와 손을 잡고 애플리케이션 보안과 관련된 새로운 프로젝트를 진행하고 있다. 여느 다른 NIST 프로젝트와 마찬가지로 가이드라인을 발행할 예정인데, 제목은 ‘안전한 소프트웨어 개발 생애주기 가이드(Guide to Secure Software Development Life Cycle Practices)’다. 여기에 ‘생산자와 소비자 관점에서’라는 부제가 붙었다. 결국 소프트웨어의 안전한 개발과 관련된 것이라고 볼 수 있다.
[이미지 = iclickart]
이 가이드라인의 공식 발행 날짜는 아직 결정되지 않았다. 하지만 NIST와 세이프코드는 개념적인 정리는 마친 상태이며, 이를 바탕으로 보안 업계의 피드백과 의견을 받을 예정이라고 한다. 그렇게 함으로써 보다 완전한 가이드라인을 발표한다는 것이다. 이러한 피드백 수집은 현재 샌프란시스코에서 열리고 있는 RSA 콘퍼런스에서부터 시작될 것으로 알려졌다. 관련 워크샵이 시작하기 전, 세이프코드의 총괄 책임인 스티브 리프너(Steve Lipner)에게 애플리케이션 보안과 관련된 NIST의 행보를 물었다.
보안뉴스 : NIST와 함께 애플리케이션 보안과 관련된 프로젝트를 공동으로 진행하시는데요, 어떤 일들이 일어나고 있나요?
스티브 리프너 : 저희 세이프코드는 지난 10년이 넘는 기간 동안 보안에 입각한 개발과 관련된 실천사항 및 권고사항들을 계속해서 발행해 왔습니다. 개발자들이 처음부터 소프트웨어를 안전하게 만드는 게, 다 만들고 검사하고 고치는 것보다 더 낫다는 것이 저희의 일관된 믿음입니다.
그 기간 동안 산업 내에서 많은 변화들이 있었습니다. 그러나 자체적인, 민간 주도의 변화였지 정부가 참여하거나 영향을 미친 사례는 극히 드뭅니다. 현재까지도 정부 주도의 보안 개발 캠페인은 거의 존재하지 않지요. 그래서 NIST와 함께 애플리케이션 보안의 중요성을 긴 기간 논하고, 같이 일을 벌이기로 했습니다.
충분한 대화가 이뤄지니 NIST가 내부에서도 애플리케이션 보안과 관련된 작업들을 진행하기 시작했습니다. 실제 어떤 문제를 다뤄야 하고, 어떤 식으로 어떤 종류의 발행물을 만들어야 하는지를 연구하고 있습니다. 아직 정식 가이드라인이 발표되기까지는 시간이 좀 남았습니다. 하지만 NIST 내에서 이런 일들이 진지하게 다뤄지고 있다는 건 곧 소프트웨어 개발 보안이 정부의 방침이 될 것이라는 뜻이기도 합니다.
보안뉴스 : 가이드라인이 정식으로 발행되고 나면 어떤 변화를 기대하고 계십니까? 업계의 반응은 어떨까요?
스티브 리프너 : 세 가지를 기대하고 있습니다. 하나는 가이드라인이 개발자들에게 실제적인 도움을 제공한다는 건데요, 물론 이미 세이프 코딩과 관련된 가이드라인이 많은 것을 알고 있습니다. 세이프코드도 여러 개를 발표한 바 있고요. 그러나 NIST라는 국가 기관에서 이를 발표했다는 것에 남다른 무게감이 있고, 드디어 개발사나 개발자들이 진지하게 안전한 개발이 무엇인가를 받아들이기 시작할 것입니다.
또한 업계의 소비자 혹은 고객층에도 이러한 가이드라인이 도움이 될 것입니다. 프로젝트를 의뢰하려는 회사가 제대로 안전한 코딩을 실천하고 있는지 확인할 수 있는 근거자료가 되기 때문입니다. 사실 소비자가 이렇게 움직일 때 개발사들이 앗 뜨거 하고 움직이기 시작합니다. 그러므로 소비자에게 다가간다는 전략 역시 염두에 두고 있습니다.
마지막으로는 정부의 조달 사업에도 도움이 될 것이라고 봅니다. 정부가 민간 사업자에 프로젝트를 수주할 때에도 NIST와 세이프코드의 가이드라인을 참고하여 업체를 선정할 수 있게 되겠지요. 이 역시 개발사가 안전한 코딩 실천사항을 빠르게 도입해야 할 동기부여가 될 것입니다.
보안뉴스 : 이번 RSA에 참가하여 NIST와 세이프코드의 프로젝트를 설명하고 의견을 수렴하신다고 알고 있습니다. 그러나 보안 커뮤니티만이 아니라 개발 커뮤니티로부터의 의견이 더 중요한 게 아닐까요?
스티브 리프너 : 개발자들이야 말로 이번 프로젝트에서 가장 중요한 사람들입니다. 세이프코드 내에서도 이러한 점을 잘 이해하고 있으며, 여태까지 시큐어 코딩과 관련된 일을 할 때는 항상 개발자 커뮤니티에 접근하고 그들의 피드백을 받았습니다. 이번 프로젝트 역시 개발자들의 참여를 중요하게 생각하고 있습니다. 개발의 생애주기를 안전하게 만드는 것이 우리의 목표인데, 개발자들의 참여를 배제한다는 건 말이 안 되죠. 개발자와 보안 담당자들 사이의 간극을 줄이는 것도 시큐어 코딩 프로젝트의 일환입니다.
보안뉴스 : 비슷한 질문인데, 앞으로 NIST는 데브옵스의 확산에 맞춰 개발자들과 관련된 실천사항이나 표준을 더 많이 발표할 것이라고 보십니까?
스티브 리프너 : 세이프코드가 처음 소프트웨어와 관련된 안전한 개발 프로세스를 구축하고자 했을 때, 그 당시 개발이란 2~3년 걸리는 일이었습니다. 하지만 1~2년이 지나고 가이드라인을 발표했더니, 이 기간이 크게 단축되었을 뿐만 아니라 데브옵스라는 것이 새롭게 시장에 들어와 있더군요. ‘우리 가이드라인을 이 데브옵스란 것에 어떻게 적용하지?’란 고민을 할 수밖에 없었습니다.
그래서 곧 데브옵스란 무슨 뜻이며, 이 개발 과정을 안전하게 만든다는 건 무슨 뜻인지 이해하기 위한 연구를 진행했습니다. 그리고 답이 나왔죠. 시큐어 코딩은 데브옵스에서나 워터폴(waterfall)에서나 똑같은 시큐어 코딩이라는 것이 저희의 연구 결과였습니다. 다만 툴, 개발 프로세스, 배포 등의 과정에 보안을 적용하는 방식이 조금 달라지긴 했습니다. 피드백이 들어오는 부분도 달라질 수밖에 없고요. 또 한 가지 확실한 건 데브옵스를 적용한다고 해서 곧바로 시큐어 코딩이 되는 게 아니라는 겁니다.
NIST와 세이프코드의 가이드라인은 지나치게 엄격하지만은 않을 예정이기도 합니다. 여러 다른 개발 상황과 환경이 있음을 충분히 인지하고 있고, 그래서 충분한 유연성을 내포하고자 합니다. 아직은 시작 단계이고, 좌충우돌의 시간들이 있을 것이지만 불가능한 작업을 하는 건 아니라고 생각합니다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
