네트워크를 직접 뚫고 들어가는 건 점점 힘든 일이 되고 있다. 그래서 공격자들은 애플리케이션으로 눈을 돌리고 있다. 거의 항상 취약하고, 거의 항상 공격 통로가 될 수 있기 때문이다. 개발자들에 투자를 적게 했으니, 당연한 결과다.
[보안뉴스 문가용 기자] 클라우드 기반 인프라로 넘어가는 조직들이 늘어나면서 공격자들은 침투로로서 애플리케이션들에 대한 관심을 높이기 시작했다. 클라우드를 뚫기 어려워지니, 애플리케이션을 노리기 시작한 것이다. 게다가 애플리케이션의 76% 적어도 한 개 이상의 취약점을 가지고 있으니 꽤나 타당한 선택이라고도 볼 수 있다.
[이미지 = utoimage]
이런 상황에서 보안 담당자들이 집중해야 할 것이 애플리케이션이라는 건 분명하다. 하지만 아직 안전한 애플리케이션 개발을 제대로 할 수 있는 개발자들이 많지 않다는 게 적잖은 문제로서 작용한다. 여기서부터 손을 대지 않고 실천하는 애플리케이션 보안은 ‘밑 빠진 독에 물 붓기’ 이상의 의미를 갖기 어렵기 때문이다. 개발자들을 대상으로 한 시큐어 코딩 및 보안 교육이 시급하다. 그래서인지 미국 바이든 행정부도 소프트웨어 보안을 적잖이 강조하고 있다.
그런데도 여전히 고등학교 과정에서 ‘프로그래밍’은 쉽게 발견할 수 있지만 ‘시큐어 코딩’은 드물다. 왜 그럴까? 여러 가지 이유가 있지만 가장 큰 건 교육자들조차 시큐어 코딩을 제대로 이해하고 있지 못해서다. 그런 상태에서 기술 발전이 너무나 빠르게 이뤄지고 있기 때문에 일반 개발자와 보안을 이해하는 개발자의 격차는 더욱 벌어지고 있고(즉 일반 개발자가 압도적으로 많이 양성되고 있고), 산업체들과 학술 단체들 사이의 격차 역시 심각한 수준으로 커진 상태다.
그렇다면 보안을 가르치는 대학 과정은 어떨까? 사이버 보안 과정은 꽤나 많은데 대부분 이미 취약한 상태에 있는 소프트웨어를 해커가 어떻게 공격하고, 그에 대항해 어떻게 방어해야 하는가에 집중되어 있다. 개발 행위 자체를 안전하게 하는 것과, 복잡한 소프트웨어 생태계에 대한 안전 장치 마련과 같은 분야에 대해서 집중적으로 가르치는 경우는 드물다. 개발자 양성 과정과 보안 전문가 양성 과정이 완전히 분리되어 있는 것도 문제다.
때문에 대학에서 갓 졸업해 프로그래밍 스킬을 가지고 사회에 첫 발을 디디는 사람들에게 보안 교육부터 제공하는 것이 점점 더 중요해지고 있다. 어쨌든 개발자들이 보안에 대해 잘 모르기 때문에 가장 첫 선에서 손해를 보는 것은 현장의 기업과 기관들이니까 말이다.
좋은 소식이 있다면 북미 지역의 조직들 중 절반 이상이 이미 개발자들에게 일종의 보안 훈련 기회를 제공하고 있다는 것이다. 다만 1년에 한 번 이상의 교육을 실시하는 사례는 29% 뿐이었다. 게다가 교육 자료도 부실하고, 대부분 독학 과정을 소개시키는 수준에 그치고 있었는데, 이 때문에 ‘교육시킨다’는 기업이 많지만 실제 교육이 되지는 않는 게 실제 현상이었다. 교육에 대한 개발자들의 반응도 그리 좋지 않다.
개발자들은 매일 자기들의 책상에서 엄청난 양의 코드를 다룬다. 그리고 그 코드로부터 일주일이나 한 달에 한 번, 문제들이 튀어나온다. 실제 현장에서는 이 문제들을 접하고 고치는 것이 또 다른 개발자들이나 보안 담당자들이 될 경우가 많아, ‘내 코드에서 나온 오류를 내가 고친다’는 기회를 갖게 되는 경우는 그리 많지 않다. 즉, 직접 저지른 실수에서부터 뭔가를 배우고, 배운 것을 다음 코딩에 적용하기가 힘들다는 뜻이 된다.
개발자들은 새로운 코딩 기술을 탐닉하는 사람들이다. DNA에 배우는 것에 대한 열망이 들어 있다. 그러니 이들이 보안을 배우지 못할 사람들인 것은 아니다. 다만 이들이 흥미를 가질 수 있을 정도로 보안 교육 콘텐츠가 발달되어 있지 않다는 게 진짜 문제다.
그렇다면 보안 교육 콘텐츠를 어떻게 바꿔야 하는가? 개발자들이 보안을 배우는 의미를 찾게 해 줘야 한다. 즉 매일의 일과 속에서 실질적인 변화와 효과가 나타나도록 해야 한다는 것이다. 개발자들이 만든 코드를 실시간으로 피드백 해 주고, 이것이 애플리케이션 보안 원리에 입각해 어느 정도의 수준에 있는 것인지 알려주며, 따라서 완성된 상품이나 서비스에 어떻게 반영되는지, 다음에는 어떤 식으로 향상시킬 수 있는지를 보여주는 게 관건이다.
현재의 보안 교육 시스템이 가지고 있는 또 다른 문제는, 개발자들이 교육에 진지하게 임할 여건을 갖추지 못하고 있다는 것이다. 매일 마감 맞추기도 빠듯한 상황에서, 큰 의미를 찾을 수 없는 교육에 시간을 투자한다는 건 어려운 일이다. 보안 교육을 받기 위해서는 생산성을 낮출 수밖에 없는 구조 안에 있는데, 이런 개발자들에게 보안 수칙을 지키라고 다그치기만 해서 어떻게 교육 효과를 기대할 수 있을까?
이는 경영진과 고용인들이 풀어야 할 숙제다. 개발자가 빠르게 상품과 서비스를 만들어 냄에 따른 이익이 큰지, 개발자가 보안 수칙을 지키지 않아 발생한 사고를 수습하는 데 드는 비용이 큰지를 계산하면 답이 나올 것이다. 물론 빠른 상품 출시가 ‘절대악’인 것은 아니다. 이윤을 추구하려면 있어야 할 시스템이기도 하다. 다만 여기에 ‘올인’하는 것이 문제다.
사이버 공격은 39초에 한 번 일어난다. 그리고 이 수는 계속해서 줄어들고 있다. 심지어 공격 하나하나의 파괴력도 증가하고 있다. 까딱 정신을 놓고 있으면 우리는 어느 새 걷잡을 수 없는 사이버 공격의 피해에 기업들과 시장이 붕괴되는 상황에 빠져들 수도 있다. 미리 대처해야 한다. 교육은 금방 효과가 나타나지 않기 때문에, 지금 시작해도 앞으로 어떻게 될지 장담할 수 없다. 분명한 건 열쇠를 쥐고 있는 게 개발자라는 것이다.
글 : 크리스 와이소팔(Chris Wysopal), CTO, 베라코드
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 클라우드 기반 인프라로 넘어가는 조직들이 늘어나면서 공격자들은 침투로로서 애플리케이션들에 대한 관심을 높이기 시작했다. 클라우드를 뚫기 어려워지니, 애플리케이션을 노리기 시작한 것이다. 게다가 애플리케이션의 76% 적어도 한 개 이상의 취약점을 가지고 있으니 꽤나 타당한 선택이라고도 볼 수 있다.
[이미지 = utoimage]
이런 상황에서 보안 담당자들이 집중해야 할 것이 애플리케이션이라는 건 분명하다. 하지만 아직 안전한 애플리케이션 개발을 제대로 할 수 있는 개발자들이 많지 않다는 게 적잖은 문제로서 작용한다. 여기서부터 손을 대지 않고 실천하는 애플리케이션 보안은 ‘밑 빠진 독에 물 붓기’ 이상의 의미를 갖기 어렵기 때문이다. 개발자들을 대상으로 한 시큐어 코딩 및 보안 교육이 시급하다. 그래서인지 미국 바이든 행정부도 소프트웨어 보안을 적잖이 강조하고 있다.
그런데도 여전히 고등학교 과정에서 ‘프로그래밍’은 쉽게 발견할 수 있지만 ‘시큐어 코딩’은 드물다. 왜 그럴까? 여러 가지 이유가 있지만 가장 큰 건 교육자들조차 시큐어 코딩을 제대로 이해하고 있지 못해서다. 그런 상태에서 기술 발전이 너무나 빠르게 이뤄지고 있기 때문에 일반 개발자와 보안을 이해하는 개발자의 격차는 더욱 벌어지고 있고(즉 일반 개발자가 압도적으로 많이 양성되고 있고), 산업체들과 학술 단체들 사이의 격차 역시 심각한 수준으로 커진 상태다.
그렇다면 보안을 가르치는 대학 과정은 어떨까? 사이버 보안 과정은 꽤나 많은데 대부분 이미 취약한 상태에 있는 소프트웨어를 해커가 어떻게 공격하고, 그에 대항해 어떻게 방어해야 하는가에 집중되어 있다. 개발 행위 자체를 안전하게 하는 것과, 복잡한 소프트웨어 생태계에 대한 안전 장치 마련과 같은 분야에 대해서 집중적으로 가르치는 경우는 드물다. 개발자 양성 과정과 보안 전문가 양성 과정이 완전히 분리되어 있는 것도 문제다.
때문에 대학에서 갓 졸업해 프로그래밍 스킬을 가지고 사회에 첫 발을 디디는 사람들에게 보안 교육부터 제공하는 것이 점점 더 중요해지고 있다. 어쨌든 개발자들이 보안에 대해 잘 모르기 때문에 가장 첫 선에서 손해를 보는 것은 현장의 기업과 기관들이니까 말이다.
좋은 소식이 있다면 북미 지역의 조직들 중 절반 이상이 이미 개발자들에게 일종의 보안 훈련 기회를 제공하고 있다는 것이다. 다만 1년에 한 번 이상의 교육을 실시하는 사례는 29% 뿐이었다. 게다가 교육 자료도 부실하고, 대부분 독학 과정을 소개시키는 수준에 그치고 있었는데, 이 때문에 ‘교육시킨다’는 기업이 많지만 실제 교육이 되지는 않는 게 실제 현상이었다. 교육에 대한 개발자들의 반응도 그리 좋지 않다.
개발자들은 매일 자기들의 책상에서 엄청난 양의 코드를 다룬다. 그리고 그 코드로부터 일주일이나 한 달에 한 번, 문제들이 튀어나온다. 실제 현장에서는 이 문제들을 접하고 고치는 것이 또 다른 개발자들이나 보안 담당자들이 될 경우가 많아, ‘내 코드에서 나온 오류를 내가 고친다’는 기회를 갖게 되는 경우는 그리 많지 않다. 즉, 직접 저지른 실수에서부터 뭔가를 배우고, 배운 것을 다음 코딩에 적용하기가 힘들다는 뜻이 된다.
개발자들은 새로운 코딩 기술을 탐닉하는 사람들이다. DNA에 배우는 것에 대한 열망이 들어 있다. 그러니 이들이 보안을 배우지 못할 사람들인 것은 아니다. 다만 이들이 흥미를 가질 수 있을 정도로 보안 교육 콘텐츠가 발달되어 있지 않다는 게 진짜 문제다.
그렇다면 보안 교육 콘텐츠를 어떻게 바꿔야 하는가? 개발자들이 보안을 배우는 의미를 찾게 해 줘야 한다. 즉 매일의 일과 속에서 실질적인 변화와 효과가 나타나도록 해야 한다는 것이다. 개발자들이 만든 코드를 실시간으로 피드백 해 주고, 이것이 애플리케이션 보안 원리에 입각해 어느 정도의 수준에 있는 것인지 알려주며, 따라서 완성된 상품이나 서비스에 어떻게 반영되는지, 다음에는 어떤 식으로 향상시킬 수 있는지를 보여주는 게 관건이다.
현재의 보안 교육 시스템이 가지고 있는 또 다른 문제는, 개발자들이 교육에 진지하게 임할 여건을 갖추지 못하고 있다는 것이다. 매일 마감 맞추기도 빠듯한 상황에서, 큰 의미를 찾을 수 없는 교육에 시간을 투자한다는 건 어려운 일이다. 보안 교육을 받기 위해서는 생산성을 낮출 수밖에 없는 구조 안에 있는데, 이런 개발자들에게 보안 수칙을 지키라고 다그치기만 해서 어떻게 교육 효과를 기대할 수 있을까?
이는 경영진과 고용인들이 풀어야 할 숙제다. 개발자가 빠르게 상품과 서비스를 만들어 냄에 따른 이익이 큰지, 개발자가 보안 수칙을 지키지 않아 발생한 사고를 수습하는 데 드는 비용이 큰지를 계산하면 답이 나올 것이다. 물론 빠른 상품 출시가 ‘절대악’인 것은 아니다. 이윤을 추구하려면 있어야 할 시스템이기도 하다. 다만 여기에 ‘올인’하는 것이 문제다.
사이버 공격은 39초에 한 번 일어난다. 그리고 이 수는 계속해서 줄어들고 있다. 심지어 공격 하나하나의 파괴력도 증가하고 있다. 까딱 정신을 놓고 있으면 우리는 어느 새 걷잡을 수 없는 사이버 공격의 피해에 기업들과 시장이 붕괴되는 상황에 빠져들 수도 있다. 미리 대처해야 한다. 교육은 금방 효과가 나타나지 않기 때문에, 지금 시작해도 앞으로 어떻게 될지 장담할 수 없다. 분명한 건 열쇠를 쥐고 있는 게 개발자라는 것이다.
글 : 크리스 와이소팔(Chris Wysopal), CTO, 베라코드
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
