서로의 전문성을 각기 따로 발휘한다고 해서 회사가 충분히 경쟁력을 갖출 수 있는 시대가 저물어가고 있다. 이제는 그 전문성 위에 시너지까지 발휘되어야 한다.
[보안뉴스=아비브 무싱어 CEO, Kodem] 소프트웨어 개발의 세계는 변화무쌍하다. 개발자들은 항상 예민할 수밖에 없다. 그렇기 때문에 보안 담당자들과 개발자들이 대화를 나누면 불꽃이 튄다. 각자의 일을 따로 알아서 잘 하면 부딪힐 일이 없겠지만 요즘과 같은 IT 환경에서는 불가능한 이야기다. 보안 분석가들은 이전에 작성된 코드에서 발견된 취약점을 실제 해결하는 데 개발자의 도움을 필요로 한다. 개발자들 역시 자신들이 만든 결과물이 안전하게 세상에 나가도록 하는 데 보안 전문가의 손길을 필요로 한다.
[이미지 = gettyimagesbank]
하지만 이러한 접근법 자체가 문제다. ‘취약점이 발견되고 나서야 코드를 고친다’는 걸 바탕으로 하고 있기 때문이다. 사실 둘이 하도 사이가 좋지 않아 이렇게밖에 할 수 없다는 점도 작용하고 있다. 가장 이상적인 건 개발 초기 단계에서부터 취약점이 생기지 않게 보안 전문가가 코드를 실시간으로 점검하고, 개발자들은 수정 사항을 실시간으로 듣고 반영하는 것이다. 사이버 공격이 고도화 되면서 이런 식의 ‘능동적 보안’이 더 강력히 요구되고 있기 때문에 개발자와 보안 담당자는 이제 다른 차원의 소통을 이뤄가는 걸 훈련해야 한다. 이를 위한 다섯 가지 제안을 준비했다.
1. 규정 적용보다 중요한 건 협업
솔직히 개발자들에게 있어 보안 담당자는 일종의 관문 그 이상도 이하도 아니다. ‘관문’을 ‘파트너’로 수정해줘야 한다. 그것도 ‘필수 불가결의 파트너’라는 인식이 중요하다. 개발 주기 안에 보안이라는 요소를 집어넣는다면 개발자들 사이에서 저항감이 큰 것이 보통인데, 그럼에도 보안과 파트너를 했을 때 얼마나 코드가 안전하고 깔끔하게 만들어지느냐를 경험하면 그 저항감은 서서히 사그라든다. 즉 보안이 주는 이득을 맛보게 하면 된다는 것이다. 보안 담당자 역시 설계와 기획 단계에서부터 참가하여 개발자들 입장의 이야기를 듣고 그들의 어려움을 이해할 필요가 있다. 협업을 위한 환경을 적극 조성하는 게 중요하다.
2. 전체 맥락을 파악하라
애플리케이션 안에서 정확히 무슨 일이 일어나고 어떤 원리들이 작동하는지를 이해하는 게 중요하다. 또한 애플케이션들을 둘러싼 외적 요소들, 즉 전체 맥락(컨텍스트)이 보안의 효율을 높이는 데 핵심적인 역할을 할 수 있다. 소프트웨어가 운영 환경에서 어떤 식으로 작동하는지(즉 어떤 행동 패턴을 보이는지) 분석함으로써 보안 담당자들은 어떤 취약점이 특히 시급히 해결되어야 하는지를 파악할 수 있고, 그러므로 코드를 수정해야 하는 개발자들의 부담감을 줄여줄 수 있게 된다. 취약점이 발견되는 족족 개발자에게 달려가는 것보다 앞뒤 상황을 잘 구분하여 우선순위를 정한 후에 개발자를 만나면 할 이야기도 많아지고 설득력도 강해진다.
3. 가시성을 확보하고 코드 디펜던시를 이해한다
코드 디펜던시의 가시성을 확보하는 것도 취약점 관리의 효율을 높이는 데 중요하다. 보안 팀들은 통합적인 디펜던시 지도를 작성하여 애플리케이션의 진정한 구조를 파악하는 것부터 시작해야 개발자들과의 관계를 원활히 할 수 있다. 다행히 시장에 디펜던시 매핑 도구들이 존재하므로 이를 적극 활용하는 걸 추천한다. 사실 디펜던시 구조를 개발자들도 정확히는 파악하지 못하고 있는데, 보안 팀에서 이 문제를 해결하면 파트너로서 안전한 앱을 개발하는 데 도움이 된다. 취약점이 정확히 어디에 있으며, 개발되고 있는 소프트웨어와 그 사용자에 어떤 영향을 미칠 수 있는지는 개발자들도 궁금한 내용이다. 디펜던시를 이해하면 단순히 취약점만 잘 고치게 되는 게 아니다. 애플리케이션 작동 원리에 대한 이해도를 높일 수도 있다.
4. 개발자들에게 알맞은 도구를 제공하라
개발자들은 보안 전문가가 아니다. 비슷한 환경에서 비슷한 도구로 작업을 할지라도 둘의 전문성은 다르다. 그러므로 개발자들이 보다 안전하게 프로그래밍을 하도록 하려면 교육을 빼놓을 수 없다. 그것도 정기적이며 꾸준한 교육 코스가 필요하다. 동시에 배운 것을 현장에서 잘 실천할 수 있게 해 주는 도구도 마련해 줘야 한다. 교육을 마치고 현장에 돌아오면 똑같은 도구에 똑같은 업무 프로세스로 일해야 하는 상황에서 교육 효과가 커지기를 기대하기는 힘들다.
여기서 한 가지 중요한 점을 짚고 넘어가고자 하는데, 보안 교육이 기본 원리에만 치우쳐서는 안 된다는 것이다. 현장에서 즉시 활용할 수 있는 방법들, 특히 생산성을 향상시키기도 해 주는 방법들도 일정 비율로 소개되어야 한다. 그렇기 때문에 개발자들이 활용할 수 있는 도구 이야기가 나오는 것이다. 새로운 도구를 주고, 그 도구의 활용법을 교육한다면 실질적이면서 원론적이지 않은 내용을 담을 수 있다. 그렇다고 단 한 방에 개발자들을 보안 열혈 추종자로 만들 수는 없지만, 조금씩 마음을 바꿀 수는 있다.
5. 피드백과 향상이 끊임없이 교환되는 환경을 구성해야 한다
개발자와 보안 담당자의 관계는 한 마디로 말해 계속해서 작업 결과물에 대한 피드백을 하고, 그 피드백을 계속해서 받아들여 결과물을 바꾸는 것이라고 설명할 수 있다. 피드백과 반영이 핵심인 건데, 이는 사실 개발자-보안 담당자의 관계가 아니더라도 필요한 관계의 유형이다. 따라서 다른 부서, 다른 담당자들 간에도 이런 식의 대화가 이뤄질 수 있도록 회사 자체의 분위기를 바꾸는 것이 중요하다. 다들 각자의 일만 조용히 하는데 개발자와 보안 담당자만 건강하게 피드백을 주고 받으라고 하면 어색할 수밖에 없다.
이른 바 ‘팀빌딩’의 시간을 지속적으로 갖는 게 좋다. 그러면서 각 부서와 기능 간에 존재하는 벽을 발견해 낮춰가야 한다. 보안도 벽 중 하나일 수 있고, 사실 이 벽을 개발자만 느끼는 건 아닐 것이다. 보안에 대한 접근성을 높이기 위한 목적으로 팀빌딩을 기획하는 것도 나쁘지 않은 접근법이다.
보안과 개발은 더 이상 ‘따로 국밥’일 수 없다. 경쟁이 고도화 되고 있는 때이기 때문에 이는 거의 모든 부서들에도 적용할 수 있는 말이다. 여러 기업들에서 기존의 부서 개념을 폐지하고, 여러 분야 전문가들로 구성된 팀을 프로젝트 단위로 꾸리는 실험을 하고 있는데, 결과가 그리 나쁘지 않아 보인다. 아무튼 기존과 다른 형태의 협업 관계가 회사 내에서 구성되어야 경쟁력을 가질 수 있다는 것이다. 이런 분위기 속에서 개발과 보안을 더 가까운 관계로 만들 수 있으며, 그래야 한다.
글 : 아비브 무싱어(Aviv Mussinger), CEO, Kodem
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=아비브 무싱어 CEO, Kodem] 소프트웨어 개발의 세계는 변화무쌍하다. 개발자들은 항상 예민할 수밖에 없다. 그렇기 때문에 보안 담당자들과 개발자들이 대화를 나누면 불꽃이 튄다. 각자의 일을 따로 알아서 잘 하면 부딪힐 일이 없겠지만 요즘과 같은 IT 환경에서는 불가능한 이야기다. 보안 분석가들은 이전에 작성된 코드에서 발견된 취약점을 실제 해결하는 데 개발자의 도움을 필요로 한다. 개발자들 역시 자신들이 만든 결과물이 안전하게 세상에 나가도록 하는 데 보안 전문가의 손길을 필요로 한다.
[이미지 = gettyimagesbank]
하지만 이러한 접근법 자체가 문제다. ‘취약점이 발견되고 나서야 코드를 고친다’는 걸 바탕으로 하고 있기 때문이다. 사실 둘이 하도 사이가 좋지 않아 이렇게밖에 할 수 없다는 점도 작용하고 있다. 가장 이상적인 건 개발 초기 단계에서부터 취약점이 생기지 않게 보안 전문가가 코드를 실시간으로 점검하고, 개발자들은 수정 사항을 실시간으로 듣고 반영하는 것이다. 사이버 공격이 고도화 되면서 이런 식의 ‘능동적 보안’이 더 강력히 요구되고 있기 때문에 개발자와 보안 담당자는 이제 다른 차원의 소통을 이뤄가는 걸 훈련해야 한다. 이를 위한 다섯 가지 제안을 준비했다.
1. 규정 적용보다 중요한 건 협업
솔직히 개발자들에게 있어 보안 담당자는 일종의 관문 그 이상도 이하도 아니다. ‘관문’을 ‘파트너’로 수정해줘야 한다. 그것도 ‘필수 불가결의 파트너’라는 인식이 중요하다. 개발 주기 안에 보안이라는 요소를 집어넣는다면 개발자들 사이에서 저항감이 큰 것이 보통인데, 그럼에도 보안과 파트너를 했을 때 얼마나 코드가 안전하고 깔끔하게 만들어지느냐를 경험하면 그 저항감은 서서히 사그라든다. 즉 보안이 주는 이득을 맛보게 하면 된다는 것이다. 보안 담당자 역시 설계와 기획 단계에서부터 참가하여 개발자들 입장의 이야기를 듣고 그들의 어려움을 이해할 필요가 있다. 협업을 위한 환경을 적극 조성하는 게 중요하다.
2. 전체 맥락을 파악하라
애플리케이션 안에서 정확히 무슨 일이 일어나고 어떤 원리들이 작동하는지를 이해하는 게 중요하다. 또한 애플케이션들을 둘러싼 외적 요소들, 즉 전체 맥락(컨텍스트)이 보안의 효율을 높이는 데 핵심적인 역할을 할 수 있다. 소프트웨어가 운영 환경에서 어떤 식으로 작동하는지(즉 어떤 행동 패턴을 보이는지) 분석함으로써 보안 담당자들은 어떤 취약점이 특히 시급히 해결되어야 하는지를 파악할 수 있고, 그러므로 코드를 수정해야 하는 개발자들의 부담감을 줄여줄 수 있게 된다. 취약점이 발견되는 족족 개발자에게 달려가는 것보다 앞뒤 상황을 잘 구분하여 우선순위를 정한 후에 개발자를 만나면 할 이야기도 많아지고 설득력도 강해진다.
3. 가시성을 확보하고 코드 디펜던시를 이해한다
코드 디펜던시의 가시성을 확보하는 것도 취약점 관리의 효율을 높이는 데 중요하다. 보안 팀들은 통합적인 디펜던시 지도를 작성하여 애플리케이션의 진정한 구조를 파악하는 것부터 시작해야 개발자들과의 관계를 원활히 할 수 있다. 다행히 시장에 디펜던시 매핑 도구들이 존재하므로 이를 적극 활용하는 걸 추천한다. 사실 디펜던시 구조를 개발자들도 정확히는 파악하지 못하고 있는데, 보안 팀에서 이 문제를 해결하면 파트너로서 안전한 앱을 개발하는 데 도움이 된다. 취약점이 정확히 어디에 있으며, 개발되고 있는 소프트웨어와 그 사용자에 어떤 영향을 미칠 수 있는지는 개발자들도 궁금한 내용이다. 디펜던시를 이해하면 단순히 취약점만 잘 고치게 되는 게 아니다. 애플리케이션 작동 원리에 대한 이해도를 높일 수도 있다.
4. 개발자들에게 알맞은 도구를 제공하라
개발자들은 보안 전문가가 아니다. 비슷한 환경에서 비슷한 도구로 작업을 할지라도 둘의 전문성은 다르다. 그러므로 개발자들이 보다 안전하게 프로그래밍을 하도록 하려면 교육을 빼놓을 수 없다. 그것도 정기적이며 꾸준한 교육 코스가 필요하다. 동시에 배운 것을 현장에서 잘 실천할 수 있게 해 주는 도구도 마련해 줘야 한다. 교육을 마치고 현장에 돌아오면 똑같은 도구에 똑같은 업무 프로세스로 일해야 하는 상황에서 교육 효과가 커지기를 기대하기는 힘들다.
여기서 한 가지 중요한 점을 짚고 넘어가고자 하는데, 보안 교육이 기본 원리에만 치우쳐서는 안 된다는 것이다. 현장에서 즉시 활용할 수 있는 방법들, 특히 생산성을 향상시키기도 해 주는 방법들도 일정 비율로 소개되어야 한다. 그렇기 때문에 개발자들이 활용할 수 있는 도구 이야기가 나오는 것이다. 새로운 도구를 주고, 그 도구의 활용법을 교육한다면 실질적이면서 원론적이지 않은 내용을 담을 수 있다. 그렇다고 단 한 방에 개발자들을 보안 열혈 추종자로 만들 수는 없지만, 조금씩 마음을 바꿀 수는 있다.
5. 피드백과 향상이 끊임없이 교환되는 환경을 구성해야 한다
개발자와 보안 담당자의 관계는 한 마디로 말해 계속해서 작업 결과물에 대한 피드백을 하고, 그 피드백을 계속해서 받아들여 결과물을 바꾸는 것이라고 설명할 수 있다. 피드백과 반영이 핵심인 건데, 이는 사실 개발자-보안 담당자의 관계가 아니더라도 필요한 관계의 유형이다. 따라서 다른 부서, 다른 담당자들 간에도 이런 식의 대화가 이뤄질 수 있도록 회사 자체의 분위기를 바꾸는 것이 중요하다. 다들 각자의 일만 조용히 하는데 개발자와 보안 담당자만 건강하게 피드백을 주고 받으라고 하면 어색할 수밖에 없다.
이른 바 ‘팀빌딩’의 시간을 지속적으로 갖는 게 좋다. 그러면서 각 부서와 기능 간에 존재하는 벽을 발견해 낮춰가야 한다. 보안도 벽 중 하나일 수 있고, 사실 이 벽을 개발자만 느끼는 건 아닐 것이다. 보안에 대한 접근성을 높이기 위한 목적으로 팀빌딩을 기획하는 것도 나쁘지 않은 접근법이다.
보안과 개발은 더 이상 ‘따로 국밥’일 수 없다. 경쟁이 고도화 되고 있는 때이기 때문에 이는 거의 모든 부서들에도 적용할 수 있는 말이다. 여러 기업들에서 기존의 부서 개념을 폐지하고, 여러 분야 전문가들로 구성된 팀을 프로젝트 단위로 꾸리는 실험을 하고 있는데, 결과가 그리 나쁘지 않아 보인다. 아무튼 기존과 다른 형태의 협업 관계가 회사 내에서 구성되어야 경쟁력을 가질 수 있다는 것이다. 이런 분위기 속에서 개발과 보안을 더 가까운 관계로 만들 수 있으며, 그래야 한다.
글 : 아비브 무싱어(Aviv Mussinger), CEO, Kodem
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
