90년대 후반의 애플리케이션 보안, 시큐어 코딩이 거의 전부
현대의 애플리케이션 보안, 데이터 및 리스크 위주로 옮겨가야

[보안뉴스 문가용] 애플리케이션 보안의 정의가 애플리케이션 산업의 발전 속도를 쫓아가고 있지 못하다. 20년 전만 해도 애플리케이션들은 인터넷과 상관없이 독자적으로 실행되었다. 당시의 애플리케이션 보안이라고 하면 소프트웨어를 개발하는 단계에서의 시큐어 코딩만 실천해도 대부분 해결되는 것이었다. 그러나 그런 시대는 90년대 후반으로서 이미 완전히 지나갔다. 시큐어 코딩 자체야 여전히 유효하지만, 더 이상 보안의 전부가 아니라 일부로서만 기능할 뿐이다.


▲ 업데이트가 필요한 건 소프트웨어만이 아닌 듯 하다

보안 전문가들은 이제 애플리케이션 보안이란 것의 정의를 확장시켜야 한다. 우리가 현재 대비해야 하는 위협의 종류와 양만해도 얼마나 방대한가. 그런 위협들이 주는 리스크가 무엇인지 파악하고 대비하는 것이 애플리케이션 보안이 다뤄야할 것들이다. 즉 리스크 위주로 가는 게 올바른 방향이라는 것이다. 시야를 앱 자체가 아니라 리스크 중심으로 가져감으로써 앱 보안은 굉장히 방대해지며 범죄와 보안의 핵심인 데이터를 효과적으로 보호할 수 있게 된다.

오늘날의 해커들은 애플리케이션을 통해 데이터로 쉽게 접근한다. 정확히 말하면 애플리케이션의 취약점을 통해서다. 이는 시큐어 코딩만으로 다 해결할 수 없다. 리스크 기반의 보안이 해결책이다. 리스크 기반의 보안이란 애플리케이션 요소들을 분석하고, 앱이 설치되고 사용되는 환경 전체에 대한 보안 전략을 갖추는 것을 말한다. 공격자들이 필요로 하는 건 보안 담당자들이 놓친 딱 한 개의 취약점 뿐이다. 코드 내 취약점이든, 도난당한 ID이건 네트워크 내의 취약점이든, 약한 암호화든, 가리지 않는다.

애플리케이션이 위험한 건 접근이 너무나 쉽기 때문이다. 오늘날의 앱들은 대부분 인터넷에 뿌리를 두고 있으며, 인터넷에 연결되어 있을 때 제 기능을 발휘하도록 설계되어 있다. 그래서 디도스 공격이 들어오면 마비되고, 멀웨어 하나에 기기를 해커가 장악하도록 하는 것이다. 또 암호를 설정하도록 하는 앱도 꽤나 많이 있는데, 사용자의 해이한 암호 관리 습관과 맞물려 이는 2차, 3차 피해를 낳기도 한다.

앱을 통한 공격은 앞으로도 쉽게 사그라지지 않을 것이다. 이미 10억개가 넘는 앱이 웹 상에 현존하고 있는데, 이 모든 것들이 다 안전할 수 있을 리가 없다. 게다가 사물인터넷의 확산이 상황을 악화시키고 있다. 보안의 입장에선 안전치 못한 앱이나 아무렇게나 기능 위주로만 만들어진 사물인터넷 기기들이나 전부 똑같은 ‘위험의 통로’일 뿐이다.

애플리케이션 보안의 정의를 다시 내리고 그 정의를 실제 업무 현장에 도입시켜야 할 때다. 앱을 잘 만드는 것도 중요하지만 무엇보다 데이터를 잘 지키는 게 가장 핵심이다. 앱은 데이터로 가는 수많은 통로 중 하나일 뿐이다.

글 : 프레스턴 호그(Preston Hogue)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>