취약점도 알고 있고 대처법도 알고 있는데 왜 자꾸 사고가?
개발자와 보안 담당자의 간극 줄이는 노력이 2순위, 1순위는...

[보안뉴스 문가용] 익스플로잇이 알려진 취약점들에 대한 대처가 가능하고, 그 기술이 계속해서 발전한다고 하면 왜 해킹 범죄는 계속해서 발생하는 걸까? 이 문제에 답을 내리기 위해서는 먼저 현대 보안의 가장 큰 화두는 결국 ‘애플리케이션 보안’이라는 말로 요약이 가능하다는 전제를 바탕에 두어야 한다. 그리고 이 애플리케이션 보안이란 말을 쉽게 풀어쓰면, 웹 브라우저라는 벽 안에서 일어나는 모든 일들이라고 볼 수 있다. 이미지를 공유하고 가계부를 쓰고, 온라인 쇼핑몰에서 결제를 하고, 인터넷 강의를 듣고, 개인적인 이야기를 친구나 가족들과 나누는 등 사이버 상에서 우리가 즐기는 모든 일들을 아우르는 게 바로 애플리케이션 보안이다.



이렇듯 우리의 생활이 애플리케이션을 중심으로 이루어져가고 있다는 건 사이버 범죄자들 역시 늘어난다는 소리다. 그렇기 때문에 애플리케이션의 근본 목적은 소프트웨어들을 안전하고 ‘단단하게’ 만듦으로써 늘어나는 범죄자들로부터 일상을 지켜내는 것이다. 소프트웨어를 통해서 많은 범죄자들이 들어오니 결국 그 문만 걸어 잠그면 되는 것이다. 기업들 입장에선 웹 사이트들과 그 기저에 깔린 다양한 소프트웨어들을 제작할 때 시큐어코딩을 하는 것으로 이를 도모할 수 있다. 이미 사이트와 소프트웨어가 있다면 취약점 점검을 하면 된다.

그런데 현실에서는 이 두 가지가 혼재해 있는 경우가 대부분이다. 즉 취약점 점검도 해야 하고 동시에 시큐어 코딩도 고민해야 하는 것이다. 그리고 사실 이 두 가지에 대한 방법론들도 무수하고, 답들도 이미 나와 있는 상태다. 우린 현존하는 취약점들의 대부분을 이미 알고 있으며, 그걸 어떻게 해결해야 하는지도 알고 있고, 또 시큐어 코딩을 통해 취약점을 아예 처음부터 존재하지 않도록 하는 방법도 알고 있다. 그렇다면 왜 해킹 사고가 끊임없이 발생하는가? 해커들은 우리가 알고 있는 것들의 미세한 틈새를 잘 파고드는 걸까, 아니면 우리가 알고 있다고 생각하는 것들의 틈새가 상당히 넓은 걸까?

정보보안에 오랫동안 종사해온 사람으로서 일단 지식이나 기술이 부족해서는 아니라고 단언할 수 있다. 보통 일반 사용자들의 인식을 말하는데, 그것 역시 부족한 건 아니다. 오히려 보안 담당자들이나 CEO들이 더 해이하면 해이하다고 볼 수도 있을 정도다. 개인적으로 느끼기에 해킹이 자주 일어나는 이유는 우선순위를 잘못 정하고 있기 때문이다.

보통 정보보안 중 가장 많은 예산이 투자되는 곳은 방화벽과 백신 소프트웨어 등 우리가 흔히 알고 있는 전통적인 방어 시스템이다. 그러나 이런 솔루션들은 애플리케이션 단계에서 들어오는 공격에 대해서는 매우 무력하다. 소프트웨어를 지키는 데에는 더더구나 무용지물이다. 애플리케이션 보안에 대비하려면 막 말로 지금 가지고 있는 것들을 전부 폐기처분하고 시원하게 물갈이해야 할 필요가 있다.

그런데 이는 예산이 많이 드는 방법이며, 실용적이지 않다. 점진적으로 교체해나가되 즉시 실행할 수 있는 부분이 있다면 바로 ‘스킬 관리’이다. 보통 현재의 보안 담당자들이 가지고 있는 기술은 네트워크 단계의 보안에 많이 치우쳐 있다. 소프트웨어 개발 과정을 면밀히 알고 있는 사람은 드물다. 직접 경험해본 사람은 더 희귀하다. 물론 반대의 경우도 마찬가지다. 그래서 작금의 개발자와 보안 담당자들 간 소통불능 문제가 발생하는 것이다. 스킬의 관리란 바로 이 문제를 해결하는 움직임을 지칭한다. 둘이 대화가 안 된다고 회사가 넋 놓고 있으면 손해는 결국 회사로 돌아간다.

많은 부분 이는 ‘교육’으로서 접근이 가능하다. 소프트웨어 개발자들과 보안 담당자들 모두가 서로에 대해 배울 수 있는 장을 마련해주는 것이다. 여건에 따라 하루 날을 잡아 벼락치기처럼 운영할 수도 있고 워크샵을 마련해 며칠을 투자할 수도 있다. 중요한 건 교육의 기준이 있어야 하는데 이는 ‘공격자의 입장’이 되어야 한다. 공격자의 입장에서 소프트웨어 개발 단계를 숙지하고, 공격자의 입장에서 시큐어 코딩을 비롯한 안전한 개발을 논해야 하는 것. 이게 굉장히 중요한데, 막연하게 ‘개발’이나 ‘보안’을 서로에게 공부하게 하는 것과, 가상의 적을 염두에 두고 그에 맞춰 과정을 이끌어가는 것에는 효과라는 측면에서 커다란 차이가 있음이 이미 증명된 바 있다.

즉 애플리케이션 보안을 꾀하기 위해서는 먼저 지금 가지고 있는 보안 솔루션들이 상당히 ‘낡았다’는 걸 인지하고 새롭게 바꿀만한 것들을 예산이 허락하는 선 안에서 알아보고 구입해야 한다. 동시에 개발자들과 보안 담당자들이 가지고 있는 스킬을 하나로 합쳐야 한다. 애플리케이션을 통한 공격은 결국 소프트웨어를 통한 공격이기 때문이다.

[편집자 주 : 필자가 언급한 것처럼 개발자와 보안 담당자의 간극을 교육으로도 줄여주는 게 가능하지만 둘 사이를 이어주는 솔루션의 개발로도 가능하다. 그러한 기능을 제공하는 솔루션 및 개념에 대한 이야기는 내일 이어질 예정이다.]

정보보안의 분야들이 대부분 그렇지만 애플리케이션 보안에 있어서 가장 중요한 건 그야말로 사람이다. 사람이 만든 걸 사람이 사용하는 과정에서 온갖 사고들이 적나라하게 발생하기 때문이다. 기술이 사람의 모든 행동패턴과 돌발행동을 다 예측하고 방어할 수는 없다. 그건 사람인 보안 담당자도 마찬가지다. 그러므로 공격자가 노릴만한 것이 무엇인지 미리 파악하고(기업의 중요한 정보), 그것들이 어디에 저장되어 있는지, 어떤 보안체제가 갖춰져 있는지를 알아야 한다. 여기에 ‘보안의 우선순위’가 결정된다.

공격자의 입장에서 소프트웨어 개발 기술과 보안 기술을 하나로 모으는 것, 그리고 공격자의 입장에서 가장 껄끄러울 수 있는 보안 솔루션들을 하나둘 마련하는 것, 그것이 애플리케이션 보안의 시작점이다.

글 : 예레미야 그로스만(Jeremiah Grossman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>