“중앙관리팀이 웹개발전에 보안표준 제시해줘야...”

모든 개발자가 적용할 수 있는 보안가이드라인 필요

국가정보원은 지난 12일 국내에서 발생한 해킹, 바이러스 등 사이버 침해사고 현황과 사례들을 분석한 책자(국가사이버안전센터홈페이지(ncsc.go.kr)에서 센터자료실-참고자료실을 찾아가면 다운로드할 수 있다)를 발간해 기업체, 학계, 연구소에 배포한바 있다.

그 자료에 따르면 올해 사이버침해에 대해 ▲개인정보 수집형 악성코드 증가 ▲온라인 사기와 관련된 위협 증가 ▲해킹기법 등 악성코드 전파수단 다양화 ▲인터넷전화에 대한 위협 가시화 ▲웹해킹 위협 증가 ▲이메일 S/W와 같은 응용프로그램 공격 증가 등 6가지 유형의 사이버 위협이 증가할 것이라고 발표했다.

따라서 올해도 웹에 대한 공격은 더욱 증가할 전망이며 이를 예방하고 피해를 최소화하기 위해서는 웹개발자와 웹사이트 운영과 관리자의 책임은 실로 막중하다.

얼마전부터 <보안뉴스>는 한국정보보호진흥원(KISA) 관계자와 정보통신부 관계자들 및 여러 보안전문가들의 입을 통해 웹개발자들의 보안의식 부재와 개발시 관행에 대해 지속적으로 지적해온바 있다.

이에 웹개발자들은 불만을 토로하며 ‘웹개발자는 보안전문가가 아니다’ ‘보안은 사이트 운영ㆍ관리하는 조직이 책임져야 한다’고 주장하고 있다. 다소 감정적이고 산발적이었던 웹개발자들의 의견을 대표해 이번에 MS의 ‘MVP 인사이더’로 선정된 닷넷엑스퍼트 책임 컨설턴트 김태영(35)씨의 입을 통해 개발자에 대한 ‘입장’을 들어보기로 했다.     

참고로 MS MVP는 MS의 기술을 전파하고 왕성한 커뮤니티 활동을 펼친 전문가들에게 주어지는 명예이며 이들 MVP중 가장 공로가 큰 사람에게 매달 전세계적으로 단 1명에게 선정하는 것이 바로 ‘MVP 인사이더’다.

김 컨설턴트는 지난 1월 국내 1호 ‘MVP 인사이더’로 선정돼 개발자로서 최고의 영예를 차지한바 있다. MS MVP는 약 2천6백명 정도이며 이중 ‘MVP 인사이더’는 전세계적으로 20여명에 불과하다.

 

Interview

김태영 닷넷엑스퍼트 책임컨설턴트

 

“웹개발자는 보안전문가 아니다”

“보안전문팀에서 개발전 보안가이드라인 제시해줘야”

 

<지난 1월 국내 최초 MS MVP 인사이더에 선정된 김태영 컨설턴트>ⓒ보안뉴스

 

-닷넷엑스퍼트 책임컨설턴트로서 주요 업무는 어떤 것인가?

 

한마디로 개발의 표준을 잡아주는 일을 하고 있다. 또한 프레임워크 작업을 통해 퀄리티 높은 개발을 할 수 있도록 개발 전(前)단계 컨설팅 작업이라고 보면 된다. 개발이 완료되고 후반부에 마무리 안정화 지원 작업도 포함돼 있다. 주로 대기업 위주로 컨설팅 의뢰가 들어온다.

-개발자들이 보안에 신경을 쓰지 않는다는 지적이 있다. 어떻게 생각하는가?

 

사실 개발자들 입장에서 보안에 신경을 쓸 여유가 없다. 클라이언트는 여유있게 개발 시간을 주지 않기 때문에 계속되는 밤샘 작업의 연속 속에서 자기를 개발할 시간은 더욱 없고 보안에 대해 공부하기 보다는 우선 사이트가 돌아갈 수 있는 코드를 공부하는데 더욱 신경을 쓰게 마련이다. 보안은 개발팀이 아닌 별도의 표준화팀에서 담당해야 한다고 생각한다. 개발자라고 해서 왜 보안에 신경을 쓰고 싶지 않겠나. 개발자 입장에서는 사실 ‘보안’보다는 ‘삶’이 우선이다.

-그럼 개발자들은 보안에 책임이 없다는 말인가?

 

아니다. 개발이 돌입되기 전에 최상의 보안프로세스가 나와 있어야 한다는 말이다. 개발자가 아닌 보안전문가팀이 제시하는 보안가이드라인이 있다면 개발자들은 이에 충실히 따라야할 의무는 있다. 즉 보안은 개발자와 보안전문가 공통의 책임이지만 우선적으로 사이트 운영과 관리자 측에서 보안팀을 구성해 최상의 가이드라인을 만들어 개발전에 개발자들이 준수해야할 사항들을 알려준다면 지금보다 더욱 안전한 웹사이트들이 만들어질 것이다.  

-‘개발자는 보안전문가가 아니다’는 말을 어떻게 생각하는가?

 

맞는 말이다. 개발자는 보안전문가가 아니다. 앞에서 말했듯이 개발자가 개발에 착수하기 전에 개발자들에게 보안가이드라인을 제시해주고 이를 관리 감독할 수 있는 조직만 갖춰진다면 문제될 것이 없다. 개발자 개개인이 알고 있는 보안지식에는 한계가 있다. 개발자 레벨마다 천차만별일 것이다. 여러 개발자가 공동으로 진행하는 프로젝트에서는 특히 개개인 개발자가 모두 다른 보안가이드라인을 자신 스스로 가지고 있을 것이다. 따라서 이러한 개인차가 존재하는 보안관계를 조율하고 최상의 가이드라인을 제시해주는 조직이 필요하다는 말이다. 전체적인 중앙관리팀에서 보안코드를 제시해주면 개발자는 그것을 토대로 개발에 적용하면 되는 것이다.

-그럼 개발자는 오로지 지시에 따라 움직이는 사람인가?

 

그건 아니다. 중앙관리팀에서 제시한 하이레벨의 보안코드는 반드시 준수해야할 기본 사항이라고 보면 된다. 그 나머지 개발에 있어서는 개발자들에게 최대한 창의적인 개발이 될 수 있도록 지원해주고 믿어주는 것이 최선이다.

-개발자들 근무 여건은 어떤가?

 

사람마다 경력마다 다르겠지만 경력 3~4년차 이상되는 개발자들은 어느 정도 인정을 받고 있다고 본다. 예전에 비해 보수나 근무 여건도 좋아진 편이라고 할 수 있지만 여전히 개발자들 사이에서의 ‘빈익빈 부익부’ 현상은 존재한다고 생각한다. 따라서 개발자들은 꾸준히 자기개발에 힘들어도 투자해야 한다는 것을 알고 있을 것이다.

출판시장, 판매부진우려...보안관련 도서출판 외면 

보안관련 책자와 가이드라인...정부의 역할 중요

 

<"개발전에 중앙관리팀에서 최상의 보안코드를 제시해줘야 한다. 또한 정부에서는 보안관련 서적을 출판이나 온라인을 통해 개발자들이 쉽게 찾아 볼 수 있도록 배포해줘야 한다"고 주장하는 김태영 MS MVP 인사이더> ⓒ보안뉴스

-일부에서 웹개발 관련 책에서 보안에 대한 언급이 거의 없다고 지적하고 있다. 인기있는 웹개발도서를 발간한 저자로서 어떻게 생각하나?

 

우선 개발자를 위한 보안프로그래밍 책을 발간하려는 출판사가 없다. 앞에서도 언급했듯 국내 개발자들이 주로 찾는 책은 어려운 보안부분까지 언급하고 있는 책보다는 내용이 쉽고  개발업에 지극히 필요한 현실적인 책을 선호하기 때문이다. 따라서 국내 발간된 웹개발서들은 초급위주의 책이 가장 많다. 대중적인 책 위주로 출판이 되다보니 중급서들은 나오지 않고 있고 더군다나 많은 지식이 필요한 보안코드책은 드문 실정이다. 사실 보안을 제외한 현재의 개발관련 도서들도 분량이 상당하기 때문에 보안분야는 별도로 책이 발간돼야 한다.

-그렇다면 대안은 없는가?

 

개인이나 이익을 우선시 하는 출판사에서 웹개발시 필요한 보안전문도서를 출간해주기를 기대하기는 어렵다. 잘 팔리지 않기 때문이다. 따라서 이러한 중요한 문제는 정부가 나서서 해야 한다. 정보통신부나 KISA가 보안전문가들에게 웹개발시 필요한 보안가이드라인과 같은 책을 발간해 모든 개발자들이 공유할 수 있도록 배포하면 된다.

자금여력이 있는 기업에서는 최근 웹개발시 보안팀을 구성해 개발시점부터 보안에 대해 신경을 많이 쓰고 있다. 하지만 상당수의 기업에서는 웹사이트구축시 보안까지 신경쓰기란 힘들다. 이러한 상황에 정부가 발간한 웹개발보안가이드라인(웹보안 표준코드 등) 전문 책자들이 있다면 이들에게 훌륭한 지침서 역할을 할 것이라고 생각한다.

또한 발간만 할 것이 아니라 개발자들이 많이 찾는 곳에 재배포가 이루어져 많은 개발자들이 공유할 수 있도록 홍보도 적극적으로 해야 한다. 보안이 그렇게 중요한 사안이라면 정부에서 찾아가는 서비스라도 해서 적극적으로 문제해결의 의지를 보여야 할 것이다.

-웹개발과 관련 정부의 역할에 대해 좀더 구체적인 생각이 있다면?

 

모든 개발자들이 동일한 수준의 보안코드를 적용할 수 있도록 정부의 웹개발 프로그래밍을 위한 보안가이드라인이 필요하다. 보안과 관련 운영지침, 프로그램지침, 관리지침 등이 있는 데이터를 개발자들에게 보급하는 것이 중요하다.

내 사이트(‘태오의 ASP’ www.taeyo.pe.kr)에 회원수만 7만명이기 때문에 국내 웹개발 인원은 최소 10만명은 넘을 것으로 본다. 이들에게 모든 책임을 묻기보다 정부가 됐든 의뢰 기업이 됐든 누군가가 보안표준을 제시해주는 역할을 해줘야 한다는 것이다. 

-웹개발자들에게 한마디?

 

프로그래밍을 즐기고 개발을 게임이라고 생각하며 일해왔다. 앞으로도 그럴 것이다. 나에게서 일은 하나의 흥미로운 게임이다. 하지만 이러한 모습을 다른 사람들은 열정이라고 표현한다. 그런가운데 돈도벌고 명성도 얻게 되는 것이 아닐까. 웹개발이라는 일은 임시방편이나 취직을 위해 할 수 있을 만한 업무는 아니다. 그럼 고생만 하다가 그만두게 된다. 웹개발은 3D직업이다. 단 자신이 즐기지 못한다면 말이다. 그 즐거움을 위해 개발자 커뮤니티 사이트(www.taeyo.pe.kr)를 운영하고 회원들과 오프라인 자리도 최소 일주일에 한번 번개모임을 갖고 있다. 주량은 소주 한병 반 정도, 모임자리에서는 일에 대한 이야기보다 삶에 대한 이야기가 주로 오간다. 현재 동생(김덕영)도 엔씨소프트에서 웹 관련 근무를 하고 있지만 일을 즐기지 못한다면 얼마나 불행한 일인가. 즐거움은 곧 열정이다.

-10년 뒤나 먼 훗날 꿈이 있다면?

 

10년 뒤 보다는 올해 무엇을 해야하나를 생각하고 올해 하고싶은 일들을 나열한 후 이루어 나가려고 노력하는 스타일이다. 항상 가까운 것부터 집중해서 처리하고 있다. 

지금 3살박이 아들이 있는데 현재 운영하고 있는 사이트를 훗날 아들에게 보여주며 아빠는 이런 공간을 통해 사람들과 이야기하고 이러이러한 일을 했고 그들과 삶의 즐거움을 느끼며 살아왔다는 것을 보여주고 싶은 꿈은 가지고 있다. 물론 아들이 개발자를 원한다면 적극 밀어줄 것이다. 

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>