내부적인 취약점 예방 가능한 소스코드 보안이 주목받아   

[보안뉴스 김태형] 최근 다양하고 진화된 웹 보안위협은 기업의 비즈니스 환경에서 웹 애플리케이션 보안이 얼마나 중요한지 깨닫게 해준다.

특히, 기업들은 웹 애플리케이션 보안 강화를 위해 웹 방화벽, 웹 스캔, 웹 취약점 분석도구, 모의침투 테스팅, 소스코드 분석 등 다양한 방법으로 접근하고 있는데 최근에는 소스코드 보안을 통한 취약점 수정으로 변화하고 있다.

이와 관련해 지난해 행정안전부는 공공기관부터 안전한 정보 시스템을 개발할 수 있도록 전자정부 서비스를 우선 대상으로 소스코드 보안 취약성 진단을 위한 ‘시큐어코딩’을 시범 적용했고, 올해부터는 공공기관을 대상으로 단계적으로 법제화한다는 계획을 발표하기도 했다.

이와 같이 시큐어코딩(Secure Coding)은 정부에서도 관심을 갖고 있고 법제화 될 정도로 이슈가 되고 있다. 이로 인해 각 기관과 기업들은 웹이나 소프트웨어의 개발단계(SDLC)에서부터 소스코드를 관리하여 보안취약점을 최소화할 필요가 있으며 이를 통한 보안 강화 및 사고 예방에 있어 시큐어 코딩을 적극 도입해야 할 것으로 보인다.   

한 보안 전문가는 “이러한 소스코드 보안을 통한 시큐어코딩은 기업과 기관은 안전한 소프트웨어 개발 및 웹 보안 전략을 수립하고 최근 증가하고 있는 해킹 및 정보유출 등 웹을 통한 보안 위협에 대처해야 한다”고 설명했다.

또한 소스코드 보안 전문업체의 한 관계자는 “기존에는 웹 방화벽과 같은 외부의 보안위협을 차단하는 보안 솔루션을 주로 사용했지만 향후에는 내부적인 취약점 예방이 가능한 ‘시큐어코딩’을 통해 2중, 3중의 보안을 강화해야 할 것”이라고 덧붙였다.

지난해 다양한 보안사고들로 인해 정부기관 및 기업들은 정보보호 예산을 높게 책정하거나 증액하고 있는 상황이다. 그러나 예산을 늘리고 보안 시스템만 추가한다고 보안사고가 예방되고 완벽한 보안이 이루어지는 것은 아니다.

현재의 보안 위협은 날로 지능화·다양화되고 있기 때문에 보안사고의 위협은 여전히 존재한다. 하지만 최신 보안 기술과 트렌드에 맞는 적절한 보안대책을 시행한다면 보안 취약점을 줄여 사고를 예방할 수 있다.

특히, 소스코드 보안은 도입 초기에 예산이 조금 증가할 수 있지만 소스코드 보안을 통해 개발단계에서부터 취약점을 미리 분석해서 적용하면 보안사고의 위험을 크게 감소시킬 수 있다. 더욱이 사후 처리에 소요되는 비용 또한 낮출 수 있기 때문에 보다 효율적인 보안대책 수립이 가능하다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>