세이프코드가 발표한 ‘소프트웨어 보안 평가 원칙’ 프레임워크
앞으로의 영향력은 차치하고, 현재 ‘대화’가 시작되었다는 것이 고무적


[보안뉴스 문가용] 소프트웨어 코딩 보안을 위한 운동을 펼치는 비영리 단체 세이프코드(SAFECode)는 오늘 기업들이 소프트웨어의 보안성을 검토할 때 사용할 만한 프레임워크를 발표했다. 세이프코드의 대표인 하워드 슈미트(Howard Schmidt)는 “기업들이 소프트웨어를 사용하기에 앞서 보안성을 평가할 수 있도록 하는 척도를 제시하고 싶었다”고 밝혔다.


“그럼으로써 기술 생태계 전반의 보안 신뢰도를 높이는 것이 가장 궁극적인 목표라고 할 수 있다”고 더 깊은 속내를 드러낸 슈미트는 “이번 프레임워크인 ‘소프트웨어 보안 평가 원칙(Principles for Software Assurance Assessment)’을 활용하면 소프트웨어 보안 평가가 보다 효율적이고 정확해질 것이며, 계속해서 사용이 가능하며 규모나 용량에 구애를 받지 않기 때문에 효율적이기도 하다”고 자랑했다.

이 프레임워크는 일부 보잉(Boeing)사와 금융 업계의 첩보 공유 플랫폼인 FS-ISAC에서 이미 활용하고 있는 평가 모델을 차용했다. FS-ISAC은 2013년 외부 소프트웨어 및 서비스를 통해 들어오는 위협을 막고자 ‘보안 성숙도 모델 구축(Building Security in Maturity Model)’이라는 평가 지침서를 발간한 적이 있다.

씨지탈(Cigital)의 CTO인 개리 맥그로(Gary McGraw)는 “현대 보안 환경에서 소프트웨어는 철저히 감시하고 검사해야 할 대상”이라고 말하며 “기능만 보고 소프트웨어를 설치하는 건 산속에서 아무 버섯이나 집어 먹는 것과 똑같은 행위”라고 표현했다. “현대 사이버 공간의 상황을 빗대자면, 산천에 널리고 널린 게 독버섯입니다. 그렇다고 모든 소프트웨어에 침투 테스트를 해볼 수도 없는 게 현재 기업들의 사정이기도 합니다.” 즉 이런 식의 평가 모델은 현대 기업환경에서 꼭 필요한 것이라는 것.

물론 코딩과 관련한 프레임워크가 등장한 것이 이번이 처음은 아니다. 애플리케이션 보안에 대해서는 ISO 27034가 있고 자동화 및 제어 시스템에 관해서는 IEC/ISA-62443라는 게 존재한다. 세이프코드의 프레임워크가 가지는 차별점이란 그 두 표준에 비해 좀 더 큰 그림에서 보안을 평가할 수 있게 해준다는 것이라고 세이프코드 측은 설명한다.

세이프코드의 프레임워크가 가지는 무게감은, 어도비, CA, EMC, 인텔, 마이크로소프트, SAP, 지멘스, 시만텍 등으로 이루어진 세이프코드 멤버십에서 드러난다. 이 회원들이 반드시 프레임워크를 도입하거나 따라야 하는 건 아니지만 “소프트웨어 업계의 큰 손들은 전부 자신들이 ‘표준’을 제시하고 싶어하”기 때문에 “이런 식으로 새롭게 등장하는 프레임워크를 나름대로 활용하려고 하고, 그 때문에 자연스럽게 프레임워크의 가치가 올라가게 된”다.

그러나 세이프코드의 이번 프레임워크가 앞날에 어떤 식으로 활용될 것인지, 얼만큼의 영향력을 가질지는 미지의 영역이다. 당장은 이런 시도가 있다는 것, 소프트웨어 보안에 대한 주목도가 올라간다는 것 자체로도 가치가 있다. “누가 했든 프레임워크는 반드시 등장했어야 했습니다. 소프트웨어 보안이 계속해서 무너지는 가운데, 제일 필요한 건 이런 관심이었거든요.”

이번 프레임워크 작성에 참여한 베라코드(Veracode)는 “세계에서 가장 크다고 하는 소프트웨어 기업들끼리 소프트웨어 보안에 대해 이야기하기 시작했다는 건 상당히 고무적인 일”이라고 하며 “더불어 계속해서 사용자와 소비자들에게서 높은 보안 실천력을 기대하는 건 업무태만에 가깝다는 걸 인지하는 계기가 되었으면 좋겠다”고 의견을 밝혔다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>