클라이언트들의 보안의식부터 바뀌어야 한다!

개발자들이 보안에 팔 걷어 부치면 큰 변화온다!

알고있는 보안이 "10"이라면 현실에서는 "1~2"만 적용

국내 정보보호를 위해 가장 중요한 임무를 수행해야할 직업군은 어떤 사람들일까?

국가정보원 관계자들 아니면 정보통신부 공무원들, 그렇지 않으면 정보보호 기업관계자들? 아니라고는 말할 수 없지만, 이 보다 더 중요한 역할을 수행해야할 사람들은 바로 ‘프로그램 개발자’들이다.

모든 프로그램 및 웹사이트들은 개발자들에 의해 구축된다. 이들이 사이트의 모든 부분을 설계하고, 웹 사이트의 뼈대를 만든다. 또 사이트 내부의 기능들이 원활하게 돌아가고 사용자들이 편리하게 사용할 수 있도록 만들어간다.

하지만 이 과정에서 보안 마인드 없이 기능이나 편의성만을 추구하며 만들어진 사이트들 때문에 우리는 지금 많은 대가를 지불하고 있다. 각종 사이트에서 빠져나간 개인정보들이 중국 사이트를 떠돌고, 중국 게이머들이 이를 이용해 자유롭게 국내 게임사이트에 명의도용해 가입을 하는 상황이 벌어졌다.

또 공공기관은 말할 것도 없고 각급 대학이나 병원, 언론사 등등 수많은 사이트들이 해외 해커들의 공격에 무방비로 노출돼 있고, 실제로 외국 해커들에게 관리자 권한까지 넘겨줘가며 농락당하고 있는 것이 현실이다.

Microsoft MVP(솔루션 아키텍트) 류한석씨는 “지금까지는 보안요구사항에 대해 클라이언트들은 전혀 언급하지 않아 왔던 것이 사실이다. 대부분의 SW 개발시 주요 요구사항들은 기능과 비즈니스 측면만 강조되었다. 그래서 개발자들은 보안에 대한 지식이 있다 하더라도 빡빡한 작업일정에, 클라이언트가 요구하지도 않은 ‘보안’까지 신경을 쓸 여력이 없다. 그래서 대부분의 사이트나 프로그램들이 취약점을 근본적으로 가지고 있다고 봐야한다”고 말했다.

그럼에도 불구하고 그는 “개발자들도 이제는 보안에 대해 많은 공부를 해야 한다. 개발자들만이 할 수 있는 보안들이 있다. 개발하는 SW에 어떤 취약점이 있는지 개발자는 알고 있다. 개발자들은 사전예방 작업 성격의 보안을 하는 최일선에 자신이 있다고 생각해야 한다. 이 부분에 있어 한국은 아직 많이 부족하다”고 덧붙였다.

마이크로소프트 빌게이츠 회장은 윈도우 비스타를 준비하면서 개발자들에게 CISSP 교육 등 다양한 보안교육을 필수항목으로 정하고 개발자들이 이를 이수할 것을 지시했다고 한다. 개발단계에서부터 시큐어소프팅이 되지 않으면 나중에 수정하는 것은 더 많은 에너지가 소비된다는 것을 깨달은 것이다.

MS 관계자는 “제품 출시가 지연되는 한이 있더라도 이제는 시큐리티 테스트를 통과하지 못한 제품들은 출시를 하지 않고 있을 정도”라고 말하고 있다.

류한석씨는 “개발자들은 자신이 만든 소프트웨어가 시큐어한지 지침서를 만들고 체크리스트를 만들어 체크를 해야 한다. 더 나아가 클라이언트에게 보안에 대한 중요성을 인지시키고 이를 설득할 수도 있어야 한다. 나중에 자신이 구축한 사이트나 소프트웨어가 보안에 취약해 문제가 발생하면 개발자 자신에게도 마이너스 적인 부분이 클 것”이라고 강조했다.

물론, 시큐어소프팅이 잘 되지 않는 근본적 이유는 ‘보안 관념이 없는 클라이언트’들에게 있다. ‘몇월 며칠까지 이러이러한 기능이 되도록, 그리고 보기에 좋은 이쁜(?) 사이트 혹은 프로그램을 만들어내라. 시간이 없다’는 것이 일반적인 클라이언트들의 요구라고 한다.

덧붙여 류씨는 “보안 지식이 있다 하더라도 지금과 같은 상황이라면 보안은 힘들다. 솔직히 개발을 하면서 반영해야 하는 보안기능이 "10"이라면 현실적으로 "1~2" 정도만 보안기능을 추가할 수밖에 없는 상황”이라며, “클라이언트들의 보안의식이 바뀌는 것이 무엇보다 중요하다. 클라이언트 측에서 먼저 보안에 대해 요구하고 나온다면 문제가 달라지기 때문이다”라고 밝혔다.   

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>