최초의 코드 스캔 시 취약점 발견되는 경우가 75%
개발자만의 문제 아냐...보안을 할 수 없는 환경이 더 문제

[보안뉴스 문가용 기자] 애플리케이션 보안이 여전히 문제다. 보안 업체 베라코드(Veracode)는 “많은 업체들이 애플리케이션 보안 문제 때문에 사고를 겪는다”고 하며 “개발자들만의 문제가 아니”라고 강조한다. 그렇다면 뭐가 문제일까? “조직 전체적인 보안 훈련을 제대로 하지 않는 것이 첫 번째 문제이고, 사업 운영 팀들이 개발 환경에서 취약점을 파악하고 처리하는 것에 큰 의의를 두지 않는 게 두 번째 문제입니다.”


베라코드는 작년 4월부터 올해 3월까지, 1400여개 고객사에서 운영되고 있는 앱의 코드 2500억 줄을 분석해 ‘소프트웨어 보안의 현 상태 2017’이라는 보고서를 발표했다. 그러면서 “최초 스캔 시 취약점이 한 개 이상 발견되는 경우가 75%”라는 충격적인 사실을 보안 업계에 알려왔다. “그 중 12%는 위험성이 ‘매우 높거나’ ‘높은’ 경우였습니다. 또한 자바로 만들어진 애플리케이션의 경우 88%에서 심각한 취약점이 발견됐습니다.”

충격은 여기서 끝나지 않는다. “2017년 보고서에 등장한 취약점들이 거의 전부 작년 보고서에 나왔던 것들입니다. 정보 유출 오류가 가장 많았는데, 약 65%의 애플리케이션들에서 발견되었습니다. 그 뒤를 이어 암호화 기술과 관련된 오류가 62%를 기록했고, 코드의 질과 관련된 문제 역사 56%였습니다.” 발전은커녕 변화조차도 없이 세월만 쌓이고 있다는 것이다. “당한 것에 또 당하고, 그것에 또 당하는 상태가 여전히 반복되고 있습니다.”

베라코드의 제품 마케팅 수석 책임자인 팀 자렛(Tim Jarrett)은 “답답한 현실만 확인한 꼴”이라고 설명한다. 그럼에도 놀랄 거리가 전혀 없었던 것은 아니었다. “먼저 소프트웨어 개발 초기 단계에서의 스캐닝 도입 비율이 증가하긴 했습니다. 10.5%에서 11.1%로 약간이나마 올랐거든요.” 그렇지만 아직도 애플리케이션 스캔을 분기에 한 번 하는 업체들이 대부분이라고 한다.

또한 정책적으로 ‘우선권’이 주어진 문제들이나 보안 이슈들의 경우 그렇지 않은 것들에 비해 두 배 빠르게 처리된다는 것도 알아냈다. “이는 아직도 보안이 정책이나 표준 지키기에 국한되어 있다는 걸 뜻합니다.”

베라코드는 “개발자만의 잘못이 아니”라고 주장한다. “물론 개발자들이 보안 점검에 게으른 경우도 여전히 많습니다. 하지만 하고 싶어도 할 수 없는 분위기나 환경에서 개발 업무를 수행하는 경우가 훨씬 많아요. 보안 업계가 ‘개발자들이 문제’라고만 말할 수 없습니다.”

먼저는 사업을 운영하는 자들이 보안을 사업 운영의 일환으로서 반영하지 않는다면, 보안 점검이나 코드 스캔은 ‘사치’가 되어버린다는 것을 베라코드는 지적한다. “최초 스캔에 취약점이 75% 이상 나온다는 건 개발 환경 전체가 보안의 측면에서 깨끗하지 않다는 겁니다. 요리로 따지면 주방 자체가 더럽다는 것이죠. 요리사에게 주어진 일정이 너무 빡빡해 청소는 엄두도 못 내고 있고요. 요리사가 주방을 관리 못했다기보다 음식점이 관리를 못한 것입니다.”

웹 애플리케이션들의 경우, 베라코드는 웹 서버를 점검했는데 약 25%에서 취약점이 한 개 이상 나왔다. “심지어 19%의 웹 서버는 10년 전의 것도 있었습니다. 웹 서버는 개발자가 마련하거나 구매할 수 없는 것이 보통이죠. 이런 환경에서 어떻게 개발자만을 탓하겠습니까?”

또한 개발자들에게 보안 교육을 제대로 시키지 않는 것도 문제라고 베라코드는 짚는다. “보안 교육은 항상 바뀌어야 합니다. 공격 방식이나 위협의 지형도의 변화가 끊임없기 때문이죠. 늘 하던 것만 형식적으로 알려주는 보안 교육은 안 하는 것이나 다름없습니다. 실제로 보안 교육을 제대로 받지 못하고 있다고 답한 개발자가 68%나 되었습니다. 개발자의 보안 지식을 점검하거나 보안 교육을 받는 것을 필수로 정한 기업은 24%도 되지 않았고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>