네트워크 보안보다 애플리케이션 보안 더 심각... 그러나 예산은 반대
데브옵스 등 애플리케이션 개발 문화 변화로 보안 책임은 개발자들에게

[시큐리티월드 문가용] IT 보안 전문가들 대부분 애플리케이션으로 비롯되는 보안 문제가 네트워크 보안 문제보다 더 심각하다는 데에 동의한다. 그런데도 애플리케이션 보안, 일명 앱섹(appsec)에 대한 투자나 노력은 네트워크에 미치지 못한다. 둘을 비교하는 것조차 민망할 지경이다. 이는 최근 포네몬(Ponemon)에서 발표한 보고자료를 통해서도 드러나는 사실이다. 다만 이에 대한 변화가 일고 있긴 하다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ 앱섹... 얼마 필요하다고 했지?

IT 전문가 및 종사자들 사이에서 애플리케이션 보안이 어느 정도 비중을 차지하는가에 대한 포네몬의 연구 결과 응답자의 대부분이 “현재는 네트워크에 대한 공격보다 애플리케이션을 겨냥한 공격이 심각하다”고 말했다. 50%는 “단순 빈도수만 봐도 애플리케이션에 대한 공격 쪽이 더 높다”고 답했고, 58%는 “치명성도 애플리케이션 공격 쪽이 훨씬 높다”고 답한 것.

애플리케이션 공격이 네트워크 공격보다 더 ‘심각한’ 이유는 1) 탐지가 매우 어렵고 2) 격리(contain) 조치도 어려워지기 때문이다. 애플리케이션 레이어에 대한 가시성 문제가 앱섹 문제를 해결하는 데에 가장 큰 걸림돌이라고 응답자들 대부분이 답했다.

그렇지만 이에 대한 대처는 매우 미온적이다. 응답자의 35% 정도만 애플리케이션 취약점을 탐지해 낼만한 리소스를 제대로 갖추고 있다고 답했고 30%만이 탐지 후 조치를 취할 수도 있다고 답했다. 평균적으로 봤을 때, 애플리케이션 보안 예산은 네트워크 보안에 투자되는 예산의 절반에 그쳤다.

좀 더 강력한 보안을 위해 실험을 더 강력하게 해보라는 목소리는 높아져가고 있는데 실제 현장에서는 실험이 제대로 이루어지고 있지 않다는 결과도 나왔다. 취약점을 찾기 위해 애플리케이션을 실험하고 있지 못하다고 답한 응답자가 아직도 25%나 있었고, 33%는 실험 스케줄을 미리 잡아두지 않는다거나 일년에 한 번 정도만 실시한다고 답했다. 웹 애플리케이션 방화벽을 앱섹의 가장 주요 도구로 활용하는 기업이 1/3이나 되었다.

애플리케이션 보안이 좀처럼 향상되지 않는 이유 중 하나는 보안을 전담하거나 책임질 사람을 정하기가 어렵다는 점이다. 앱을 기획하고 개발하고 출시하고 또 그걸 운영하는 모든 단계에서 취약점이 발생할 수 있기 때문이다. 그리고 이 모든 단계를 한 사람이나 한 부서에서 전부 담당하는 예는 극히 드물다.

이 ‘책임’ 문제에 대하여 56%의 응답자는 ‘IT 부서에서부터 최종 사용자 혹은 애플리케이션 소유자로 옮겨가는 분위기’라고 답했다. 하지만 이것은 어디까지나 ‘분위기’일뿐, 이 시점에서는 ‘애플리케이션 보안’의 책임이 해당 애플리케이션을 만들고 관리하는 주체인 기업 내 여러 관계자들에게 분포되어 있다.

현재 애플리케이션 및 소프트웨어 개발 방법론 중 하나인 데브옵스(DevOps)가 점점 확산되고 있고, 이는 자동화 기술과도 밀접하게 연결되어 있다. 이런 흐름은 애플리케이션 보안에 대한 책임이 점점 개발자 쪽으로 몰리게 한다. 이번 조사 중 참가자의 71%가 데브옵스와 ‘지속적인 서비스’ 문화가 정착됨에 따라 애플리케이션 보안의 개발 과정 중에서의 보안 실험이 점점 더 중요시 될 것이라고 답했다.

보안 전문업체인 F5의 CISO, 마이크 콘버티노(Mike Convertino)는 “데브옵스는 앱섹에 큰 도움이 될 것이라고 본다”는 입장이다. “데브옵스는 개발을 모듈화시킵니다. 즉, 중앙에서의 통제가 최소화된다는 것이죠. 이는 즉 보안을 알아서 하고, 자동화로 해결해야 한다는 겁니다. 보안이 더 활성화되는 계기가 될 것입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>