해외에서는 애플리케이션 보안 때문에 ‘보안 챔피언’이란 자리 마련하고 있어
보안 홍보 대사 역할을 하며 프로젝트를 이끄는 담당자...조직은 어떤 지원 제공하나?

[보안뉴스 문가용 기자] 애플리케이션 개발이 은근 뜨거운 관심거리다. 해외에서는 보안 전문가와 각 조직의 개발 팀을 이어주는 ‘보안 챔피언 프로그램’들이 각양각색으로 개발되고 있기도 하다. 여기서 ‘보안 챔피언’이란, 보안이라는 목표를 가지고 프로젝트를 이끄는 개발자, 아키텍트, 엔지니어 등을 말한다. 보안 업체 옵티브(Optiv)의 위협 관리 국장인 숀 아스무스(Shawn Asmus)는 보안 챔피언이란 것에 대해 “애플리케이션 보안을 위한 권장 및 실천 사항을 홍보하는, 일종의 앱 보안 홍보 대사”라고 설명한다. 이번 주말 어록위클리에서는 이 ‘보안 챔피언’ 혹은 보안을 놓치지 않고 성공적으로 프로젝트를 이끌고 싶은 사람들에게 필요한 것들을 전문가의 입을 통해 꼽아 본다.


“아무리 훌륭한 보안 챔피언이라 하더라도 보안을 밑바탕으로 한 개발 생애주기가 확립되어 있지 않으면 길을 잃고 만다. 보안이 강화된, 안전한 소프트웨어가 무엇인지, 어떤 기대치를 충족시켜야 하는지, 어떤 가치를 제공해야 하는지, 전부 명확하게 규정되고 그에 따른 블루프린트가 있어야 한다. 또한 프로젝트 참여자 각자의 책임과 역할에 대한 것도 정의되어야 한다.”
-아이오액티브(IOActive)의 브룩 슈엔필드(Brook Schoenfield)-

“모든 사람들의 역할과 책임을 분명히 규정하고, 그것을 간략하게 목록화 한 문건이 필요하다. 이건 일이 잘못되었을 때 문책할 사람을 정해두겠다고 만드는 게 아니라(의외로 많은 조직들이 이 부분을 모른다), 일을 명확하게 분담하겠다는 것이다. 특히 어떤 사안에 있어서 누가 결정권을 가지는지를 시작부터 정확히 해야 한다. 안 그러면 보안은 뒤로 밀릴 수밖에 없다.”
-옵티브의 숀 아스무스-

“애플리케이션 인벤토리를 말끔하게 정리하고 완전히 통제하는 것이 프로젝트의 목표일 수 있다. 치명적인 위험도를 가진 취약점들을 전부 찾아서 제거하는 게 목표일 수도 있다. 이건 기업의 상황마다 다를 텐데, 뭐가 됐든 간단하게 규정이 가능하고, 완료 후 성과 측정이 가능한 목표를 먼저 정하는 게 좋다. 복잡하고 추상적인 프로젝트를 추구하고 싶다면 좀 더 팀웍과 신뢰가 쌓인 후로 미뤄두라.”
-컨트라스트 시큐리티(Contrast Security)의 제프 윌리엄즈(Jeff Williams)-

“회사 혹은 기관 차원의 지원을 해 줘야 보안 챔피언도 제대로 일을 할 수 있다. ‘너 보안 챔피언이라며? 그럼 알아서 잘 해봐’라고 책상만 하나 떨렁 던져 주면 아무도 일을 할 수 없다. 필요하다면 교육과 훈련의 기회도 제공해야 한다. 특히 조직 내부적으로 위험을 어떤 식으로 평가하고, 순위를 어떻게 정하는지, 현재 보안 도구들에 어떤 것이 있는지 등은 상세히 알려 줄수록 좋다.”
-화이트 오크 시큐리티(White Oak Security)의 크리스토퍼 에머슨(Christopher Emerson)-

“너무나 당연한 말이지만 보안 홍보 대사의 역할을 하는 만큼 실제 보안 업무도 해 볼 기회가 있어야 한다. 프로젝트 관리에 따른 행정 업무에만 100% 역량을 쏟아야만 하는 경우가 있는데, 이런 일이 누적되다 보면 보안을 모르고 보안을 홍보하고 강조하는 ‘보안 꼰대’가 되기 십상이다.”
-링크드인(LinkedIn)의 짐 해밀턴(Jim Hamilton)-

“사실 보안 챔피언이나 보안 홍보대사나 보안 프로젝트 리더나, 명칭만큼 역할도 제대로 규정되지 않은 게 현재 상황이다. 이런 상황에서는 누구라도 갈 길을 헤매고 기대 받은 역할을 수행하기 어렵다. SAST, DAST, ISAT SCA와 같은 도구를 설정하고 실행할 수 있도록 해주고, 명확하고 성취 가능한 목표를 제시해야 한다. ‘우리 조직에서 바라는 애플리케이션 보안’이라는 걸 심도 있기 토론하고, 모두가 동의하는 답을 끌어내야 한다.”
-데님 그룹(Denim Group)의 댄 코넬(Dan Cornell)-

“아무리 애자일이나 스크럼 등 애플리케이션 개발과 팀 운영의 방법론이 바뀐다 하더라도 바깥에서만 맴도는 사람들이 하나 둘은 생기게 마련이다. 그런 사람들이 팀의 분열에 촉매제 역할을 할 때가 정말 최악이다. 보안 챔피언 혹은 프로젝트 리더는 이런 상황에서 리더십을 발휘해야 하는데, 이게 말이 쉽지 정말 어려운 일이다. 조직 차원에서 이런 일을 방지할 수 있는 프로그램과 지원 체계를 마련해 처음부터 보안 챔피언 역할을 맡은 사람에게 알려줘야 한다. 사실 프로젝트 자체의 난이도도 문제지만, 사람과의 문제가 제일 어렵다.”
-아이오액티브의 브룩 슈엔필드-

“보안을 담당할 프로젝트 리더나 ‘보안 챔피언’과 같은 사람을 조직 내 보유하고 있다는 건 대단한 축복이다. 요즘 보안 전문가가 갈 수 있는 곳은 대단히 많기 때문이다. 성공적으로 애플리케이션 보안을 강화하고 싶다면, 보안 챔피언이 충분한 기간 동안 조직 내에 머물며 일하고 싶도록 만들어야 한다. 연봉이나 복지도 중요하지만, 보안 전문가로서 역량을 키워갈 수 있다는 희망도 줘야 한다. 그런 의미에서 교육 훈련을 지원하는 것이 좋은 방법이다.”
-데님 그룹의 댄 코넬-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>