지난 연말 과학기술정보통신부와 한국인터넷진흥원(KISA)은 2023년 사이버 보안 위협 전망을 발표했다. 글로벌 해킹 조직의 공격과 지능형 공격이 증가하고 재난 상황 등 민감한 사회적 이슈를 악용한 사이버 공격도 지속될 것으로 예상되는 가운데, 기업 공급망이 갈수록 복잡해짐에 따른 공격 위협도 증가할 것이란 전망이 특히 눈에 띈다. 소프트웨어 엔지니어들이 깃허브와 같은 소스코드 사이트를 활용하는 점을 노려 악성코드를 삽입하는 등의 방식으로 공격도 더 빈번히 발생된다는 것이다. 이러한 소프트웨어 관련 보안 위협의 경우 연관된 주체들이 많고 관계가 복잡하여 공격에 선제 대응하는 것이 어렵고 파급도가 매우 크다.
이에 따른 피해를 방지하고 싶다면 사전에 엔지니어링 부문의 보안 위협을 차단하는 것이 핵심이다. 소프트웨어 엔지니어링 단계에서부터 잠재적 위협과 취약점을 인지하고 엔지니어링 단계에서부터 모든 연결망을 철저하게 보호할 수 있도록 해야하며, 기업 IT 담당자는 다음과 같이 보안 중심의 엔지니어링을 강화하기 위한 6가지 방안을 기업 내 확립할 필요가 있다.
■ 종합적인 훈련 프로그램을 준비할 것
한 번도 교육받은 적이 없는 엔지니어들이 개발 과정에 보안 기능을 반영하기란 어렵다. 이들을 위해 효율적인 보안 훈련 프로그램과 함께 잠재적인 취약점에 관한 종합 리스트와 애플리케이션 개발 과정의 각 단계가 보안문제와 어떻게 연결되는지에 대한 자세한 설명도 제공되어야 한다. 아키텍처에서 코딩, 테스팅에 이르기까지 모든 엔지니어들은, 해커들이 엔지니어들의 기술 스택을 어떻게 이용하려 하는지를 모두 파악하고 있어야 한다. 또한, 훈련 프로그램은 기업별 특정 규정이나 업무 절차를 반영해 필요에 따라 맞춤식으로 구성되어야 한다.
■ 코드 첫 단추부터 확실하게
안전한 개발은 코드의 첫 줄부터 시작된다. 엔지니어들이 개발 주기의 마지막에 다다라 취약점을 한번 쓱 훑어보는 정도가 아닌, 애플리케이션을 초기 단계부터 안전하게 만드는 방법에 주목하게끔 해야 한다. 실력 있는 요리사는 접시와 조리도구가 쌓이지 않도록 요리를 하며 정리를 한다. 소프트웨어 엔지니어링도 동일하다. 모든 개발 과정마다 보안 기능을 결합시켜 훗날 겪을 수도 있는 문제를 미연에 방지해야 한다.
■ 쉬운 길을 피하라
엔지니어들은 빠르고 최적화된 방법을 찾는 것이 습관화 되어있다. 하지만, 보안에 있어서 지름길만을 좇는다면 큰 재앙을 더 빨리 만나게 될 수 있다. 엔지니어들은 팀 전체를 위험에 빠트릴 수 있는 디폴트 환경 설정을 천천히 확인하고 안전하지 않은 디폴트 비밀번호나 보호되지 않은 운영 시스템 등을 살펴보아야 한다. 애플리케이션을 만든 엔지니어보다 그 애플리케이션을 더 잘 아는 사람은 없다. 때문에, 엔지니어는 스스로 자신의 코드를 공격해보고 해커들이 침입해올 만한 엔트리를 파악하고 이러한 취약점을 해결하기 위해 노력해야 한다.
■ 협업 및 동료 리뷰를 장려하라
우리 그 누구도 완벽한 사람은 없다. 보안 침해 문제는 사람의 실수에 관한 경우가 많다. 우리는 모두 우리의 업무를 다시 한번 들여다보는 시간을 갖고 실수를 간과하지 않는지 되돌아볼 필요가 있다. 기업들은 동료 리뷰 시스템을 개발하여 제품 생산과정 전반의 버그와 취약점을 줄일 수 있도록 해야 한다.
■ 라이브러리를 자세하게 유지하라
규모 및 업종을 떠나 모든 기업들은 소프트웨어 솔루션, 애플리케이션 및 마이크로 서비스들을 매일 사용한다. 엔지니어들은 자신의 개발 과정뿐만 아니라 이를 넘어 내부 툴과 써드파티 서비스들도 신경 써야한다. 보안을 중시하는 기업이라면 취약점에 관한 라이브러리를 체크할 수 있는 시스템을 개발하고 지속적으로 이를 유지해야한다. 항상 깨어 있는 경계태세야 말로 보안의 헛점을 막을 수 있는 핵심이다.
■ 한 수 앞서 행동하라
관련기사
- 뉴렐릭, 챗GPT 통합 옵저버빌리티 기능 출시2023.03.23
- 뉴렐릭, 이형근 신임 한국 대표 선임2022.03.29
- [기고] 경영인이 옵저버빌리티 이해하고 논의해야 하는 이유2022.08.24
- 어머니 생각하며 나무 틀에 철판 두드려 만든 토요타…"시작은 이랬다"2024.11.23
사이버보안은 역동적이다. 해커들은 항상 진화하고 공격 방법을 발전시키며 기업의 주요 자산에 접근할 방법을 항상 노리고 있다. 소프트웨어 엔지니어들은 사이버보안의 최신 트렌드에 항상 앞서 있어야 하며, 공격을 방지하기 위해 기술과 지식을 예리하게 연마해야 한다.
미국 최대통신사 버라이즌의 2022년 데이터 침해 조사 보고서에 따르면, 글로벌 사이버보안 사고 중 82%는 사람이 관여된 문제라고 한다. 이처럼 대부분의 사이버보안 침해 사례는 사람들의 실수에 의한 경우가 많다. 따라서, 데이터 침해 피해를 방지하고자 하는 기업이라면, 이러한 6가지 방안을 바탕으로 보안 중심의 엔지니어링 문화를 정착시켜, 소프트웨어 엔지니어들을 포함한 모든 구성원들이 책임감을 갖고 보안 습관을 들임으로써 IT 환경을 철저하게 보호할 수 있길 바란다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.