[기고] 기업 내 보안 중심 엔지니어링을 강화하는 6가지 방법

지난 연말 과학기술정보통신부와 한국인터넷진흥원(KISA)은 2023년 사이버 보안 위협 전망을 발표했다. 글로벌 해킹 조직의 공격과 지능형 공격이 증가하고 재난 상황 등 민감한 사회적 이슈를 악용한 사이버 공격도 지속될 것으로 예상되는 가운데, 기업 공급망이 갈수록 복잡해짐에 따른 공격 위협도 증가할 것이란 전망이 특히 눈에 띈다. 소프트웨어 엔지니어들이 깃허브와 같은 소스코드 사이트를 활용하는 점을 노려 악성코드를 삽입하는 등의 방식으로 공격도 더 빈번히 발생된다는 것이다. 이러한 소프트웨어 관련 보안 위협의 경우 연관된 주체들이 많고 관계가 복잡하여 공격에 선제 대응하는 것이 어렵고 파급도가 매우 크다.

이에 따른 피해를 방지하고 싶다면 사전에 엔지니어링 부문의 보안 위협을 차단하는 것이 핵심이다. 소프트웨어 엔지니어링 단계에서부터 잠재적 위협과 취약점을 인지하고 엔지니어링 단계에서부터 모든 연결망을 철저하게 보호할 수 있도록 해야하며, 기업 IT 담당자는 다음과 같이 보안 중심의 엔지니어링을 강화하기 위한 6가지 방안을 기업 내 확립할 필요가 있다.

■ 종합적인 훈련 프로그램을 준비할 것

한 번도 교육받은 적이 없는 엔지니어들이 개발 과정에 보안 기능을 반영하기란 어렵다. 이들을 위해 효율적인 보안 훈련 프로그램과 함께 잠재적인 취약점에 관한 종합 리스트와 애플리케이션 개발 과정의 각 단계가 보안문제와 어떻게 연결되는지에 대한 자세한 설명도 제공되어야 한다. 아키텍처에서 코딩, 테스팅에 이르기까지 모든 엔지니어들은, 해커들이 엔지니어들의 기술 스택을 어떻게 이용하려 하는지를 모두 파악하고 있어야 한다. 또한, 훈련 프로그램은 기업별 특정 규정이나 업무 절차를 반영해 필요에 따라 맞춤식으로 구성되어야 한다.

■ 코드 첫 단추부터 확실하게

안전한 개발은 코드의 첫 줄부터 시작된다. 엔지니어들이 개발 주기의 마지막에 다다라 취약점을 한번 쓱 훑어보는 정도가 아닌, 애플리케이션을 초기 단계부터 안전하게 만드는 방법에 주목하게끔 해야 한다. 실력 있는 요리사는 접시와 조리도구가 쌓이지 않도록 요리를 하며 정리를 한다. 소프트웨어 엔지니어링도 동일하다. 모든 개발 과정마다 보안 기능을 결합시켜 훗날 겪을 수도 있는 문제를 미연에 방지해야 한다.

■ 쉬운 길을 피하라

엔지니어들은 빠르고 최적화된 방법을 찾는 것이 습관화 되어있다. 하지만, 보안에 있어서 지름길만을 좇는다면 큰 재앙을 더 빨리 만나게 될 수 있다. 엔지니어들은 팀 전체를 위험에 빠트릴 수 있는 디폴트 환경 설정을 천천히 확인하고 안전하지 않은 디폴트 비밀번호나 보호되지 않은 운영 시스템 등을 살펴보아야 한다. 애플리케이션을 만든 엔지니어보다 그 애플리케이션을 더 잘 아는 사람은 없다. 때문에, 엔지니어는 스스로 자신의 코드를 공격해보고 해커들이 침입해올 만한 엔트리를 파악하고 이러한 취약점을 해결하기 위해 노력해야 한다.

■ 협업 및 동료 리뷰를 장려하라

우리 그 누구도 완벽한 사람은 없다. 보안 침해 문제는 사람의 실수에 관한 경우가 많다. 우리는 모두 우리의 업무를 다시 한번 들여다보는 시간을 갖고 실수를 간과하지 않는지 되돌아볼 필요가 있다. 기업들은 동료 리뷰 시스템을 개발하여 제품 생산과정 전반의 버그와 취약점을 줄일 수 있도록 해야 한다.

■ 라이브러리를 자세하게 유지하라

규모 및 업종을 떠나 모든 기업들은 소프트웨어 솔루션, 애플리케이션 및 마이크로 서비스들을 매일 사용한다. 엔지니어들은 자신의 개발 과정뿐만 아니라 이를 넘어 내부 툴과 써드파티 서비스들도 신경 써야한다. 보안을 중시하는 기업이라면 취약점에 관한 라이브러리를 체크할 수 있는 시스템을 개발하고 지속적으로 이를 유지해야한다. 항상 깨어 있는 경계태세야 말로 보안의 헛점을 막을 수 있는 핵심이다.

■ 한 수 앞서 행동하라