2020.10.15

강은성의 보안 아키텍트 | 보안 개발자가 필요하다

강은성 | CIO KR
4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다. 

하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다. 

모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다. 

기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다. 

소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다.

2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수립하고, 그에 기반을 둔 소프트웨어 보안 전문가 인증제도를 운용하고 있다. 

스마트 가전, 스마트 공장, 모바일, 자동차 부품(전장) 등 회사의 다수 제품이 모두 네트워크와 연결되기 때문에 개발자의 보안 개발 역량을 키워 제품의 보안 취약점을 최소화하는 것이 목표다. 

제품의 생산과 설치, 업데이트 과정에서의 보안도 고려해야 한다. 이러한 제품 보안 업무를 한 부서에서 다 하려면 해당 부서의 인력이 많이 늘어야 하고, 개발의 병목이 되기 쉬우므로 적절한 방식으로 생각된다.

보안 개발자가 많은 곳은 역시 정보보안산업이다.
 
ⓒ과학기술정보통신부, 한국정보보호산업협회, 「2019 국내 정보보호산업 실태조사」 2019.12.

과학기술정보통신부에 따르면 2019년 정보보안산업 매출 규모는 한화 3조 2천억 원이 넘는데, 그중 정보보안 시스템 시장과 정보보안 서비스 시장의 비율은 7:3 정도이다. 정보보안 서비스로 분류된 ‘보안시스템 유지관리/보안성 지속 서비스’는 정보보안 시스템을 판매해야 발생하므로 정보보안 시스템 시장으로 분류한다면, 그 비율은 8:2까지 된다. 

최근 소프트웨어 시장의 주요 추세 중 하나인 서비스형 소프트웨어(SaaS)도 비즈니스 모델은 서비스지만, 소프트웨어 개발이 핵심이다. 결국 정보보안산업의 80%를 만들어 가는 핵심 인력은 소프트웨어 개발, 컴퓨터 공학, 소프트웨어 보안, 보안공학, 암호학 등의 보안 개발역량을 갖추고, 보안 도메인에서 개발 경험을 쌓은 보안 개발자다.
 
ⓒ과학기술정보통신부, 한국정보보호산업협회, 「2019 국내 정보보호산업 실태조사」 2019.12.

물리보안산업의 최신 동향도 살펴볼 필요가 있다. 전반적인 성장률이 낮은 데 비해 물리보안솔루션과 생체인식 보안 시스템 제조 분야의 매출은 전체 매출 약 7조 원 중 10% 정도밖에 되지 않지만, 다른 분야에 비해 성장률은 월등히 높다. 보안 개발자가 있어야 성장할 수 있는 분야다.

보안 개발자는 네트워크 보안, 시스템 보안, 엔드포인트 보안, 보안관리 등의 정보보안 제품 개발의 핵심 인력이고, 급성장하는 지능형 물리보안시스템, 사물인터넷 기기가 된 가전과 전자제품, 거대한 소프트웨어 플랫폼이 된 자율주행차와 자동차 부품산업, 제조업 변신의 중심이 된 스마트 공장 등 4차 산업혁명의 제품과 기술의 개발에 중요한 인력이다. 

딥러닝, 클라우드, 빅데이터 분석, 블록체인 등 새로운 기술을 활용한 보안 제품에도 보안 개발자가 필요하다. 기업에서는 소프트웨어 개발자의 재교육과 관련 업무 수행을 통해 보안 개발역량을 키우고, 정부와 대학에서도 보안 개발자를 양성하는 데 힘을 쏟아야 하지 않을까 싶다. 4차 산업혁명과 정보보안산업, 우리나라의 미래를 위해서 보안 개발자가 필요한 시기다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 



2020.10.15

강은성의 보안 아키텍트 | 보안 개발자가 필요하다

강은성 | CIO KR
4차 산업혁명이 우리 사회의 주요 화두로 떠오르면서 보안의 중요성이 한층 더 강조되고 있다. 작년에 정부가 발표한 「4차 산업혁명 대응계획」(관계부처 합동, 2019.07.)에서도 보안은 주요 꼭지 중의 하나를 차지하였다. 보안 전문가가 부족하여 사이버보안 인재를 양성하겠다는 정책 또한 발표되었다. 

하지만 ‘보안’의 분야가 넓어서 어떤 인재를 양성하겠다는 것인지 명확하지 않다. 예를 들어 악성코드 분석가, 모의해커, IT 보안 담당자, 소프트웨어 보안 아키텍트, 정보보호 관리체계 인증 심사원을 모두 보안 전문가라고 부를 수 있지만, 현업에서 하는 일은 상당히 다르다. 

모바일 앱이나 웹 서비스 등 소프트웨어 제품과 서비스(이하 소프트웨어 제품)에서 보안 취약점을 통해 개인정보 등 중요 정보가 유출되거나 악성코드가 배포되곤 한다. 소프트웨어 제품에서 보안 취약점을 없애기 위한 활동이 소프트웨어 제품 보안(Product Security) 또는 소프트웨어 보안이다. 

기업 보안이 기업의 통제 범위 안에 있는 정보자산을 보호하는 것이 목표라고 하면, 제품 보안은 고객에게 통제권이 있는 제품(소프트웨어, 하드웨어 포함)의 보안 취약점을 최소화하고자 한다. 검증 단계에서 하는 모의해킹을 넘어서서 요구사항 정의-설계-구현 단계에서 보안 활동을 수행한다. 

소프트웨어 개발자가 각 개발 단계에서 충실히 개발하면 최종 소프트웨어에 오류가 적은 것과 마찬가지로, 소프트웨어 개발자가 각 개발 단계에서 보안 요구사항 정의-보안 설계-보안코딩 등 보안 활동을 잘 수행하면 최종 소프트웨어의 보안 취약점은 많이 줄어든다. 이러한 보안 개발역량은 기업 보안에 필요한 역량과는 다르다. 이러한 역량을 갖춘 소프트웨어 개발자를 보안개발자라고 할 수 있다.

2017년 초부터 모든 가전에 무선랜(Wi-Fi)을 장착하여 출시했던 LG전자에서는 자체 표준 소프트웨어 보안 개발 프로세스인 LG-SDL(Secure Development Lifecycle)을 수립하고, 그에 기반을 둔 소프트웨어 보안 전문가 인증제도를 운용하고 있다. 

스마트 가전, 스마트 공장, 모바일, 자동차 부품(전장) 등 회사의 다수 제품이 모두 네트워크와 연결되기 때문에 개발자의 보안 개발 역량을 키워 제품의 보안 취약점을 최소화하는 것이 목표다. 

제품의 생산과 설치, 업데이트 과정에서의 보안도 고려해야 한다. 이러한 제품 보안 업무를 한 부서에서 다 하려면 해당 부서의 인력이 많이 늘어야 하고, 개발의 병목이 되기 쉬우므로 적절한 방식으로 생각된다.

보안 개발자가 많은 곳은 역시 정보보안산업이다.
 
ⓒ과학기술정보통신부, 한국정보보호산업협회, 「2019 국내 정보보호산업 실태조사」 2019.12.

과학기술정보통신부에 따르면 2019년 정보보안산업 매출 규모는 한화 3조 2천억 원이 넘는데, 그중 정보보안 시스템 시장과 정보보안 서비스 시장의 비율은 7:3 정도이다. 정보보안 서비스로 분류된 ‘보안시스템 유지관리/보안성 지속 서비스’는 정보보안 시스템을 판매해야 발생하므로 정보보안 시스템 시장으로 분류한다면, 그 비율은 8:2까지 된다. 

최근 소프트웨어 시장의 주요 추세 중 하나인 서비스형 소프트웨어(SaaS)도 비즈니스 모델은 서비스지만, 소프트웨어 개발이 핵심이다. 결국 정보보안산업의 80%를 만들어 가는 핵심 인력은 소프트웨어 개발, 컴퓨터 공학, 소프트웨어 보안, 보안공학, 암호학 등의 보안 개발역량을 갖추고, 보안 도메인에서 개발 경험을 쌓은 보안 개발자다.
 
ⓒ과학기술정보통신부, 한국정보보호산업협회, 「2019 국내 정보보호산업 실태조사」 2019.12.

물리보안산업의 최신 동향도 살펴볼 필요가 있다. 전반적인 성장률이 낮은 데 비해 물리보안솔루션과 생체인식 보안 시스템 제조 분야의 매출은 전체 매출 약 7조 원 중 10% 정도밖에 되지 않지만, 다른 분야에 비해 성장률은 월등히 높다. 보안 개발자가 있어야 성장할 수 있는 분야다.

보안 개발자는 네트워크 보안, 시스템 보안, 엔드포인트 보안, 보안관리 등의 정보보안 제품 개발의 핵심 인력이고, 급성장하는 지능형 물리보안시스템, 사물인터넷 기기가 된 가전과 전자제품, 거대한 소프트웨어 플랫폼이 된 자율주행차와 자동차 부품산업, 제조업 변신의 중심이 된 스마트 공장 등 4차 산업혁명의 제품과 기술의 개발에 중요한 인력이다. 

딥러닝, 클라우드, 빅데이터 분석, 블록체인 등 새로운 기술을 활용한 보안 제품에도 보안 개발자가 필요하다. 기업에서는 소프트웨어 개발자의 재교육과 관련 업무 수행을 통해 보안 개발역량을 키우고, 정부와 대학에서도 보안 개발자를 양성하는 데 힘을 쏟아야 하지 않을까 싶다. 4차 산업혁명과 정보보안산업, 우리나라의 미래를 위해서 보안 개발자가 필요한 시기다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr 

X