2013.10.10

기고 | 보안 정책의 시작은 전략 수립에서

Marco Morana | CSO

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다.

웹 애플리케이션 보안의 재조명
애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다.

특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다.

오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀도 어떤 애플리케이션 보안 프로세스, 기준, 교육, 그리고 툴 등을 사용해 더 안전한 웹 애플리케이션을 만들 것인지에 대해 잘 알고 있어야 가능한 일이다.
 


애플리케이션 보안 전략을 세우는 건 결국 CISO의 어깨에, 애플리케이션 보안 프로그램 예산 책정과 일련의 운영 모델, 그리고 보안 팀과 소프트웨어 개발자들을 포함한 애플리케이션 보안 관계자들의 교육에 달려있다.

애플리케이션 보안 전략 세우기
컴플라이언스와 웹 리스크 관리라는 두 가지 측면을 모두 효과적으로 다룰 수 있는 애플리케이션 보안 전략 수립을 돕기 위해 OWASP는 ‘CISO를 위한 애플리케이션 보안 가이드(Application security Guide for CISOs)’를 출간했다. OWASP는 원래 CISO보다는 애플리케이션 보안 컨설턴트들과 침투 테스터들에 더 초점을 맞춰 무료 가이드로, 치트 시트(cheat sheet), 디자이닝이나 코딩, 안전한 웹 애플리케이션 테스팅 툴 등을 제공해왔다. OWASP에서 제공한 이들 가이드 및 툴은 모두 OWASP 커뮤니티에서 ‘프로젝트’로 개발한 것이며 개인 회원들과 기업 스폰서들의 고마운 펀딩으로 운영되었다.

 




2013.10.10

기고 | 보안 정책의 시작은 전략 수립에서

Marco Morana | CSO

국제 웹 보안 표준기구(OWASP, Open Web Application Security Project)가 진행한 2013년 정보보호 최고책임자 설문조사 결과에 따르면, 응답CISO의 75%는 외부로부터의 공격이 증가했다고 밝혔다. 전체 리스크 대비 리스크가 가장 큰 분야가 어디냐고 묻는 질문에 대해서는 70%가 웹 애플리케이션을 꼽았으며 네트워크 인프라스다도 리스크가 높은 분야라고 지적했다.

웹 애플리케이션 보안의 재조명
애플리케이션 보안 위협에 대한 인식이 뚜렷해지면서 기업들 역시 기존의 네트워크 보안에서 애플리케이션 보안으로 투자 방향을 전환하고 있다. 48%의 CISO는 회사의 애플리케이션 보안 예산이 증가하고 있다고 답했고, 37%는 큰 변화 없이 그대로라 말했으며 15%만이 애플리케이션 보안 예산이 감소했다고 밝혔다. 그렇지만 이런 예산의 증가는 새로운 문제점도 야기하는데, 웹 애플리케이션 및 소프트웨어 보안에는 기존의 정보 보안 분야에는 없는 특별한 능력과 기술이 필요한 것도 그런 문제 중 하나일 것이다.

특히 웹 애플리케이션의 경우 소프트웨어 개발 생명주기(SDLC) 동안에 안전한 소프트웨어를 개발해야 보안을 보장할 수 있다. 업계 표준 “보안 기준"에는 SDLC(S-SDLC) 보안은 물론 아키텍처 리스크 분석, 보안 코드 리뷰, 정적 소스 코드 분석 및 웹 애플리케이션 침투 테스트 같은 기업 SDLC 내 소프트웨어 보안 활동도 포함된다.

오늘날에는 기업들에서 보안 목적으로 채택할 수 있는 다양한 종류의 S-SDLC가 있다. OWASP CLASP, 마이크로소프트 SDL, 씨지털 터치 포인트(Cigital Touch Points)등이 그것이다. 그러나 설령 정보 보안 때문에 S-SDLC을 도입 및 실행한다 해도 여전히 소프트웨어 엔지니어링 팀의 협조와 도움이 필요하다. 소프트웨어 엔지니어링 팀과의 협력은 매우 중요하다. 하지만 그만큼 애플리케이션 보안 전략을 잘 따라야 하며 소프트웨어 엔지니어링 팀도 어떤 애플리케이션 보안 프로세스, 기준, 교육, 그리고 툴 등을 사용해 더 안전한 웹 애플리케이션을 만들 것인지에 대해 잘 알고 있어야 가능한 일이다.
 


애플리케이션 보안 전략을 세우는 건 결국 CISO의 어깨에, 애플리케이션 보안 프로그램 예산 책정과 일련의 운영 모델, 그리고 보안 팀과 소프트웨어 개발자들을 포함한 애플리케이션 보안 관계자들의 교육에 달려있다.

애플리케이션 보안 전략 세우기
컴플라이언스와 웹 리스크 관리라는 두 가지 측면을 모두 효과적으로 다룰 수 있는 애플리케이션 보안 전략 수립을 돕기 위해 OWASP는 ‘CISO를 위한 애플리케이션 보안 가이드(Application security Guide for CISOs)’를 출간했다. OWASP는 원래 CISO보다는 애플리케이션 보안 컨설턴트들과 침투 테스터들에 더 초점을 맞춰 무료 가이드로, 치트 시트(cheat sheet), 디자이닝이나 코딩, 안전한 웹 애플리케이션 테스팅 툴 등을 제공해왔다. OWASP에서 제공한 이들 가이드 및 툴은 모두 OWASP 커뮤니티에서 ‘프로젝트’로 개발한 것이며 개인 회원들과 기업 스폰서들의 고마운 펀딩으로 운영되었다.

 


X