Offcanvas

리더십|조직관리 / 보안 / 아웃소싱 / 애플리케이션

기고 | 2012년 보안 행동강령

2011.12.14 Kenneth Van Wyk   |  Network World
기업 보안을 향상시키기 위한 매우 효율적인 방법 중 하나는 소프트웨어 개발자들과 좀 더 긴밀하게 협력하는 것이다.

본 기사의 예측이 정확하지 않을 수 있지만(필자의 주식 포트폴리오는 필자의 예측이 옳지 않다는 것을 잘 보여준다), 최소한 2012년도의 행동강령으로 무엇을 고려해야 하는지에 대한 몇몇 아이디어는 얻을 수 있을 것이다.

새 해에 IT 보안 담당자들이 계획해야 하는 모든 종합적인 목록이라기 보다, 본 기사에서는 많은 사람들이 아직까지 미쳐 생각하지 못한 것들에 대해 다루도록 한다.

개발자들이 서로 의사소통 하도록 하라.
필자는 IT보안 업계 사람들과 회사에 몸담고 있는 소프트웨어 개발자들이 서로에 대해 잘 알지 못하는 경우가 흔하다는 것을 자주 목격했다. 개발자들이 내부 사람이던 아니면 아웃소싱업체의 파견 직원이던 간에, 서로가 서로를 알게끔 해야 한다. 그리고 그들이 서로 대화하도록 하라. 무엇에 대해 논의해야 하는지가 궁금하다면 공통적인 관심사라 할 수 있는 애플리케이션 로그부터 시작하라고 권하고 싶다.

결국, 보안 사고가 발생한 경우 사업적인 측면에서 어떠한 일이 발생하고 있는지를 파악하기 위해서는 애플리케이션 로그를 사용할 필요가 있다. 개발자들이 어떠한 종류의 것들에 대한 로그를 남겨야 하는지에 대해 서로 논의하도록 시도해 보라.

기능의 관점에서 사업주는 개발자들의 고객이 되지만, 보안 로그에 대해서 IT보안팀은 정보의 최종 소비자가 된다. 일반 애플리케이션 공격에 대해 시나리오를 작성하고 조사 작업에서 어떠한 종류의 사업 관련 정보가 필요하게 될 지에 대해 살펴보라. 이렇게 하면, 개발자들이 활용사례를 미쳐 생각하지 못하는 경우가 줄어들게 될 것이다.

확보된 기술 수준에 대해 파악하라.
내부가 어떻게 돌아가는 지는 정확하게 알지 못한 채로 애플리케이션 플랫폼을 ‘블랙 박스’로 취급하고 있는가? 더 이상은 그러지 말도록 하자. 모바일 앱, 웹 앱, 또는 어떤 것을 개발하던지 간에 기술 플랫폼에 대해 연구하고 철저하게 파악하도록 하자. 앱을 설치하고, 환경을 설정하며, 개발해 설치한 후, 보안 로그를 살펴보도록 하라. 그리고 일어 날 수 있는 보안 설정에 대해 살펴보라. 이러한 작업에서는 가상화 기기가 제 몫을 해낼 수 있을 것이다. 해당 기술에 대한 튜토리얼을 살펴보고 철저히 익혀라.

그렇다, 항상 모든 것에 대해 전문가가 될 필요는 없지만, 작업 중인 플랫폼을 알아보기 위해 시간을 보내는 것은 시간을 잘 활용하는 것이다. 한밤중에 사고가 발생한 경우, 그러한 지식들은 사고 대응 방식에 커다란 차이를 나타내게 될 것이다.

코딩 가이드라인을 구축하라.
소프트웨어 개발자들은 기술 규격을 준수하는 코드 개발에 매우 익숙하다. 그러나 보안과 관련된 경우, 그들은 아주 사소한 실수를 저지르곤 한다. 할 수 있는 가장 가치 있는 일 중에 하나는 개발자들이 코드 개발 시 참고할 수 있는 보안 메커니즘에 대한 공통 라이브러리를 구축하는 것이다.

검증기, 데이터베이스 커넥터, 입력 유효성 검증, 출력 암호화 등 서로 다른 애플리케이션에서 반복적으로 사용될 수 있는 코드 블록이 많이 있다.

추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.