Offcanvas

CIO / CSO / 데브옵스 / 보안 / 인문학|교양

블로그 | 보안은 원래 어렵다, 쉬워지는 '기적'은 없을 터다

2022.08.23 Matt Asay  |  InfoWorld
전 세계가 불황에 빠질지라도 예산 삭감이라는 도끼에서 생존할 분야 중 하나가 보안이다. 그러나 안전한 미래를 구현하기가 점점 더 어려워지고 있다는 사실 또한 분명하다. 

SLSA(Supply-chain Levels for Software Artifacts), 텍톤(Tekton)을 비롯한 각종 솔루션이 오픈소스 서플라이 체인의 안전성을 높여줄 수 있기는 하다. 하지만 현실 속 해법은 여전히 구태의연하다. 모달 랩스의 설립자 에릭 베른하드슨은 “여전히 개발자들이 더 잘 해내기를 바라고 ‘경계를 유지’하는데 의존하고 있다”라고 말했다. 그리고 이러한 비전략적 접근법은 계속해서 실패하고 있다.

베른하드슨은 “2022년의 보안은 왜 그렇게 어려운가?”라고 반문했다. 이 질문에 대한 한 가지 답은 시스템이 점점 더 복잡해지고 있으며, 이로 인해 해커가 악용할 수 있는 구멍을 남겨놓는 현실이다. 그렇다면 상황이 나아질 가능성이 있을까?
 
Image Credit : Getty Images Bank


만병통치약 없음
보안이 어려운 근본적인 이유 중 하나는 시스템을 보호하기 위해서는 시스템 전체를 이해해야 한다는 진실이 자리하고 있다. 오픈소스 전문가인 사이먼 윌슨은 “보안 소프트웨어를 작성하려면 모든 것이 어떻게 작동하는지에 대한 깊은 지식이 필요하다”라고 말했다. 그에 따르면 개발자가 기본적인 이해 없이 그저 ‘모범수칙’만 따를 수 있겠지만, 이는 “우연한 실수와 새로운 보안 허점의 출현으로 이어진다”라고 말했다. 

그는 개발 단계에 보안 기본값을 적용하는 자동화를 이용해 인적 오류를 줄이려는 시도에 대해 부정적인 입장을 밝혔다. 윌슨은 “도구가 우리를 구할 수 있다고 생각하지 않는다. 기본 도구가 우수하더라도 한계가 있다. 기본 도구가 어떻게 보안을 유지하는지 엔지니어가 이해하지 못하면 자신이 하는 일이 왜 나쁜지에 대한 이해 없이 보안을 파괴할 것”이라고 단언했다.

그는 이어 “궁극적으로 보안은 사람에 달렸다. 소프트웨어를 고칠 수는 있지만 소프트웨어 뒤에 있는 사람을 고칠 때까지는 아무것도 고칠 수 없을 것”이라고 말했다. 

보안을 등한시하는 개발자의 코드를 수정하는 메커니즘이 쓸모없다는 의미는 아니다. 하시코프의 주요 관리자, 오쓰O 등과 같은 더 나은 인증 해법이 등장했으며, 이는 보안의 대체적인 향상을 가져왔다. ORMs(object relational mapping) 내의 보안 지향적 기본값은 한때 주요 보안 위반이었던 SQL 주입을 크게 제거하기도 했다. 그러나 보안을 위한 ‘매스마켓 솔루션’은 기업 고유의 보안 문제에 해법이기 어렵다. 한 개발자는 “기업에 따라, 기업의 고객 기반에 따라 심각한 보안 문제가 다르기 마련이다”라고 말했다. 

보안은 사람이다
스클링의 라스 알버트슨은 좀 더 근원적인 문제를 지목했다. 그는 “보안과 혁신을 주도하는 사람들이 서로 다르다. 각기 다른 목표를 가진 이들이다”라며, “보안과 위험 관리는 장기적으로 직접적인 비즈니스 요구에 항상 패배할 수밖에 없다”라고 말했다. 

소큐어의 고든 쇼웰도 비슷하게 표현했다. 그는 “보안에는 거의 대부분의 생산성 비용이 따른다. 생산성 비용은 실제적이고 즉각적이지만 보안은 장기적이고 이론적 이점을 가진다. 비용을 정당화하기가 매우 어려운 경우가 많다”라고 말했다. 

그러나 포기해야 하는 상황은 아니다. 알버트슨은 QA 및 운영 분야의 경우 문화적인 변화와 개발 속도를 비타협적 우선순위로 삼는 도구 및 프로세스를 통해 부조화를 해결하고 있다고 강조했다. 보안과 신기능 개발 사이의 격차를 제거하는 데브섹옵스 운동에도 주목할 만하다고 그는 덧붙였다.

베어러의 설립자 기욤 몬타드는 사람 문제와 전체론적 시스템 사고로 돌아가라고 주문했다. 그는 “보안 복잡성은 엔지니어링 복잡성에서 비롯되고 그 자체는 (대부분) 조직 복잡성에서 비롯된다”라며, 개발팀과 아키텍처가 간결해지면 전체 시스템을 더 잘 이해할 수 있게 되고 결과적으로 보안을 유지할 수 있다고 강조했다. 

보안을 돈으로 살 수 있는 어떤 솔루션으로 간주하기 십상이지만, 보안은 실제로 개발 팀이 어떻게 동작하는지에 대한 것이다. 보안은 항상 사람의 문제다. 데브섹옵스와 같은 프로세스 지향 접근 방식이 진정한 가능성을 보여주는 이유일 터다. 

* Matt Asay는 몽고DB 파트너 마케팅 책임자다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.