Offcanvas

개발자 / 보안 / 애플리케이션

칼럼 | 소프트웨어 보안, '버그 바운티' 만으론 부족하다

2018.07.27 Matt Asay  |  InfoWorld
한 조사결과를 보면 매년 1000억 라인 이상의 코드가 만들어지고, 인터넷에 연결된 소프트웨어 비중이 계속 늘고 있다. 이런 추세가 이어질수록 악의적인 목적으로 이들 코드를 수정하려는 해킹 위험도 함께 커지기 마련이다. 이와 같은 코드 위변조 가능성 때문에 많은 기업이 버그 바운티(bug-bounty) 프로그램이 활발하게 이용한다. 그러나 버그 바운티의 긍정적인 효과에도 불구하고, 보안을 강화하려면 그 이상을 고민해야 한다.



사실 버그 바운티는 새로운 것이 아니다. 버그 바운티가 대중화된 시점을 따져보면 1983년 혹은 그 이전으로 거슬러 올라간다. 지난 수년간 수천만 달러가 이러한 행사에 투입됐고, 주로 인터넷 연결을 통해 쉽게 액세스할 수 있는 보안 취약점을 찾아냈다. 이 과정에서 해커원(HackerOne)이나 버그크라우드(Bugcrowd) 등 VC 투자를 받은 스타트업이 활약했다. 이를 통해 많은 '윤리적' 해커가 질과 양 측면에서 크게 성장했다.

그 사이 기업 IT 팀은 스캐너와 일명 '펜 테스팅(pen testing)'이라 불리는 침투 테스트로는 모든 보안 취약점을 찾을 수 없다는 것을 깨달았다. 같은 시기 미국 연방 정부는 권고안과 프레임워크를 통해 보안 강화를 강제하고 있다. 조만간 규제로까지 나아갈 것이다.

업계에서는 그동안 '걸어 잠근 문', 즉 기업의 시스템 내에서 소프트웨어 버그를 찾아 수정하는 것이 관행이었다. 그러나 최근 들어 닫힌 보안 방식에서 열린 방식으로의 거대한 전환이 나타나고 있다. 대표적인 것이 오픈소스 소프트웨어를 도입하는 것이다. 해커원의 CEO 마튼 미코스는 "기업들은 마침내 공동 방어가 최고의 방어임을 깨닫고 있다. 높은 투명성은 항상 보안에 가장 도움이 된다"라고 말했다.

이런 움직임은 매우 긍정적이지만, 이것이 곧 기업의 보안 강화를 의미하는 것은 아니다. 사실 보안은 기술과 제품으로만 해결할 수 없다. 이보다 더 중요한 것이 기업 구성원 모두가 따르거나 준수해야 하는 일상적 규율이다. 하지만 그동안 이것은 존중받기 보다는 위반하기 쉬운 규율이었던 것이 사실이다. 이때 활용할 수 있는 것이 바로 오픈소스다. 오픈소스로 코드를 작성하면 기업의 모든 구성원이 보안을 더 심각하게 받아들일 수 있도록 강제할 수 있다. 모두가 코드를 볼 수 있도록 공개하면, 더 신경 써서 코드를 작성하고 관리할 가능성이 커지기 때문이다.

또한 오픈소스는 보안 프로세스를 개선하는 촉매가 되기도 한다. 문제를 곧바로 해결하는 민첩성을 제공하기 때문이다. 미코스는 "보안은 결국 위협을 앞서려 노력하는 활동이다. 따라서 사고가 발생했을 때 혹은 미리 앞서 빠르게 대응할 수 있도록 코드의 가독성을 갖추는 것이 매우 중요하다"라고 말했다. 오픈소스라고 처음부터 보안이 완전한 상태로 배포할 수는 없다. 개발자가 아무리 신경써서 코딩해도 마찬가지다. 그러나 보안 취약점을 빨리 발견해 수정할 수 있는 절차를 제공한다는 것은 이론의 여지가 없다.

물론 오픈소스 방식에서는 개발자와 관리자가 자신이 작업한 혹은 발견해 수정한 내용을 제출해야만 실제로 보안 취약점이 개선된다. 그러나 사실 버그 바운티 프로그램을 시행한 모든 기업이 실제로 발견한 버그를 모두 수정하는 것은 아니다. 이처럼 버그 바운티와 오픈소스 모두 같은 한계를 갖고 있지만, 버그 바운티 방식에서는 전 세계 수많은 화이트 해커의 도움을 받을 기회가 오픈소스보다 적을 수밖에 없다. 인터넷에 연결된 소프트웨어는 코드 보안 취약점을 악용하려는 새로운 해커를 만들어내지만 동시에 이를 막으려는 화이트 해커도 만들어낸다. 이들의 도움을 기대할 수 없다는 것은 큰 손실이다.

따라서 필자는 기업이 코드 보안을 강화하도록 도와주는 화이트 해커의 이점을 최대한 활용하기를 기대한다. 오픈소스 개발 방식이 힌트가 될 것이다. 물론 보안을 강화하는 기존의 방법도 그대로 실행하는 것이 좋다. 취약점을 줄이는 것부터 보안을 고려한 설계, 펜 테스팅 등 소프트웨어를 발표하기 전에 그동안 잘 해왔던 모든 것이 여기에 포함된다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.