2016.08.05

개발자들이 정말 보안에 신경 쓰고 있나?

Fahmida Y. Rashid | InfoWorld
데브옵스 프로세스로 처음부터 보안을 반드시 고려하는 문화적인 변화에 대해 인포월드가 깃허브의 자메샤 피셔와 이야기를 나눴다.

수년 동안 개발자들은 프로젝트에서 보안을 후순위에 둔다는 평가를 들었다. 시스템 가동을 서둘고 실행하고자 모든 기능을 구현한 다음 QA를 시작해 코드에 있는 문제를 찾기 시작했기 때문이다.

어쩌면 기업이 개발과 보안을 분리하고, 개발, QA, 운영, 보안 운영에 코딩 전문 전문가를 각각 따로 참여시키면서 지금까지 개발자들이 보안에 대한 방치하는 듯한 자세를 취하도록 했는지도 모른다.

그러나 사용자들에게 보안과 개인정보 보호가 점점 더 중요한 문제가 되고 기업들이 소프트웨어 개발에 대한 데브옵스 접근방법으로 갈수록, 개발자들은 이 같은 평가에 신경 쓰고 개발 과정에서 보안을 필수 부분으로 생각하게 됐다. 

보안에 대한 개발자들의 인식이 어떻게 변하고 있는지를 알아보기 위해 <인포월드>는 블랙햇 행사에서 깃허브의 보안 운영 엔지니어인 자메샤 피셔를 만나 ‘개발자들이 보안에 관심이 있는지’를 물었다.

개발자들은 보안에 관심이 없는 것처럼 보인다. 많은 웹 애플리케이션에 여전히 SQL 입력 결함이 있다. 1년 전까지만 해도 자바 라이브러리에는 많은 개발자들이 여전히 애플리케이션을 개발할 때 보안 결함이 전혀 없는, 완전무결한 상태가 아니라는 이야기가 없었다. 거기에는 개발자가 저지른 일반적인 보안 실수 목록에서 2개에 불과했다.

악의적인 의도가 있다는 것은 아니다. 사람이 하는 일이라 완벽할 수 없고 소프트웨어도 다르지 않다. 자신이 짠 코드에 스테이지프라이트(Stagefright)나 하트블리드가 있기를 바라는 개발자는 없다. 이는 피셔가 토론에서 지적했던 것처럼 지식, 기술력, 마음가짐, 문화의 문제다. 보안과 개인정보 보호가 언론의 헤드라인을 장식하게 되면, 개발자들은 질문을 던지기 시작할 것이다.

피셔는 “보안 운영팀으로 넘어가지 전에 더 일찍 데이터를 안전하게 저장하는 방법과 인증에 대해 질문했어야 한다”고 지적하며 "그래서 그들 중 상당수는 점점 보안에 더 초점을 맞추게 된다"고 말했다. 개발자들은 동료들이 비슷한 애플리케이션을 어떻게 구축하고 기본적인 기대치가 어디 있는지 보고 있다.

피셔는 보안이 취약점에 대한 것만은 아니라고 지적했다. 그녀는 가용성도 보안의 한 형태라고 말했다. 여기에는 사용자 트래픽 뿐 아니라 악의적인 의도도 포함된다. 사용자 데이터가 유출되면서 데이터 스토리지에 대한, 특히 안전한 데이터에 대해 확인할 것들이 더 많다. 따라서 도둑들은 데이터에 쉽게 접근하거나 이를 훔칠 수 없다.

피셔는 “이렇게 하고 있는 많은 팀들은 ‘가용성에 대해 생각해야 해’, ‘보안을 그 안에 녹여 넣거나 최소한 기본적인 보안 요소를 가져가면서 애플리케이션 보안에 대해 생각해야 해’라고 말하고 있다”고 이야기했다.

많은 신생벤처들에게 보안 우려는 통과 의례가 됐다. 이들이 초기에 주목받고 대기업의 관심을 끌기 시작하면서 많은 신생벤처들은 자사 제품과 인프라가 대기업이 찾는 것과 딱 맞아떨어지는지를 확인하는 과정에 접어든다. 대부분의 경우, 이는 견고한 보안과 규제 준수 모두를 의미한다. 피셔는 성숙 단계에 있는 소프트웨어 업체는 소프트웨어 개발 프로세스를 문서로 만들고 자신들이 소프트웨어 업데이트를 어떻게 다루는지를 설명하는 게 얼마나 중요한지 인식하기 시작한다고 전했다.

보안팀이 신속하게 정확히 수정하기 위해 개발자들과 협업하면서 보안은 데브옵스 사용을 높이는 데 중요한 역할을 하게 됐다. “안전한 코드를 얻기 위해 기업은 최고 경영진에서 시작해 문화를 바꿔야 한다. 그래야 보안이 데브옵스 파이프라인 안으로 들어올 수 있다”고 피셔는 강조했다. ciokr@idg.co.kr
 



2016.08.05

개발자들이 정말 보안에 신경 쓰고 있나?

Fahmida Y. Rashid | InfoWorld
데브옵스 프로세스로 처음부터 보안을 반드시 고려하는 문화적인 변화에 대해 인포월드가 깃허브의 자메샤 피셔와 이야기를 나눴다.

수년 동안 개발자들은 프로젝트에서 보안을 후순위에 둔다는 평가를 들었다. 시스템 가동을 서둘고 실행하고자 모든 기능을 구현한 다음 QA를 시작해 코드에 있는 문제를 찾기 시작했기 때문이다.

어쩌면 기업이 개발과 보안을 분리하고, 개발, QA, 운영, 보안 운영에 코딩 전문 전문가를 각각 따로 참여시키면서 지금까지 개발자들이 보안에 대한 방치하는 듯한 자세를 취하도록 했는지도 모른다.

그러나 사용자들에게 보안과 개인정보 보호가 점점 더 중요한 문제가 되고 기업들이 소프트웨어 개발에 대한 데브옵스 접근방법으로 갈수록, 개발자들은 이 같은 평가에 신경 쓰고 개발 과정에서 보안을 필수 부분으로 생각하게 됐다. 

보안에 대한 개발자들의 인식이 어떻게 변하고 있는지를 알아보기 위해 <인포월드>는 블랙햇 행사에서 깃허브의 보안 운영 엔지니어인 자메샤 피셔를 만나 ‘개발자들이 보안에 관심이 있는지’를 물었다.

개발자들은 보안에 관심이 없는 것처럼 보인다. 많은 웹 애플리케이션에 여전히 SQL 입력 결함이 있다. 1년 전까지만 해도 자바 라이브러리에는 많은 개발자들이 여전히 애플리케이션을 개발할 때 보안 결함이 전혀 없는, 완전무결한 상태가 아니라는 이야기가 없었다. 거기에는 개발자가 저지른 일반적인 보안 실수 목록에서 2개에 불과했다.

악의적인 의도가 있다는 것은 아니다. 사람이 하는 일이라 완벽할 수 없고 소프트웨어도 다르지 않다. 자신이 짠 코드에 스테이지프라이트(Stagefright)나 하트블리드가 있기를 바라는 개발자는 없다. 이는 피셔가 토론에서 지적했던 것처럼 지식, 기술력, 마음가짐, 문화의 문제다. 보안과 개인정보 보호가 언론의 헤드라인을 장식하게 되면, 개발자들은 질문을 던지기 시작할 것이다.

피셔는 “보안 운영팀으로 넘어가지 전에 더 일찍 데이터를 안전하게 저장하는 방법과 인증에 대해 질문했어야 한다”고 지적하며 "그래서 그들 중 상당수는 점점 보안에 더 초점을 맞추게 된다"고 말했다. 개발자들은 동료들이 비슷한 애플리케이션을 어떻게 구축하고 기본적인 기대치가 어디 있는지 보고 있다.

피셔는 보안이 취약점에 대한 것만은 아니라고 지적했다. 그녀는 가용성도 보안의 한 형태라고 말했다. 여기에는 사용자 트래픽 뿐 아니라 악의적인 의도도 포함된다. 사용자 데이터가 유출되면서 데이터 스토리지에 대한, 특히 안전한 데이터에 대해 확인할 것들이 더 많다. 따라서 도둑들은 데이터에 쉽게 접근하거나 이를 훔칠 수 없다.

피셔는 “이렇게 하고 있는 많은 팀들은 ‘가용성에 대해 생각해야 해’, ‘보안을 그 안에 녹여 넣거나 최소한 기본적인 보안 요소를 가져가면서 애플리케이션 보안에 대해 생각해야 해’라고 말하고 있다”고 이야기했다.

많은 신생벤처들에게 보안 우려는 통과 의례가 됐다. 이들이 초기에 주목받고 대기업의 관심을 끌기 시작하면서 많은 신생벤처들은 자사 제품과 인프라가 대기업이 찾는 것과 딱 맞아떨어지는지를 확인하는 과정에 접어든다. 대부분의 경우, 이는 견고한 보안과 규제 준수 모두를 의미한다. 피셔는 성숙 단계에 있는 소프트웨어 업체는 소프트웨어 개발 프로세스를 문서로 만들고 자신들이 소프트웨어 업데이트를 어떻게 다루는지를 설명하는 게 얼마나 중요한지 인식하기 시작한다고 전했다.

보안팀이 신속하게 정확히 수정하기 위해 개발자들과 협업하면서 보안은 데브옵스 사용을 높이는 데 중요한 역할을 하게 됐다. “안전한 코드를 얻기 위해 기업은 최고 경영진에서 시작해 문화를 바꿔야 한다. 그래야 보안이 데브옵스 파이프라인 안으로 들어올 수 있다”고 피셔는 강조했다. ciokr@idg.co.kr
 

X