거의 모든 애플리케이션들에 최소 한 개 이상의 취약점이나 설정 오류가 생기는 등 보안 상태가 취약한 것으로 나타났다. 이에 대한 점검 방법을 다양화할 필요성이 보안업계를 중심으로 제기된다.
17일 보안업계에 따르면 애플리케이션에서 발견된 취약점이나 설정 오류 중 25%는 고위험군 혹은 초고위험군에 속한 것으로 분류됐다.
레이켈리 시놉시스 소프트웨어 담당자는 "보통 시큐어 코딩이라고 하면 정적 스캔을 통해 발견되는 취약점을 제거하는 것을 말하는데 점점 많은 기업들이 이 부분을 잘 해내고 있지만 여기에 지나치게 신경을 쓴 나머지 기본적인 설정 부분을 간과할 때가 많다"고 말했다.
정적 애플리케이션 보안 점검(SAST) 스캔을 통해서는 설정 오류를 잡아내기가 힘들기 때문에 실제 환경에 구축된 상태에서의 점검을 SAST로는 할 수 없다는 설명이다.
이 때문에 SAST에 더해 설정 문제를 점검할 수 있는 도구도 추가하는 것이 안전한 애플리케이션을 만드는 데 도움이 된다.
앞서 보안 업체 베라코드(Veracode)도 2월 지난 10년 동안 애플리케이션 스캔 행위가 3배 늘어났다는 내용을 담은 보고서를 발표한 바 있다. 77%의 서드파티 라이브러리에 여전히 취약점들이 존재한다는 내용도 포함돼 있었다. 패치가 나와도 3개월 정도는 적용되지 않은 채 활용된다는 게 당시 애플리케이션 개발의 현실이다.
베라코드는 "정적 스캔과 동적 스캔을 같이 사용하는 애플리케이션 개발사는 그렇지 않은 개발사보다 평균 24일 빠르게 취약점을 해결한다"며 "보안 스캔이 포함된 지속적인 실험과 점검, 통합이 점점 애플리케이션 개발의 표준이 되어가고 있다"고 말했다. 다각도의 점검이 애플리케이션 보안을 향상시킨다는 설명이다.
시놉시스가 이번에 발표한 바에 의하면 통신 암호화와 관련된 기술들에서 가장 많은 문제가 나타난다. 시놉시스는 ‘설계에 의한 보안(security by design)’이라는 개념을 강조했다. 이는 앱 설계 시점부터 완성 시점까지 보안 요소들을 계속해서 삽입하는 것으로 이렇게 하는 게 나중에 보안 점검의 가짓수를 늘리는 것보다 훨씬 효율적이고 저렴하다는 평가다.
공급망과 오픈소스 소프트웨어 요소들에서 발견된 취약점들은 애플리케이션들에서 발견되는 전체 문제의 25% 정도를 차지하며 모의 해킹을 통해 찾아낸 문제들 중 ‘취약한 서드파티 요소들’을 사용한 것이 원인이 되는 것은 21%였다.
레이켈리 담당자는 "소프트웨어 구성품 분석(SCA)이 개발사들 사이에서 널리 사용되는 것으로 추정된다"며 "오픈소스나 서드파티 요소들에서 나오는 문제들은 SCA와 같은 기술을 사용하면 개발 초기에 미리 발견해 해결할 수 있다"고 말했다.
이유정 기자 uzzoni@chosunbiz.com