앱 보안 실수 시리즈 파트 5에서 보았듯이, 기업들은 대개 제품과 기업을 지키는 데 있어 애플리케이션 보안이 얼마나 중요한지 잘 이해하지 못합니다. 그러나 일단 이해하고 나면, 이후에는 보안 솔루션 구축에 전문화된 팀을 구성하는 것이 중요합니다. 지속적이고 효과적인 기업 수준 애플리케이션 보안 프레임워크를 구축하는 것이 모든 이들의 관심사는 아니며, 최소한의 경영진과 개발자들만 해도 됩니다. 이것은 예측과 프레임워크를 구축하는 요소에 대한 심도 깊은 이해, 그리고 조직과 관련된 적절한 요소들을 잘 섞어 적용하는 작업이 요구됩니다. 적절한 기술을 보유한 전문가의 참여가 전체 개발 프레임워크에서 앱 보안이 제대로 구축되는 데 필수불가결하다는 건 삼척동자도 아는 사실입니다.
적절한 앱 보안 전문가
보안 전문가는 근본적으로 기존 앱 보안 수단을 평가하고 단기, 중기, 장기 대책을, 흔히 보안 로드맵이라고 불리우는 형식으로 제안합니다. 이 로드맵의 중요성은 과소평가 되어서는 안 됩니다. 이것은 기업이 보안 이슈를 효과적으로 처리하였는지, 아니면 처리에 실패하였는지를 가르는 가장 중요한 문서입니다. 로드맵은 특히 보안 프레임워크를 누가 담당하고 무엇을 하는지를 명시하여, 기업이 점점 더 불확실해지는 보안 환경에서도 매출을 상승시킬 수 있는 요소인 고객 정보와 브랜드 로열티를 지킬 수 있게 합니다. 이러한 로드맵을 갖추고 효율적으로 시행하기 위해서는 앱 보안 전문가에게 전권을 맡겨야 합니다.
애플리케이션 보안에 특화한 기업이 보안 전문가의 지도를 구하지 않는다면, 오류투성이에 제대로 완성되지 않아 비실용적인 보안 정책이 계속 시행될 겁니다. 결과적으로 이러한 보안 정책은 계획대로 시행되지 않으며 그 동안 들인 노력은 모두 헛수고가 됩니다.
실패할 리 없는 앱 보안 프레임워크를 달성하기 위한 주요 마일스톤을 설정하여 앱 보안 프로그램을 시작하는 방법을 아는 데에는 제대로 된 사람을 쓰는 게 큰 도움이 됩니다. 이는 또한 적절한 시기에 보안 환경의 규모를 증대하여 효과성, 효율성 및 보안 접근법의 견고함을 개선하는 방식과 수단을 제공합니다.
개발자들이 앱 보안 전문가가 아닌 이유
개발팀과 밀접히 작업할 보안 인력을 충분히 보유하지 않는다면 특히 기업 평판이 위기에 처했을 때 여러 면에서 값비싼 대가를 치를 수도 있습니다. 이를 명백히 증명하는 사례 몇 가지를 아래에 나열하였습니다.
– 보안 관련 훈련을 받지 않은 개발팀이 있으면, 해결되지 않은 보안 취약점을 발견한 후 이를 패치하기 위해 잦은 패치 작업을 수행해야 할 수 있습니다. 복잡한 보안 이슈를 해결하는 데는 몇 주 또는 며칠씩 걸릴 수 있습니다. 한번의 소프트웨어 출시 지연만으로도 고객과 합의된 제공 일정이 엉망이 될 수 있습니다.
– 대개 개발자들은 IT 팀에서 시간 압박을 가장 많이 받는 이들입니다. 이들에게 추가적인 보안 책임까지 안긴다는 것은 이들에게서 너무 많은 것을 바라는 겁니다.
– 더 최악인 점은 개발팀이 최신 보안 사례를 인지하지 못할 수도 있으므로, 안전한 제품 출시를 위해 개발팀에게만 기대는 것은 역효과를 낼 수 있다는 것입니다. 발견된 오점을 즉시 해결하지 않으면 기술 백로그가 쌓입니다. 해커들이 이러한 보안 허점을 악용할 소지가 높습니다.
– 보안을 전체 워크플로우 내 요소로 설정하지 않는다면 기업이 큰 비용을 치러야 할 수도 있습니다. 현대 데브옵스(DevOps) 프레임워크에서 보안은 전조적 위상을 당당히 차지하여, 데브섹옵스(DevSecOps)라는 개념으로 빈틈없이 매끄럽게 합쳐졌습니다.
– 인간과 기업 네트워크간 편리한 작업을 위한 정교한 정보 워크플로우의 부상은 정보 노출 리스크를 증가시켰습니다. 이는 주요 개인식별 가능 정보를 위험에 노출시켜, 결과적으로 보안 실패 시 브랜드 이미지를 위협하게 됩니다.
위 언급한 문제 대부분은 보안 전문가를 정확한 작업 지점에 배치하여 개발 생애주기 내 보안을 유기적으로 능률화 및 우선시하지 않았다는 공통 사유를 가지고 있습니다. 전문가가 개발한 일반적인 보안 프로그램은 애플리케이션 취약점의 탐색, 복원 및 예방에 도움이 일련의 표준과 가이드라인 및 리스크 최소화 통제법을 갖추고 있습니다. 이는 경영진 및 개발팀과의 토의를 통해 발전되는데, 모든 요소들을 이들에게 공유함으로써 가능합니다.
최고의 전문가의 손에서 잘 작동하는 도구들
OWASP 소프트웨어 보증 성숙도 모델(SAMM)과 같은 다양한 소프트웨어 보증 프레임워크와 모델은 기업 앱 보안 프로그램을 만들고 평가할 수 있는 기반을 제공합니다. 앱 보안 분야의 전문가를 참여시키는 것은 이러한 모델을 활용하고 앱 보안 프로그램의 목적을 기업 목표 및 목적과 일치시킬 수 있는 단단한 기반을 구축하도록 해 줍니다.
개발팀에게 보안 기본원칙을 훈련시키는 것 또한 보안 결함을 빠르게 해결하도록 하여, 보안 이슈가 라이브 환경으로 이전되지 않고 제로데이 공격을 피할 수 있습니다. 그러나 나날이 보안 취약성이 정교해진다는 점을 감안하였을때 개발팀을 훈련시키는 것만으로는 복잡하고 역동적인 보안 위협을 다루기엔 충분하지 않습니다.
앱 보안 프로그램을 시행하기도 전에 애플리케이션 보안 계획 시행 경험 부족으로 인해 실패하게 놔두지 마십시오. 앱실링은 강력하고 지속적인 보안 시행에 있어 획기적인 상품으로, 귀하의 사업 니즈와 우선순위에 따라 맞춤화되었습니다. 앱실링의 특허받은 애플리케이션 보안 솔루션은 800개가 넘는 모바일 애플리케이션에 전체 보안을 제공하였으며, 보안 위협으로부터 스스로 보호할 수 있도록 도와줍니다. 오늘 앱실링을 도입하시고 더 빠른 치료를 가능하게 해주는 차원이 다른 취약성 탐지를 경험해보십시오!