애플리케이션 보안의 최대 위협은 빠른 개발 속도!

개발의 어떤 요인보다 개발 속도가 보안에 큰 영향 끼쳐
자바 EE로 개발된 앱, 많이 출시되는 만큼 CWE도 높아

[보안뉴스 오다인 기자] 소프트웨어 출시 및 업데이트 주기가 짧을수록 보안에 악영향을 끼칠 위험이 크다는 연구가 나왔다. 소프트웨어 출시와 업데이트 주기가 보안에 끼치는 영향은 코드 사이즈나 기업 내·외부의 개발 여부가 보안에 끼치는 영향보다도 더 큰 것으로 나타났다.

[이미지=iclickart]

소프트웨어 인텔리전스 업체 캐스트 리서치 랩스(CAST Research Labs)는 자바 EE(Java EE)와 닷넷(.NET)으로 개발된 애플리케이션 1,388개를 최근 분석했다. 캐스트 리서치 랩스는 이 애플리케이션들 내 2억 7,800만 줄의 코드와 드러나지 않은 취약점 130만 개에 대해 6,700만 번의 규칙 검사(rule check)를 진행했다.

그 결과, 빠르게 개발할수록 애플리케이션 생산이 가속화되고 요구사항 변화에도 개발자들이 더 쉽게 적응할 수 있지만 보안상의 위험은 더 커질 수 있다는 사실이 나타났다. 이는 지난 수년 간 많은 사람들이 주장해온 바와 일맥상통한다.

구체적으로 캐스트 리서치 랩스는 자바 EE 애플리케이션이 매년 다른 언어로 쓰인 애플리케이션보다 6배나 더 많이 출시되며 알려진 보안 취약점(CWE: Common Weakness Enumeration)도 훨씬 더 많이 보유하고 있다는 사실을 파악했다.

캐스트 리서치 랩스가 분석한 결과, 자바 EE 애플리케이션 내의 CWE 밀도가 개발 방법론 자체와 상관없이 일관되게 유지되는 것으로 나타났다. 다시 말해, 자바 EE 애플리케이션이 애자일 모델(Agile model)로 개발됐든 반복 모델(Iterative model)로 개발됐든 간에 하이브리드 워터폴 및 애자일(Hybrid Waterfall and Agile) 방식으로 개발됐거나 완전히 워터폴(Waterfall) 방식으로 개발된 애플리케이션과 거의 똑같은 취약점 밀도를 갖고 있었다. 즉, 이런 모델이나 방식이 보안이라는 차원에선 별 차이가 없었다는 뜻이다. 보안에 현격한 차이를 만들어낸 요인은 업데이트 빈도와 출시 빈도였다.

흥미롭게도 이 같은 결과는 닷넷 애플리케이션들을 분석했을 때는 통계적으로 다르게 나타났다. 기존의 워터폴 접근법으로 개발된 닷넷 애플리케이션들은 애자일 및 하이브리드 접근법으로 개발된 애플리케이션들에 비해 CWE 밀도가 훨씬 더 높았다. 심지어 특별한 접근법을 하나도 취하지 않고 개발한 애플리케이션들보다도 CWE 밀도가 높았다.

“자바의 경우, 금융 서비스 업체나 통신사에서 CWE 밀도가 가장 높다는 것을 발견했습니다. 특히 연간 6배 가량 더 많이 생산되는 애플리케이션들의 경우 보안이 더 취약하다는 사실을 파악했죠.” 캐스트 리서치 랩스의 상무 겸 최고 과학자인 빌 커티스(Bill Curtis)의 설명이다.

한편, 애플리케이션 사이즈나 개발 작업이 이뤄지는 장소 같은 기타 요소들은 취약점 밀도에 상대적으로 약한 영향을 미쳤다.

일반적으로 코드 사이즈가 더 커질수록 개발자들이 SQL 삽입이나 교차 사이트 스크립팅 같은 코딩 실수를 저지를 가능성이 더 커진다. 그러므로 절대적인 기준으로 보면, 규모가 큰 애플리케이션들이 규모가 작은 애플리케이션들보다 대개 더 많은 보안 취약점을 가지고 있다. 하지만 캐스트 리서치 랩스 분석에 따르면 취약점 밀도 혹은 코드 1,000줄 당 실수의 숫자는 애플리케이션 사이즈와 무관하게 동일하다고 밝혀졌다. 이 같은 결과는 코드 소스의 경우에도 마찬가지였다.

커티스는 “재밌는 사실은 애플리케이션이 온쇼어(onshore) 또는 오프쇼어(offshore)로 개발됐는지, 인하우스(in-house) 또는 아웃소싱(outsourcing)으로 개발됐는지는 CWE 밀도에 있어 별다른 차이를 만들어내지 못했다는 점”이라고 말했다.

캐스트 리서치 랩스의 연구는 닷넷 에플리케이션이 자바 EE 애플리케이션보다 평균적으로 더 높은 CWE 밀도를 갖고 있다는 사실을 보여준다. 캐스트 리서치 랩스가 검토한 대부분의 자바 EE 애플리케이션은 업종을 아울러 코드 1,000줄 당 평균 5개의 실수가 발견됐다.

반면 닷넷 애플리케이션의 CWE 밀도 수치는 훨씬 더 높았다. 에너지, 보험, IT 컨설팅 등의 업계에서 특히 더 높게 나타났다. 캐스트 리서치 랩스가 분석한 다수의 닷넷 애플리케이션들은 코드 1,000줄 당 20개에서 30개의 취약점이 발견됐다. 커티스는 “CWE 밀도와 관련한 요인들 중에 자바와 닷넷 간 차이점이 발견되리라고는 기대치 못했다”고 밝혔다.

애플리케이션 보안(Appsec)은 현재 뜨거운 관심을 받는 주제다. 애자일과 계속되는 출시 주기의 도입은 조직들이 소프트웨어 개발 과정 전체에 보안 테스트를 통합하고 또 초기부터 보안 관련 프로세스를 진행하도록 압박해왔다. 이 같은 추세는 개발, 보안, 운영 부서를 하나의 목표 아래 통합하는 데 주력하는 새로운 데브섹옵스(DevSecOps) 접근법이 등장하도록 만들었다. 캐스트 리서치 랩스에서 수행한 것과 같은 연구들은 이를 위한 노력이 왜 필요한지 말해준다.

커티스는 “IT 조직이라면 구조화나 코딩 시 보안 기술이 부족한 직원들에게 반드시 관련 훈련을 제공해야 한다”며 기업의 책임성을 강조했다.

이와 더불어 조직들은 개발 주기 전체에 정적 테스팅, 동적 테스팅, 침투 테스팅 기술을 사용할 필요가 있으며 모든 취약점이 가능한 한 빠르게 패치되도록 확인해야 한다. 다른 애플리케이션이나 서드파티 소프트웨어에 의존하거나 상호 작용한다면 잠재적인 보안 취약점에 대해서도 조사해야 할 것이다.

커티스는 “사이버 보안 역량을 강화하고 관련 조치를 시행할 책임은 기업 임원들에게 있다”고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)