세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
애플리케이션 보안이 죽어가고 있다
  |  입력 : 2018-03-23 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
애플리케이션의 중요도 높아짐에 따라 보안 개념 바뀌고 있어
변화의 때, 도태되느냐 디지털 경제의 주인공이 되느냐


[보안뉴스 문가용 기자] 애플리케이션 보안은 죽었다. 지금 당장 죽어 있는 상태가 아니라고 하더라도 곧 그렇게 될 것이다. 그렇다고 애플리케이션 보안을 전문으로 하는 엔지니어들이여, 겁낼 필요 없다. 당신들의 일자리는 없어지는 게 아니라, 오히려 더 중요해질 것이기 때문이다. 따라서 조만간 연봉도 오르리라고 예상하고 있다. 애플리케이션 보안이 한 번은 죽어야만 가능해질 일이다.

[이미지 = iclickart]


애플리케이션 보안은 기업 보안의 하위 개념으로써 약 15년도 넘게 우리 곁에 있어온 분야다. 2000년대 초반부터 애플리케이션 보안 전문가 타이틀을 가진 자들은 웹사이트들을 평가하고 애플리케이션 침투 테스트를 진행하면서 그 대가로 살아왔다. 하지만 이러한 형태의 애플리케이션 보안이라는 분야는, 위에도 썼지만, 죽을 전망이다. 이제는 애플리케이션 보안이 아니라 제품 보안으로 흘러가는 흐름이 보안 산업 내에서 탐지되고 있다.

애플리케이션 보안과 제품 보안은 어떻게 다른 걸까? 일단 이것이 그저 한 직업군을 표현하는 말의 변화만이 아니라는 것을 알아야 한다. 애플리케이션 보안이 제품 보안으로 변해가고 있다는 건, ‘기업 보안’의 개념이 바뀌기 때문에 나타나는 현상이다. 이를 이해하기 위해서는 현재 우리 주변에 일어나고 있는 커다란 변화를 염두에 두어야 한다. 클라우드로의 이주와 디지털 변혁이 바로 그것이다.

클라우드로의 이주
클라우드가 빠르게 IT 환경 가운데 자리잡아가면서 교과서에만 있던 데브옵스와 애자일 개발환경이 서서히 실제 현장에 들어서고 있다. 이 때문에 보안 팀들은 골치가 아픈 중에 있다. 또한 애플리케이션들이 가판대 판매용이 아니라 구독 형태로 개발되고 있기 때문에, 기존의 방식 그대로 애플리케이션을 보호하는 게 의미가 없어지고 있기도 하다. 네트워크와 호스트 기반 보안을 이제 클라우드를 제공하는 서드파티 업체가 책임지게 되었으니 말이다. 그러므로 각 기업에서 보안을 담당하던 자들은 새로운 지식을 쌓고 기술을 연마해야만 하는 상황에 닥쳤다.

이렇게 ‘내가 하던 일’을 어이없이 ‘클라우드 업체’로 넘겨지게 된 것과 동시에 데브옵스에 특화된 보안 전문가들이 하나 둘 나타나기 시작하기도 했다. 과거 애플리케이션 보안 팀이라고 하면 코드의 보안성을 점검하고, 정적 및 동적 분석을 통해 개발자들이 의도한 결과물을 내면서도 해킹 등과 같은 부작용 가능성을 없애는 것을 담당했었다. 그런데 데브옵스 보안 전문가라는 자들이 등장하면서 아예 개발 단계에서부터 보안 지식을 가지고 투입되는 사람들이 생기기 시작한 것이다. 이들은 사실 개발자나 다름없다. 보안까지 생각하며 코드를 짤 수 있는 사람들로, 개발자와 팀을 이뤄 스스로 개발, 보완, 수정까지 완료하는 게 가능해졌다.

이렇게 되면서 애플리케이션 보안에 대한 책임이 온전히 애플리케이션 보안 팀에만 가중되지 않게 되었다. 보안은 개발과 보안이 융합된 단계에 참여하는 모두가 책임지고 담당해야 하는 요소가 되었다. 어깨에서 짐을 덜어냈다는 건 좋은 소식이지만, ‘보안 전문가’로서의 입지가 줄어드는 것 또한 어쩔 수 없는 일이다. 이것이 대략 클라우드로의 이주가 애플리케이션 보안 전문가들에 미치는 영향이다.

디지털 변혁
여기에 디지털 변혁이라는 요소도 가미되기 시작했다. 디지털 변혁은 사업을 꾸려가는 방식 자체가 바뀐다는 뜻으로, 기존의 사업 모델들이 전부 디지털화 되고 있다. 모든 업체들이 디지털 기술을 기존 사업 모델에 녹여 내거나 융합시키고 있다. 기존의 제품들부터 서비스, 운영 방식까지 새롭게 변모하고 있는 것이다.

쉽게 말하면 기존에 팔던 제품들이 온라인 세상에 들어서기 시작했다는 것이다. 사이버 보안을 담당했던 자들이 관리해야 하라 품목들이 늘어났다는 뜻도 된다. 그것도 아주 광범위하고 빠르게 말이다. 그러니 애플리케이션의 개념 자체가 바뀔 수밖에 없다. 사업을 좀 더 편리하게 해주는 일부 ‘보조’ 및 ‘도우미’ 역할을 탈피하고 ‘필수 요소’가 되었다. 아니, 디지털화 하려는 기업에 있어 생명선과 같은 존재가 되어버린 것이다.

애플리케이션 보안 담당자 입장에서는 관리해야 할 것들이 크게 늘어난 것뿐만 아니라 그 대상들의 중요도 또한 대폭 높아지기도 했다. 제품이 온라인화 되어 거래되는 것도 골치 아픈데, 이 제품이 개발되고 만들어지며 고객들에게 전달되는 모든 ‘온라인’ 과정에 사용되는 모든 애플리케이션을 ‘중요하게’ 보호해야 하는 임무가 생겨버렸기 때문이다. 그리고 이는 곧 회사 전체를 보호하는 것과 같은 말이다.

그러므로 제품 보안
그러니 사업을 운영한다는 맥락에서 애플리케이션을 바라보는 시각과 개념이 바뀔 수밖에 없고, 그러니 애플리케이션 보안도 덩달아 바뀔 수밖에 없다. 개별 애플리케이션에 집중된 ‘국소적’ 보안은 더 이상 적용되지 않고, 회사 전체의 움직임이라는 커다란 맥락에서 보안을 새롭게 장착해야 할 때다. 그러므로 보안 엔지니어들은 사업 운영의 중추적인 역할을 맡을 준비를 해야 한다. 비즈니스스쿨 출신인 것처럼 말이다. 지금처럼 애플리케이션 하나와 둘 가지고 씨름해서는 도태될 것이 뻔하다.

이 글을 읽는 보안 엔지니어들은 이 새 흐름을 받아들일 준비를 시작해야 할 것이다. 다시 한 번 강조하지만 애플리케이션 보안은 죽었다. 그리고 다시 태어나기 직전이다. 보안과 사업은 정말로 뗄 수 없는 밀착관계를 형성하고 있다. IT와 코드만 들여다보는 게 아니라 장부와 예산 책정 회의, 사내 정책 형성, 고객의 소리까지 다 관심을 가져야 할 때다.

글 : 타일러 쉴즈(Tyler Shields), Signal Sciences
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술