Home > 전체기사
보안 전문가들도 코딩을 배워야 하는 이유
  |  입력 : 2018-12-26 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 전문가들, 늘 개발자들의 얕은 보안 지식 탓하지만...
정작 보안 전문가들은 코딩 배우나?...실험했더니 놀라운 효과 나타나


[보안뉴스 문가용 기자] 많은 보안 전문가들과 CISO들이 2019년 보안 전략을 고민하기 시작했다. 일부 외신들에 의하면 해외 CISO들의 ‘할 일 목록’ 중에 눈에 띄는 건 ‘개발팀과 보안팀의 융합’이라고 한다. 점점 확산되고 있는 데브옵스에 보안을 더 효율적으로 녹여내기 위해서다.

[이미지 = iclickart]


보안에 종사하고 있는 전문가들은 ‘앱섹’ 즉 애플리케이션 보안을 이야기하면서 ‘개발자들이 보안에 대해 이해하지 못하고 있다’고 불평한다. 실제 애플리케이션을 통해 들어오는 공격은 상당한 비율을 차지하고 있다. 그러나 서로가 서로에게 손가락질만 해서는 상황 진척에 아무런 도움을 줄 수 없다. 데브옵스가 아니더라도, 개발자와 보안 담당자, 마케터, QA 담당자 등이 전부 한 몸처럼 움직일 때 가장 이상적인 조직이 될 수 있다.

유나이티드헬스 그룹(UnitedHealth Group)의 수석 기업 보안 아키텍트인 아론 라인하트(Aaron Rinehart)는 “공감이란 건 일방향성 개념이 아니라는 걸 기억해야 한다”고 말한다. “보안 전문가들은 항상 개발자들이 보안에 대해 좀 더 알아야 한다고 말합니다. 그런데 말이죠, 보안 전문가들은 앱 엔지니어링에 대해 얼마나 알고 있나요?”

라인하트는 이런 생각으로 2년 전부터 새로운 프로그램을 유나이티드헬스 그룹 내에 도입했다. 모든 보안 담당자들이 프로그래밍 수업을 듣게 한 것이다. “그냥 코드에 대해 이해하려고 하는 게 아닙니다. 보안 담당자들에게 ‘코더’라는 타이틀을 새롭게 주기 위한 것입니다. 실제 코더와 같은 역할을 할 수 있을 정도로 실력을 키워서 개발자들이 가지고 있는 문제나 사고방식 등을 이해할 수 있게 하려는 것이죠.”

그렇다고 라인하트가 회사의 예산을 어마어마하게 끌어다 쓴 것도 아니다. “대부분 인터넷에 있는 무료 온라인 강좌로 구성되어 있습니다.” 가끔 코딩을 전혀 해보지 않은 사람이 교육 대상자가 되곤 했는데, 그럴 때는 코딩의 개념, 신택스 등에 대한 기초적인 것부터 가르쳐야 했다. 그렇게 해서 어느 정도 초보 단계를 넘어서면, 파이선 수업을 시작했다. AutomateTheBoringStuff.com을 활용했다고 한다.

이렇게 했을 때 가장 큰 장점은 세 가지로 정리가 된다고 라인하트는 설명한다.

1. 사고방식의 변화
“사실 별 기대 없이 시작한 일이었습니다. 그게 이렇게까지 큰 변화를 일으킬 줄은 정말 몰랐어요. 조직 내 유능한 코더가 다수 보유된 건 아닙니다만, 코딩이라는 작업 자체에 대한 보안 전문가들의 사고방식은 확실히 바뀌었습니다.”

그 결과 패치 관리 정책을 결정하는 데 있어서, “사용자들 입장에서 버튼 하나만 누르면 패치가 완료되는 것처럼 업데이트가 뚝딱 만들어지는 게 아니라는 것도 알게” 됐다. “패치 개발도 앱 개발처럼 충분히 고민하고, 작업하고, 실험하는 등의 과정이 필요하다는 걸 이해하기 시작한 겁니다.”

그래서 유나이티드헬스 그룹은 “개발자들의 사정을 아우를 수 있는, 보다 합리적인 소프트웨어 보안 정책을 수립”할 수 있게 되었다.

2. 자동화 기술의 자가 구축에도 도움
온라인 교육 좀 받았다고 해서 누구나 코더가 되는 건 아니었다. 그렇지만 일부 교육 대상자들은 코딩의 재미나 가능성에 눈을 뜨고 스스로 공부를 시작했다. 그 지식을 보안 툴 구축과 구현 혹은 개발에 적용하기도 했다. 그러면서 보안 자동화가 저절로 시작되는 걸 목격할 수 있었다.

“코딩 프로그램을 지나고 나니 우리에게 어떤 인재들이 생겨났을까요? 생각을 실제 상품이나 서비스로까지 옮길 수 있는 사람들입니다. 이런 사람들을 세상에선 혁신가들이라고 부르죠. 교육을 받은 모두가 혁신가로 다시 태어난 건 아닙니다만, 교육 전보다는 더 많이 생긴 게 사실입니다. 조직 내 능력 자체가 배양된 것이죠.”

예를 들어 한 네트워크 보안 전문가는 코딩 기술을 배운 다음 혼자서 방화벽 자동화 API를 만들어 사용하기 시작했다. “이미 방화벽 규칙과 표준은 갖추고 있었죠. 그걸 그 전문가 본인도 잘 이해하고 있었고요. 그런 사전 지식을 신기술과 접합시켜 새로운 API를 만든 겁니다. 생각지도 못한 결과물이었어요.”

3. 보안 정책의 코딩
코딩 기술을 사용해 여러 가지 보안 임무를 자동으로 처리하게 하는 것 외에, 보안 관련 정책까지도 코드 형식으로 구축하는 움직임도 생겼다. “제품이나 서비스를 만들 때 기업들은 일정한 정책과 표준을 반드시 지키도록 되어 있는데, 이걸 말이나 글로만 선언해둔 것이 아니라 코드로서 적용하는 수준에까지 이른 것입니다. 그러니까 말과 글을 이해해야 하는 기술자들 편에서도 훨씬 편해졌죠. 컴플라이언스도 좋아졌고요.”

라인하트는 “개발자들은 보안 담당자들이 (그들 입장에서) 추상적인 지시를 멈추고 구체적이고 실질적인 도움을 준다는 반응을 보여주고 있다”고 말한다. “개발자들은 이런 보안 담당자들에 목이 말랐던 것도 같아요. 이해하기 힘든 법과 규정이 프린트 된 인쇄물을 보여주면서, ‘지키라’고 말하는 감독관이 아니라요. 솔직히 그런 복잡한 문구들, 보안 전문가들도 잘 이해 못하잖아요? 자기도 모르는 걸 가지고 어떻게 남을 설득하겠습니까. 코딩 교육 프로그램은 보안 개발자들에게 필수 코스라고 보입니다.”

3줄 요약
1. 한 회사에서 보안 담당자들에게 코딩 교육 필수로 지정했더니...
2. 개발자들과 보안 담당자들, 드디어 ‘진짜 소통’과 ‘진짜 이해’ 시작.
3. 심지어 코딩 기술을 보안 지식에 접목해 자동화 API를 만들기도.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트