Home > 전체기사
보안 전문가들도 코딩을 배워야 하는 이유
  |  입력 : 2018-12-26 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 전문가들, 늘 개발자들의 얕은 보안 지식 탓하지만...
정작 보안 전문가들은 코딩 배우나?...실험했더니 놀라운 효과 나타나


[보안뉴스 문가용 기자] 많은 보안 전문가들과 CISO들이 2019년 보안 전략을 고민하기 시작했다. 일부 외신들에 의하면 해외 CISO들의 ‘할 일 목록’ 중에 눈에 띄는 건 ‘개발팀과 보안팀의 융합’이라고 한다. 점점 확산되고 있는 데브옵스에 보안을 더 효율적으로 녹여내기 위해서다.

[이미지 = iclickart]


보안에 종사하고 있는 전문가들은 ‘앱섹’ 즉 애플리케이션 보안을 이야기하면서 ‘개발자들이 보안에 대해 이해하지 못하고 있다’고 불평한다. 실제 애플리케이션을 통해 들어오는 공격은 상당한 비율을 차지하고 있다. 그러나 서로가 서로에게 손가락질만 해서는 상황 진척에 아무런 도움을 줄 수 없다. 데브옵스가 아니더라도, 개발자와 보안 담당자, 마케터, QA 담당자 등이 전부 한 몸처럼 움직일 때 가장 이상적인 조직이 될 수 있다.

유나이티드헬스 그룹(UnitedHealth Group)의 수석 기업 보안 아키텍트인 아론 라인하트(Aaron Rinehart)는 “공감이란 건 일방향성 개념이 아니라는 걸 기억해야 한다”고 말한다. “보안 전문가들은 항상 개발자들이 보안에 대해 좀 더 알아야 한다고 말합니다. 그런데 말이죠, 보안 전문가들은 앱 엔지니어링에 대해 얼마나 알고 있나요?”

라인하트는 이런 생각으로 2년 전부터 새로운 프로그램을 유나이티드헬스 그룹 내에 도입했다. 모든 보안 담당자들이 프로그래밍 수업을 듣게 한 것이다. “그냥 코드에 대해 이해하려고 하는 게 아닙니다. 보안 담당자들에게 ‘코더’라는 타이틀을 새롭게 주기 위한 것입니다. 실제 코더와 같은 역할을 할 수 있을 정도로 실력을 키워서 개발자들이 가지고 있는 문제나 사고방식 등을 이해할 수 있게 하려는 것이죠.”

그렇다고 라인하트가 회사의 예산을 어마어마하게 끌어다 쓴 것도 아니다. “대부분 인터넷에 있는 무료 온라인 강좌로 구성되어 있습니다.” 가끔 코딩을 전혀 해보지 않은 사람이 교육 대상자가 되곤 했는데, 그럴 때는 코딩의 개념, 신택스 등에 대한 기초적인 것부터 가르쳐야 했다. 그렇게 해서 어느 정도 초보 단계를 넘어서면, 파이선 수업을 시작했다. AutomateTheBoringStuff.com을 활용했다고 한다.

이렇게 했을 때 가장 큰 장점은 세 가지로 정리가 된다고 라인하트는 설명한다.

1. 사고방식의 변화
“사실 별 기대 없이 시작한 일이었습니다. 그게 이렇게까지 큰 변화를 일으킬 줄은 정말 몰랐어요. 조직 내 유능한 코더가 다수 보유된 건 아닙니다만, 코딩이라는 작업 자체에 대한 보안 전문가들의 사고방식은 확실히 바뀌었습니다.”

그 결과 패치 관리 정책을 결정하는 데 있어서, “사용자들 입장에서 버튼 하나만 누르면 패치가 완료되는 것처럼 업데이트가 뚝딱 만들어지는 게 아니라는 것도 알게” 됐다. “패치 개발도 앱 개발처럼 충분히 고민하고, 작업하고, 실험하는 등의 과정이 필요하다는 걸 이해하기 시작한 겁니다.”

그래서 유나이티드헬스 그룹은 “개발자들의 사정을 아우를 수 있는, 보다 합리적인 소프트웨어 보안 정책을 수립”할 수 있게 되었다.

2. 자동화 기술의 자가 구축에도 도움
온라인 교육 좀 받았다고 해서 누구나 코더가 되는 건 아니었다. 그렇지만 일부 교육 대상자들은 코딩의 재미나 가능성에 눈을 뜨고 스스로 공부를 시작했다. 그 지식을 보안 툴 구축과 구현 혹은 개발에 적용하기도 했다. 그러면서 보안 자동화가 저절로 시작되는 걸 목격할 수 있었다.

“코딩 프로그램을 지나고 나니 우리에게 어떤 인재들이 생겨났을까요? 생각을 실제 상품이나 서비스로까지 옮길 수 있는 사람들입니다. 이런 사람들을 세상에선 혁신가들이라고 부르죠. 교육을 받은 모두가 혁신가로 다시 태어난 건 아닙니다만, 교육 전보다는 더 많이 생긴 게 사실입니다. 조직 내 능력 자체가 배양된 것이죠.”

예를 들어 한 네트워크 보안 전문가는 코딩 기술을 배운 다음 혼자서 방화벽 자동화 API를 만들어 사용하기 시작했다. “이미 방화벽 규칙과 표준은 갖추고 있었죠. 그걸 그 전문가 본인도 잘 이해하고 있었고요. 그런 사전 지식을 신기술과 접합시켜 새로운 API를 만든 겁니다. 생각지도 못한 결과물이었어요.”

3. 보안 정책의 코딩
코딩 기술을 사용해 여러 가지 보안 임무를 자동으로 처리하게 하는 것 외에, 보안 관련 정책까지도 코드 형식으로 구축하는 움직임도 생겼다. “제품이나 서비스를 만들 때 기업들은 일정한 정책과 표준을 반드시 지키도록 되어 있는데, 이걸 말이나 글로만 선언해둔 것이 아니라 코드로서 적용하는 수준에까지 이른 것입니다. 그러니까 말과 글을 이해해야 하는 기술자들 편에서도 훨씬 편해졌죠. 컴플라이언스도 좋아졌고요.”

라인하트는 “개발자들은 보안 담당자들이 (그들 입장에서) 추상적인 지시를 멈추고 구체적이고 실질적인 도움을 준다는 반응을 보여주고 있다”고 말한다. “개발자들은 이런 보안 담당자들에 목이 말랐던 것도 같아요. 이해하기 힘든 법과 규정이 프린트 된 인쇄물을 보여주면서, ‘지키라’고 말하는 감독관이 아니라요. 솔직히 그런 복잡한 문구들, 보안 전문가들도 잘 이해 못하잖아요? 자기도 모르는 걸 가지고 어떻게 남을 설득하겠습니까. 코딩 교육 프로그램은 보안 개발자들에게 필수 코스라고 보입니다.”

3줄 요약
1. 한 회사에서 보안 담당자들에게 코딩 교육 필수로 지정했더니...
2. 개발자들과 보안 담당자들, 드디어 ‘진짜 소통’과 ‘진짜 이해’ 시작.
3. 심지어 코딩 기술을 보안 지식에 접목해 자동화 API를 만들기도.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향