보안관리자, 지속적인 보안 트레이닝이 관건

Fortify 로버트 라슈월드, ‘애플리케이션 보안 중요성’ 강조

최근 미국의 금융권에서는 보안 프로그램 개발 뿐만 아니라 개발자의 보안 오류를 사전에 방지하기 위한 트레이닝 기법이 도입되고 있다. 특히 애플리케이션 상의 보안은 인터넷 뱅킹 등 전자상거래에서 가장 중요시 되고 있는 상황이다.

Fortify 소프트웨어 로버트 라슈월드 디렉터 프러덕트는 17일 가진 인터뷰에서 “세계의 유명 금융권 뿐만 아니라 여러 인터넷 기반 업체들은 최근 웹 방화벽 등 기본 적인 보안 체제와 더불어 해킹공격에 대응하는 프로세스화를 시도하고 있다”며 “이를 위해 근본적으로 보안프로그램 개발자의 오류를 방지하기 위한 훈련을 주기적으로 실시하고 있다”고 강조했다.

국내 금융권이나 공공기관의 경우 개발·육성에만 치중 할 뿐 보안 사고에 있어 원인분석이 상대적으로 취약하다는 점을 본다면 이같은 추세는 국내에서도 도입을 검토해야 할 가치가 있다. 이와 함께 로버트는 최근 애플리케이션 관련 보안 트랜드가 아웃소싱 위주로 전개되고 있다고 설명했다.

보안 서비스 부문에 대해 아웃소싱을 시행하면 보안이 부족한 부분을 지속적으로 피드백하며 오류를 수정할 수 있다는 것이다. 특히 애플리케이션의 경우 항상 열려있는 포트이기 때문에 해커들이 웹 방화벽 등을 우회해 공격하는 수단이 되고 있어 이에 따른 보안대책이 시급하다고 지적했다.

국내 보안정책에 대한 우려도 표명했다. 이미 미국이나 유럽 등 제도권 국가에서는 정부에서 법적으로 침해사고나 보안문제가 발생되면 법적으로 고시하게 돼 있지만 우리나라는 여전히 은폐하는데 급급한 모습이다. 더구나 인터넷 시대에 보안 사고는 더 이상 숨길수 없는 상황에 이르렀기 때문에 사고를 공개해 원인을 해결하는 것이 중요하다고 제안했다.

로버트는 “미국의 경우 개발자 트레이닝을 통해 개발 단계부터 보안 취약점을 줄이는 방안이 강구되고 있다. 매 6개월 주기로 결과를 체크한 결과 약 20% 가량 보안사고가 줄었다”며 “기업이나 공공기관 역시 보안 사고를 숨기는 경향이 많은데 이는 향후 수습하는데 10배 이상의 예산이 투자되는 역효과를 낳을 수 있다”고 경고했다.

[배군득 기자(boan3@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다