트렌드

HP, “SW 요람에서 무덤까지 보안 자동 관리”

2008.08.29

“하루 다르게 바뀌는 보안 기술을 모든 개발자가 숙지하기란 불가능합니다. 그리고 이제 개발은 전세계적으로 흩어져서 협업하고 있습니다. 당연히 중앙에서 이를 관리하고 지원해줄 툴이 필요한 것이죠. 보안 자동화 관리 툴 시장이 커지고 있는 이유입니다.”

hp bearsley photo HP 앤드류 베슬리(Andrew Bearsley) 기술 총괄 매니저(사진)는 ‘HP 소프트웨어 데이 : 웹 애플리케이션 보안 전략’ 세미나 발표 전 기자와 만나 이렇게 이야기했다.

HP가 최근 급증하고 있는 웹 애플리케이션 보안 문제에 고객들이 적극적으로 대응할 수 있는 해법을 마련하고자 세미나를 개최했다. 이날 행사는 350여명이 넘는 참석자가 참여해 최근 보안 시장에 대한 관심을 여실히 보여줬다.

HP는 전 세계를 불문하고 일어나는 해킹 공격의 99%는 돈으로 환산되는 개인 정보 수집에 그 목적이 있기 때문에 더 이상 특정한 타겟을 목표로 하지 않고 무차별 공격을 감행하고 있다고 전한다. 또한 해킹 공격의 70%는 네트워크 시스템 레이어가 아닌, 애플리케이션의 보안 취약성을 이용한 애플리케이션 레이어에서 발생하고 있는 실정이기 때문에 고객들의 인식 전환도 필요한 상황이다.

이상렬 한국HP 소프트웨어 총괄 상무는 인사말을 통해 “HP가 보안 관련해 마련한 첫 행사입니다”라고 전하고 “해킹 기술이 다양화, 전문화되고 있기 때문에 사후 대응에는 한계가 많습니다. 미리 예방할 수 있도록 HP가 돕겠습니다”라고 밝혔다.

HP가 전하는 메시지는 어쩌면 상당히 간단하다. 애플리케이션을 개발하는 과정에서 보안 문제를 최대한 해결할 수 있는 방법이 있다는 것이다. 또 이렇게 점검된 웹 애플리케이션을 구동할 때도 주기적으로 취약점을 찾아내 미리 미리 사전에 대응해야 한다는 설명이다.

말은 간단하지만 이런 과정이 쉽지만은 않다. 짧은 개발 주기와 소프트웨어 개발자들의 보안 기술 차이, 빠르게 변하는 해킹 기술 등 현실적인 문제가 만만치 않다. 개발 조직도 우리나라에만 있는 것이 아니다. 최근 포털 업체부터 IT서비스 업체에 이르기까지 인도와 중국 개발자 구하기에 적극 나서고 있다. 공간적으로 떨어져 있는 개발 환경은 이제 대세가 되고 있다.

서버와 네트워크 분야는 암호화나 파이어월 등을 통해 보안에 대응하고 있다. 이 때문에 크래커들은 브라우저를 통해 개인정보 유출을 시도하고 있다. 웹 취약점을 가진 사이트를 공략해 개인정보를 취득해 주민번호나 신용카드 정보들을 빼내는 것이다. 공격의 패턴이 웹 애플리케이션 쪽에 집중되면서 HP도 이 분야를 지원할 수 있는 보안 자동화 관리 솔루션들을 선보이고 있다.

그동안 애플리케이션 개발과 관련해 품질과 부하테스트, 기능 테스트 등에 집중했던 HP는 지난해 HP는 지난해 6월 웹애플리케이션 보안성 측정 전문업체 `스파이다이나믹(SpiDynamic)’를 인수하고, 관련 인력들을 연구개발 부서에 배치해 고객들의 고민 해결에 적극 대응하고 있다.

HP는 버전과 진도 관리와 자동검증 스케줄 관리를 지원하는 AMP(Assessment Management Platform) 기반 위에 개발중인 애플리케이션에 대한 자동 검증과 소스코드를 분석하는 ‘HP 데브인스펙트’, 품질관리 전문가를 위한 통합 보안 테스팅 솔루션인 ‘HP QA인스펙트’, 현존과 신규 애플리케이션을 위한 자동화 펜 테스팅 솔루션인 ‘HP 웹인스펙트’로 개발과 시스템테스트, 운영을 모두 지원하고 있다.

HP 엔드류 베슬리 기술 총괄 매니저는 “최근 해외에서는 보안 기술을 배운 개발자의 몸값이 치솟고 있습니다”라고 전하고 “소스코드 자체를 분석하고, 기능을 테스트할 때 해킹 기술 등과 연계하면 보안에 최적화된 애플리케이션이 만들어집니다. 이런 과정을 모두 자동으로 관리하는 것이죠. 전세계 어느 곳에서 프로젝트가 진행되던 중앙에서 모두 관리 가능하다는 것이 큰 장점입니다”라고 설명했다.

최근 개발 분야에서는 애자일방법론이 대두되고 있다. 모든 소스를 짜서 한데 조합한 후 마지막에 테스팅을 하고 다시 버그를 잡는 것이 아니라 초기부터 이런 과정을 거치면 개발 속도가 궁극적으로 빨라지고 품질도 좋은 제품을 생산해 낼 수 있다는 것이다. 그렇지만 이런 애자일방법론은 보안팀에게는 ‘머리에 쥐가 나게 하는 일’이다. 한번에 점검해 왔는데 이제는 수시로 이런 작업에 참여해야하기 때문이다.

애드류 기술 매니저는 “최근 애자일 방법론이 조금씩 확산되고 있는데 개발자들은 빨리 검증을 받고 다음 단계로 넘어가고 싶어합니다. 특히 최근처럼 전세계적으로 분산된 구조에서 애플리케이션을 개발하고 있기 때문에 검증 문제는 상당히 중요합니다”라고 밝혔다.

보안 자동화 관리 솔루션은 이런 협업적인 공간 이외에도 프리랜서나 임시직을 사용하는 IT 서비스 업체 입장에서도 많은 혜택을 얻을 수 있다. IT 서비스 업체들이 자체 교육을 하기보다는 그 때마다 필요한 인력을 수급해 프로젝트에 투입하고 있는데 이런 인력들에게 모두 보안 교육을 시키기에는 시간과 예산이 너무나 많이 든다.

이런 구조적인 문제 때문에 웹 애플리케이션의 보안 취약점이 많이 발생하고 있는 것. 한국HP 지동욱 부장은 “이런 고객들이 많은 관심을 보이고 있습니다”라고 전했다.

개발 단계부터 보안을 강화해야 한다는 것은 이전부터 나온 이야기다. 마이크로소프트도 자사의 운영체제가 크래커들의 공격 대상이 되자 모든 개발자들에게 개발을 중지시키고 보안 교육을 강화한 후 새롭게 개발에 투입하고 있다.

올해 상반기에는 그 어느 해보다 많은 보안 사건 사고가 많았다. 유비무환이라는 말은 동서고금을 통틀어 여전히 유효한 해법임에 틀림없어 보인다.

eyeball@bloter.net

오랫동안 현장 소식을 전하고 싶은 소박한 꿈을 꿉니다. 현장에서 만나요.