“침해사고의 84%는 애플리케이션 취약점을 악용하지만, 보안 지출은 여전히 경계보안에 치우쳐있다. 가트너는 경계보안과 애플리케이션 보안의 지출 비율을 23:1이라고 분석했다.”
박종필 마이크로포커스코리아 부장은 애플리케이션의 ‘보안 내재화된 설계(SbD: Security by Design)’를 강조하면서 이같이 지적했다. 보안 내재화는 애플리케이션 설계단계부터 보안을 적용해 취약점을 제거하고 공격에 영향을 받지 않도록 하는 것을 말한다. 시큐어코딩, 지속적인 테스트, 자격증명, 암호화 등 실체적 기법이 활용된다.
8일 서울 삼성동에서 열린 ‘차세대 보안 비전’ B트랙 다섯번째 연사로 나선 박종필 부장은 ‘RASP 활용한 SbD 구현’ 주제의 세션을 통해 보안 내재화 설계 방법과 운영중 애플리케이션 자가방어(RASP) 솔루션에 대해 소개했다.
앱 배포 후 취약점 제거하면 30배 비용 더 들어
애플리케이션의 SbD는 데브시크옵스(DevSecOps)의 출발로, 애플리케이션 개발 단계에서 적용하는 시큐어코딩(정적분석 SAST)와 테스트 단계에서 적용하는 동적분석(DAST), 그리고 운영중인 애플리케이션을 보호하는 RASP 등이 필수 요소로 꼽힌다.
SbD는 애플리케이션과 운영을 통합 개발하는 데브시크옵스 환경에서 개발자가 즉시 취약점을 점검하고 개발에 반영할 수 있는 방법이 필요하게 됐다. 애플리케이션 취약점은 일찍 발견할수록 비용이 적게 든다.
박 부장은 “애플리케이션 기획과 설계, 아키텍처 단계에서 취약점을 점검하고 제거하는 것 보다, 코딩 단계에서 제거하는 것은 5배 많은 비용이 든다. 테스트 단계에서는 15배, 배포 후 관리 단계에서는 30배 이상의 비용이 소요된다”며 “애플리케이션 취약점은 초기에 발견하고 제거하는 것이 가장 현명한 방법”이라고 강조했다.
RASP는 최근 애플리케이션 보안 분야에서 급속도로 성장하고 있는 기술로, 애플리케이션 동작을 모니터링하고 제어하며, 외부의 공격을 차단한다. 가트너는 2020년까지 데브옵스를 도입한 기업 40%가 애플리케이션 보안 자체 테스트, 자체 진단, 자체 보호 기술을 도입해 애플리케이션을 보호할 것이라고 내다봤다.
운영중인 애플리케이션을 보호하기 위해 웹방화벽이 사용되지만, 웹방화벽은 개별 애플리케이션 내부의 로직을 이해하지 못하며, 내부 데이터외 이벤트 플로우 가시성 부족으로 오탐·미탐의 한계를 지적받아왔다. RASP는 애플리케이션 내부에서 모든 실행을 모니터링하고, 보안위협을 탐지·방어하며, 오탐·미탐 없이 정확한 보안을 직접 구현한다.
개방형 생태계 형성해 다양한 보안 환경 지원
마이크로포커스는 애플리케이션 보안 시장을 선도하는 ‘포티파이’ 제품군이 SbD의 이상을 구현한다고 소개한다.
정적분석 도구인 SCA, 동적분석도구인 ‘웹인스펙트(WebInspect)’, RASP ‘앱디펜더(App Defender)’로 구성돼 있으며, 애플리케이션 라이프사이클 전체에서 취약점과 보안위협을 제거하고 자체방어 환경을 구성, 전반적인 위협을 완화한다. 포티파이 제품군은 경쟁사보다 많은 개발언어를 지원하며, 데브시크옵스를 구현할 수 있도록 하며, 오픈 API를 제공해 개방형 에코시스템을 형성하고 있다.
