소프트웨어 개발단계에서부터 보안을 강화하는 시큐어코딩이 3·20 사고 이후 집중 조명을 받고 있다. 시큐어코딩은 지난해 10월부터 의무화가 시작됐다.
지난해 6월 발표된 ‘행정안전부고시 제2012-25호’에서 행정기관 등이 정보화 사업을 추진할 때 소프트웨어 보안약점이 없도록 소프트웨어를 개발 또는 변경하도록 의무화했으며, 신규개발의 경우 소스코드 전체에 대해, 그리고 유지보수는 변경된 소스코드 전체에 대해 소프트웨어 개발보안(시큐어코딩)을 적용하도록 했다.
의무화로 인한 혼란을 줄이기 위해 사업규모 20억원 이상 40억원 미만 규모의 사업은 올해 초부터 시작됐으며, 20억원 미만 사업은 2015년부터 적용된다.
시큐어코딩 의무화로 시큐어코딩 솔루션을 공급해온 기업들과 소프트웨어 보안 취약점 진단 솔루션 기업, 소프트웨어 품질 테스트 솔루션 기업들이 일제히 이 시장에 뛰어들면서 시장 활성화에 나섰다.
특히 3·20 사고로 웹과 애플리케이션 취약점을 노린 APT 공격의 위험성이 알려지면서 웹·애플리케이션 취약점 진단 기업들과 소프트웨어 난독화 기업들도 나서서 시장을 보다 넓은 영역으로 확대하려 하고 있다.
문일준 빛스캔 대표이사는 “현재 진행되는 지능형 공격의 많은 유형이 웹 취약점을 악용해 사이트 방문만으로도 악성코드에 감염되는 드라이브 바이 다운로드 기법을 사용한다. 이렇게 악성코드를 유포하거나 경유하는 사이트가 일주일에 1000개에서 1500개에 이른다”며 “웹 사이트와 웹 애플리케이션을 개발할 때 시큐어코딩을 적용했으면 이러한 취약점에 쉽게 노출되지 않을 것”이라고 말했다.
악산(Arxan) 솔루션을 국내에 공급하는 손장군 엔시큐어 이사는 “모든 사이버 공격은 소프트웨어 버그를 찾는 것에서 시작하므로 보안을 위해서는 버그를 없애는 것이 최우선 과제다. 시큐어코딩은 공격을 막기 위한 근본적인 대책”이라고 설명했다.
가트너는 전체 공격과 해킹의 75%가 애플리케이션을 공격한 것이었다고 분석한 바 있으며, 미국국립표준기술연구소는 보고된 취약점 중 70%가 애플리케이션 취약점을 노렸다고 발표하기도 했다. HP는 84%의 공격이 애플리케이션 레이어에서 발생하고 있으며, 개발과정에서 취약점을 제거하는 비용보다 소프트웨어를 운영하는 과정에서 보안 취약점을 찾아 없애는 것이 무려 30배나 많은 비용을 소요하게 된다고 분석했다.
최근 들어 애플리케이션 취약성 공격이 급증하고 있는 것은 네트워크 게이트웨이에 비해 애플리케이션이 상대적으로 보안이 약하기 때문이다. 소프트웨어 개발 과정을 생각해보면 쉽게 알 수 있다. 소프트웨어를 개발할 때 일정을 맞추기 위해 문제가 발생하는 부분도 그냥 넘어가고 운영과정에서 발생하는 장애와 함께 보완하면서 정기적으로 혹은 수시로 패치 업데이트를 한다.
개발 일정을 맞춰야 한다는 압박 때문이기도 하지만, 개발 과정에서 일어나는 크고 작은 문제를 완벽하게 해결한 후 진행하려 하면 개발 프로젝트가 제대로 진행되지 않기 때문이기도 하다. 수백명의 개발자들이 투입되는 대형 프로젝트의 경우 모든 개발자들의 코딩을 일일이 조사해 문제가 되는 부분을 조정하는 것이 쉽지는 않다.
완벽하게 개발된 소프트웨어라 해도 실제 운영 과정에서 다른 시스템과의 충돌이 일어날 수 있고, 오래된 버전과의 충돌로 인한 장애가 발생할 수도 있다. 개발 과정에서 발견하지 못한 버그도 지속적으로 발견된다. 따라서 성능이나 기능 수행에 치명적인 장애를 발생시키지 않는 버그는 일단 넘어간 후 향후 패치를 통해 문제를 해결한다. 이렇게 소프트웨어에 남아있는 버그가 취약점 공격에 이용되면서 더 심각한 보안위협이 된다.
안혜연 파수닷컴 부사장은 “네트워크 보안 시스템은 많이 갖춰져 있지만 소프트웨어 취약점은 보호할 수 있는 방법이 많지 않다”며 “소프트웨어 개발 보안은 보안홀을 최소화하기 위한 필수조건이다”고 밝혔다.
