침해사고/위협동향

MS CSO “SW 개발 단계에서부터 보안 고려해야”

이민형 기자
- “SW 개발보안 적용하면 최고 30배의 비용 절감 가능”

[디지털데일리 이민형기자] 지금까지 대부분의 SW개발업체들은 제품을 먼저 개발, 판매한 뒤, 보안 취약점이 나타나면 여기에 대한 보안패치를 제공하는 식으로 대응을 해왔다. 그러나 이러한 사후약방문식의 보안 처방은 비효율적일뿐만 아니라 비용도 많이 든다.

보안업계에서는 이미 개발이 완료된 SW의 보안 취약점을 수정하는 것은 개발 과정에서 수정하는 것보다 최고 30배나 더 많은 비용이 소요될 수 있다고 말한다.

피에르 노엘 마이크로소프트(MS) 아시아 최고보안책임자(CSO)<사진>는 28일 서울 양재동 엘타워에서 열린 ‘SW 개발보안 컨퍼런스’에서 “운영체제(OS)의 보안은 점점 더 강력해지고 있다. 이제 해커들이 노리는 것은 OS가 아니라 SW(애플리케이션)”이라며 “앞으로 이러한 공격을 막기 위해서는 SW개발 단계에서부터 보안을 생각해야한다”고 강조했다.

보안 취약점이 가득한 SW가 개발되며, 개발사를 비롯해 이를 도입한 기관, 기업들도 보안전략을 다시 수립해야한다. 방화벽과 같은 보안솔루션은 SW의 취약점을 감추기 위한 수단에 불과하기 때문이다.

이러한 이유 때문에 MS, 오라클, IBM, 애플 등 글로벌 IT기업들은 매 달 새로운 보안취약점에 대한 패치를 제공한다. 한 가지 흥미로운 점은 가장 많은 보안 업데이트를 제공하는 MS가 사실은 철저하게 SW 개발보안 정책을 지킨다는 점이다.

피에르 CSO는 “지난 2002년 빌 게이츠 회장은 TwC(Trustworthy Computing) 선언을 했다. TwC 선언의 배경은 당시 출시한 윈도 서버 2003의 수많은 보안취약점 때문”이라고 설명했다.

2002년 빌 게이츠 MS 회장은 “이제는 SW 개발보안이라는 것을 고민해볼 시기가 됐다”고 발표한 바 있다. 이후 MS는 차세대 윈도(코드네임 롱혼, 윈도비스타) 개발을 보류하고 윈도 서버 2003과 윈도 XP의 서비스팩을 개발하는데 총력을 다했다고 전해진다.

피에르 CSO는 “TwC부서가 생겨나고 MS는 SW 개발보안을 위해 SDL(Security Development Lifecycle)을 수립하게 됐다. SDL은 개발자 교육과 보안 응답 실행 처리로 시작되는 철저한 12단계 시리즈 보안 전략”이라고 말했다.

이어 “MS는 윈도 비스타 개발부터 이 SDL을 적용했으며 현재는 MS가 내놓는 모든 SW에 SDL이 적용돼 있다. SDL이 완벽한 것은 아니지만 SDL 적용 전, 후를 비교해본다면 취약점이 현저하게 줄어들었음을 확인할 수 있었다. SDL을 시행하지 않았다면 문제는 줄어들지 않았을 것”이라고 덧붙였다.

SDL은 SW 출시 전에 소스코드를 면밀히 검점해 보안 취약점이 생기지 않도록 하는 것을 목적으로 하는 개발 프로세스다. 개발자는 SW의 보안 취약성을 예방하기 위해 SDL에 따라 잠재적 보안 문제의 소스코드를 확인하고, 문제 발생 시 수정할 수 있다. 현재 MS SDL을 활용하는 기업으로는 어도비, 시스코, 인벤시스 등이 있다.

내달부터 SW 개발보안을 적용해야하는 국내 상황에 대해 피에르 CSO는 “SW 개발보안을 적용하면 적용하기 이전보다 비용을 30배 이상 절감할 수 있을 것”이라며 “한국 개발자들이 SDL을 적용한다면 SW의 품질향상은 물론 보안에 대한 국가적 지위도 높아질 것”이라고 거듭 강조했다.

한편 MS는 SDL을 ISO 표준인증으로 만들기 위해 노력하고 있다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널