2021.06.24

기술 부채가 보안 위험으로 이어지는 7가지 경로

John Edwards | CSO
2021년 CISO의 목소리(Voice of CISO) 보고서에 따르면, CISO 3명 가운데 1명은 기술 부채(Technical Debt), 즉 프로젝트에서 필요로 했던 것과 최종적으로 제공된 결과물 간의 차이가 보안 취약점의 큰 원인이 되는 것으로 생각한다.
 
ⓒ Getty Images Bank

애플리케이션 보안 플랫폼 제공업체 콘트라스트 시큐리티(Contrast Security) CTO인 제프 윌리엄스는 대부분의 기술 부채는 지름길로 가기 위해 아키텍처, 코드 품질, 성능, 사용성, 궁극적으로 보안과 같은 중요한 측면을 뒤로 미루는 데서 발생한다면서 “많은 대기업이 취약점 관리 시스템에서 수만, 수십만 가지의 위험을 파악하고도 별다른 조치를 취하지 않고 방치한다. 보안에 많이 투자하지 않고도 위험 관리와 함께 사용하면 필요한 보안 수단을 실제로 갖추는 것과 거의 대등한 수준이 된다는 인식이 퍼지고 있다. 이는 위험한 착각으로, 기업과 그 파트너를 심각한 피해에 노출시키는 접근 방식”이라고 설명했다.

기술 부채의 보안 영향을 최소화하려면 먼저 부실하게 관리되는 프로젝트가 침입자와 공격자에게 어떻게 문을 열어주는지, 그리고 발견된 취약점을 어떻게 신속하게 안전하게 교정해야 하는지를 이해해야 한다. 기술 부채가 CISO의 문제가 될 수 있는 7가지 경로를 살펴보자.
 
1. 부실한 소프트웨어
카네기 멜론 대학교의 하인즈 정보시스템 및 공공정책 대학의 정보시스템 교수인 라훌 텔랑은 기술 부채는 남용되는 용어라면서 “기본적으로 기술 부채란 제품을 만들기 위해 무언가를 빌렸는데 이제 그 빚을 갚아야 한다는 것을 의미한다. 부채를 신속하게 상환하지 않으면 보안 위험이 커진다는 것을 어렵지 않게 상상할 수 있다”라고 말했다.
 
텔랑은 모든 소프트웨어 개발 프로젝트는 잠재적인 보안 간극 문제를 해결하기 위해 코드를 리팩터링해야 하는 단계를 거친다는 점을 CISO가 인지해야 한다고 강조했다. 제품이 이미 사용되는 상태에서는 문제를 놓치기 쉬우므로 CISO가 배포에 앞서 가능한 문제를 탐지하기 위한 체계를 마련해야 한다는 것이다.

DNS 및 트래픽 관리 기술 개발업체인 NS1의 CISO 라이언 데이비스는 가장 큰 비즈니스 보안 위험은 소프트웨어에서 발생한 기술 부채로 인한 위험이라면서 “여기에는 내부 개발자가 작성한 퍼스트 파티 코드뿐만 아니라 언어, 서드파티 라이브러리 및 기타 소프트웨어 내에 구축되는 구성요소와 같이 조직 외부에서 유래된 요소도 포함된다”라고 말했다.

소프트웨어는 시간이 지나면서 나이를 먹는다. 버그와 보안 문제를 수정하기 위해 정기적으로 패치가 나오지만 모든 소프트웨어는 원 제작자가 더 이상 지원하지 않는 시점에 결국 수명 종료 단계에 도달하게 된다. 문제는 개발업체가 소프트웨어를 포기하거나 사업을 접은 이유로 현재 소프트웨어 제품을 퇴역시키고 새로운 버전으로 전환하기가 어려운 경우가 있다는 점이다. 이 상황에서 레거시 소프트웨어를 계속 운영할 경우 위험한 기술 부채가 발생할 가능성이 높고 큰 피해로 이어질 수 있다. 데이비스는 “한 회사 소프트웨어의 보안 상태가 전 세계 수많은 조직에 영향을 미친 실제 사례는 많다”라고 말했다.

2. 취약한 거버넌스
강력한 거버넌스는 기술 부채가 보안 문제로 발전하지 않도록 하기 위한 필수 요소다. 비즈니스 및 IT 컨설팅 업체 웨스트 먼로(West Monroe)의 사이버보안 사업부 책임자인 데이비드 채독은 자산의 초기 설계와 구현 중에 전체 수명 주기를 반영하는 것이 중요하다고 말했다. 여기에는 장기적인 운영 비용, 시스템이 갑자기 또는 점진적으로 보안 위험 요소가 될 가능성을 줄이는 데 필요한 지원 리소스가 포함된다. 채독은 “이를 위해서는 보안 팀이 설계 프로세스의 초기부터 참여해야 한다”라고 말했다.

3. 전략적 정렬이 되지 않음
글로벌 비즈니스 및 IT 아웃소싱 업체인 가이드하우스(Guidehouse)의 사이버보안 솔루션 책임자 유진 오쿼두는 CISO는 엔터프라이즈 내에서 기술 부채에 대한 조직의 이해를 높이고 이를 관리하기 위한 적절한 척도를 개발해야 한다면서 “또한 CISO는 필요한 기술 갱신 비용을 예산에 반영해야 한다”라고 덧붙였다.

기술 부채는 IT와 사이버보안 전략이 충돌할 때 빈번하게 발생한다. 오쿼두는 IT와 사이버보안이 잘 정렬되도록 하고 충돌을 해결하려면 내부 프로젝트 관리 사무소(PMO)와 협력하거나 외부 도움을 받는 것이 좋다고 말했다.

4. 현대화 무시 또는 지연
간혹 몇 년이 지난 이후에 기술 부채가 명확하게 드러나는 경우도 있다. 오쿼두는 하드웨어와 소프트웨어를 포함한 기술의 노후화는 큰 보안 위험을 내포한다면서 “기술을 교체 및 수리할 수 없는 경우도 있지만 일반적으로 연결부는 더 많은 데 반해 현재 직원의 이해도는 낮다는 점을 감안해야 한다. 이로 인해 잠재적인 보안 침해의 길이 열리게 된다”라고 설명했다.

몇 년, 때로는 몇 십년에 걸친 수정, 업데이트, 업그레이드와 인수합병 활동은 기술 부채 문제를 특히 더 악화시킬 수 있다. 특히 소프트웨어 시스템에서 값비싼 시스템 현대화를 필요로 하는 기술 부채가 현재 인력에서 찾기 어려운 전문 지식과 결합될 경우 업종을 불문하고 기업에 큰 보안 위험이 발생한다.

5. 건전한 개발 방식 도입 실패
데브섹옵스(DevSecOps)는 단순한 유행어가 아니다. 건전한 개발 방식을 적용하는 것으로 많은 보안 문제를 해결 및 통제할 수 있다. 기술 교육 업체인 인포섹 인스티튜트(Infosec Institute)의 수석 보안 연구원인 키트론 에반스는 “개발 프로젝트의 시작부터 적절한 데브섹옵스 원칙을 고수하고 보안 간극과 관련된 척도를 시각화하는 데 도움이 될 수 있는 통제 수단을 확보해야 한다”라고 권장했다.

프로그램은 성장하면서 일반적으로 더 유용해지고 사용 범위도 넓어진다. 동시에 이는 보안 약점을 수정하거나 완화하기가 더 어렵게 되는 원인도 된다. 코드의 성장과 생산성, 유용성과 가치를 이끄는 그 에너지가 보안 문제를 간과해 장기적으로 더 큰 피해를 유발하는 부작용도 일으킨다. 데브섹옵스는 소프트웨어 개발 수명 주기의 모든 단계에서 보안 통합을 자동화하고 구멍이 갑자기 나타나는 문제를 효과적으로 방지해준다.

6. 테스트 지연
개발 후반 단계까지 소프트웨어 보안 테스트를 미룰 경우 고치기 어렵고 오랜 시간이 소비되며 비용도 많이 드는 취약점으로 이어질 수 있다. 데브옵스 컨설팅 서비스 제공업체 넥스트링크 랩스(NextLink Labs)의 CISO인 제레미 닷슨은 “프로세스의 끝까지 테스트를 미루면 보안 문제를 해결하기 위해 대대적인 재개발 작업이 필요해질 수 있다. 이는 수익이 손실되고 개발 시간이 크게 증가한다는 것을 의미한다”라고 경고했다.

닷슨은 보안은 협업의 산물이어야 한다면서 “CISO는 조직 내부, 특히 개발 팀에서 보안 문화를 형성하는 데 핵심적인 역할을 할 수 있다. 태도의 변화는 설계 및 개발 프로세스 전반에서 보안 수단을 통합하는 단계에 이르기 위한 큰 진전이 될 수 있다”라고 말했다.

7. 통제 불능의 복잡성
로우 코드 앱 개발 플랫폼 제공업체인 아웃시스템즈(OutSystems)의 플랫폼 전략 선임 이사 배리 고피는 기술 부채의 가장 큰 원인은 너무 많은 개발 언어와 툴, 플랫폼 및 프레임워크에 의존하는 것이라면서 “복잡성에는 실수의 기회가 함께 따라오고, 실수가 발생했을 때 이를 파악하기도 더 어려워진다. 문제를 식별하더라도 복잡성으로 인해 취약점을 수정하기가 더 어렵다”라고 말했다.

복잡성 하나로 보안 취약점이 반드시 발생하는 것은 아니지만 취약점이 발생할 가능성이 높아지고 이를 통제하기 위한 비용이 증가하는 것은 사실이다. 복잡성이 기술 부채의 가장 큰 원인임을 감안하면 애플리케이션 개발 도구와 인프라를 표준화하고 간소화하는 것으로 새로운 기술 부채 발생을 최소화하는 데 큰 효과를 볼 수 있다.

고피는 기술 부채를 위험을 이끄는 요소이자 혁신과 보안을 저해하는 장애물로 본다. 각 기업 조직이 팬데믹 이후의 정상으로 돌아가기 위해 분주한 지금이 몇 년 동안 안전이나 미래보다는 속도를 추구하면서 누적된 장애물과 보안 위험에 대처할 시점이다. 고피는 “기업은 기술 부채에 대한 대응을 강화할수록 보안 위험에 대한 노출을 줄이고 혁신 역량을 극대화할 수 있다”라고 말했다. editor@itworld.co.kr 


2021.06.24

기술 부채가 보안 위험으로 이어지는 7가지 경로

John Edwards | CSO
2021년 CISO의 목소리(Voice of CISO) 보고서에 따르면, CISO 3명 가운데 1명은 기술 부채(Technical Debt), 즉 프로젝트에서 필요로 했던 것과 최종적으로 제공된 결과물 간의 차이가 보안 취약점의 큰 원인이 되는 것으로 생각한다.
 
ⓒ Getty Images Bank

애플리케이션 보안 플랫폼 제공업체 콘트라스트 시큐리티(Contrast Security) CTO인 제프 윌리엄스는 대부분의 기술 부채는 지름길로 가기 위해 아키텍처, 코드 품질, 성능, 사용성, 궁극적으로 보안과 같은 중요한 측면을 뒤로 미루는 데서 발생한다면서 “많은 대기업이 취약점 관리 시스템에서 수만, 수십만 가지의 위험을 파악하고도 별다른 조치를 취하지 않고 방치한다. 보안에 많이 투자하지 않고도 위험 관리와 함께 사용하면 필요한 보안 수단을 실제로 갖추는 것과 거의 대등한 수준이 된다는 인식이 퍼지고 있다. 이는 위험한 착각으로, 기업과 그 파트너를 심각한 피해에 노출시키는 접근 방식”이라고 설명했다.

기술 부채의 보안 영향을 최소화하려면 먼저 부실하게 관리되는 프로젝트가 침입자와 공격자에게 어떻게 문을 열어주는지, 그리고 발견된 취약점을 어떻게 신속하게 안전하게 교정해야 하는지를 이해해야 한다. 기술 부채가 CISO의 문제가 될 수 있는 7가지 경로를 살펴보자.
 
1. 부실한 소프트웨어
카네기 멜론 대학교의 하인즈 정보시스템 및 공공정책 대학의 정보시스템 교수인 라훌 텔랑은 기술 부채는 남용되는 용어라면서 “기본적으로 기술 부채란 제품을 만들기 위해 무언가를 빌렸는데 이제 그 빚을 갚아야 한다는 것을 의미한다. 부채를 신속하게 상환하지 않으면 보안 위험이 커진다는 것을 어렵지 않게 상상할 수 있다”라고 말했다.
 
텔랑은 모든 소프트웨어 개발 프로젝트는 잠재적인 보안 간극 문제를 해결하기 위해 코드를 리팩터링해야 하는 단계를 거친다는 점을 CISO가 인지해야 한다고 강조했다. 제품이 이미 사용되는 상태에서는 문제를 놓치기 쉬우므로 CISO가 배포에 앞서 가능한 문제를 탐지하기 위한 체계를 마련해야 한다는 것이다.

DNS 및 트래픽 관리 기술 개발업체인 NS1의 CISO 라이언 데이비스는 가장 큰 비즈니스 보안 위험은 소프트웨어에서 발생한 기술 부채로 인한 위험이라면서 “여기에는 내부 개발자가 작성한 퍼스트 파티 코드뿐만 아니라 언어, 서드파티 라이브러리 및 기타 소프트웨어 내에 구축되는 구성요소와 같이 조직 외부에서 유래된 요소도 포함된다”라고 말했다.

소프트웨어는 시간이 지나면서 나이를 먹는다. 버그와 보안 문제를 수정하기 위해 정기적으로 패치가 나오지만 모든 소프트웨어는 원 제작자가 더 이상 지원하지 않는 시점에 결국 수명 종료 단계에 도달하게 된다. 문제는 개발업체가 소프트웨어를 포기하거나 사업을 접은 이유로 현재 소프트웨어 제품을 퇴역시키고 새로운 버전으로 전환하기가 어려운 경우가 있다는 점이다. 이 상황에서 레거시 소프트웨어를 계속 운영할 경우 위험한 기술 부채가 발생할 가능성이 높고 큰 피해로 이어질 수 있다. 데이비스는 “한 회사 소프트웨어의 보안 상태가 전 세계 수많은 조직에 영향을 미친 실제 사례는 많다”라고 말했다.

2. 취약한 거버넌스
강력한 거버넌스는 기술 부채가 보안 문제로 발전하지 않도록 하기 위한 필수 요소다. 비즈니스 및 IT 컨설팅 업체 웨스트 먼로(West Monroe)의 사이버보안 사업부 책임자인 데이비드 채독은 자산의 초기 설계와 구현 중에 전체 수명 주기를 반영하는 것이 중요하다고 말했다. 여기에는 장기적인 운영 비용, 시스템이 갑자기 또는 점진적으로 보안 위험 요소가 될 가능성을 줄이는 데 필요한 지원 리소스가 포함된다. 채독은 “이를 위해서는 보안 팀이 설계 프로세스의 초기부터 참여해야 한다”라고 말했다.

3. 전략적 정렬이 되지 않음
글로벌 비즈니스 및 IT 아웃소싱 업체인 가이드하우스(Guidehouse)의 사이버보안 솔루션 책임자 유진 오쿼두는 CISO는 엔터프라이즈 내에서 기술 부채에 대한 조직의 이해를 높이고 이를 관리하기 위한 적절한 척도를 개발해야 한다면서 “또한 CISO는 필요한 기술 갱신 비용을 예산에 반영해야 한다”라고 덧붙였다.

기술 부채는 IT와 사이버보안 전략이 충돌할 때 빈번하게 발생한다. 오쿼두는 IT와 사이버보안이 잘 정렬되도록 하고 충돌을 해결하려면 내부 프로젝트 관리 사무소(PMO)와 협력하거나 외부 도움을 받는 것이 좋다고 말했다.

4. 현대화 무시 또는 지연
간혹 몇 년이 지난 이후에 기술 부채가 명확하게 드러나는 경우도 있다. 오쿼두는 하드웨어와 소프트웨어를 포함한 기술의 노후화는 큰 보안 위험을 내포한다면서 “기술을 교체 및 수리할 수 없는 경우도 있지만 일반적으로 연결부는 더 많은 데 반해 현재 직원의 이해도는 낮다는 점을 감안해야 한다. 이로 인해 잠재적인 보안 침해의 길이 열리게 된다”라고 설명했다.

몇 년, 때로는 몇 십년에 걸친 수정, 업데이트, 업그레이드와 인수합병 활동은 기술 부채 문제를 특히 더 악화시킬 수 있다. 특히 소프트웨어 시스템에서 값비싼 시스템 현대화를 필요로 하는 기술 부채가 현재 인력에서 찾기 어려운 전문 지식과 결합될 경우 업종을 불문하고 기업에 큰 보안 위험이 발생한다.

5. 건전한 개발 방식 도입 실패
데브섹옵스(DevSecOps)는 단순한 유행어가 아니다. 건전한 개발 방식을 적용하는 것으로 많은 보안 문제를 해결 및 통제할 수 있다. 기술 교육 업체인 인포섹 인스티튜트(Infosec Institute)의 수석 보안 연구원인 키트론 에반스는 “개발 프로젝트의 시작부터 적절한 데브섹옵스 원칙을 고수하고 보안 간극과 관련된 척도를 시각화하는 데 도움이 될 수 있는 통제 수단을 확보해야 한다”라고 권장했다.

프로그램은 성장하면서 일반적으로 더 유용해지고 사용 범위도 넓어진다. 동시에 이는 보안 약점을 수정하거나 완화하기가 더 어렵게 되는 원인도 된다. 코드의 성장과 생산성, 유용성과 가치를 이끄는 그 에너지가 보안 문제를 간과해 장기적으로 더 큰 피해를 유발하는 부작용도 일으킨다. 데브섹옵스는 소프트웨어 개발 수명 주기의 모든 단계에서 보안 통합을 자동화하고 구멍이 갑자기 나타나는 문제를 효과적으로 방지해준다.

6. 테스트 지연
개발 후반 단계까지 소프트웨어 보안 테스트를 미룰 경우 고치기 어렵고 오랜 시간이 소비되며 비용도 많이 드는 취약점으로 이어질 수 있다. 데브옵스 컨설팅 서비스 제공업체 넥스트링크 랩스(NextLink Labs)의 CISO인 제레미 닷슨은 “프로세스의 끝까지 테스트를 미루면 보안 문제를 해결하기 위해 대대적인 재개발 작업이 필요해질 수 있다. 이는 수익이 손실되고 개발 시간이 크게 증가한다는 것을 의미한다”라고 경고했다.

닷슨은 보안은 협업의 산물이어야 한다면서 “CISO는 조직 내부, 특히 개발 팀에서 보안 문화를 형성하는 데 핵심적인 역할을 할 수 있다. 태도의 변화는 설계 및 개발 프로세스 전반에서 보안 수단을 통합하는 단계에 이르기 위한 큰 진전이 될 수 있다”라고 말했다.

7. 통제 불능의 복잡성
로우 코드 앱 개발 플랫폼 제공업체인 아웃시스템즈(OutSystems)의 플랫폼 전략 선임 이사 배리 고피는 기술 부채의 가장 큰 원인은 너무 많은 개발 언어와 툴, 플랫폼 및 프레임워크에 의존하는 것이라면서 “복잡성에는 실수의 기회가 함께 따라오고, 실수가 발생했을 때 이를 파악하기도 더 어려워진다. 문제를 식별하더라도 복잡성으로 인해 취약점을 수정하기가 더 어렵다”라고 말했다.

복잡성 하나로 보안 취약점이 반드시 발생하는 것은 아니지만 취약점이 발생할 가능성이 높아지고 이를 통제하기 위한 비용이 증가하는 것은 사실이다. 복잡성이 기술 부채의 가장 큰 원인임을 감안하면 애플리케이션 개발 도구와 인프라를 표준화하고 간소화하는 것으로 새로운 기술 부채 발생을 최소화하는 데 큰 효과를 볼 수 있다.

고피는 기술 부채를 위험을 이끄는 요소이자 혁신과 보안을 저해하는 장애물로 본다. 각 기업 조직이 팬데믹 이후의 정상으로 돌아가기 위해 분주한 지금이 몇 년 동안 안전이나 미래보다는 속도를 추구하면서 누적된 장애물과 보안 위험에 대처할 시점이다. 고피는 “기업은 기술 부채에 대한 대응을 강화할수록 보안 위험에 대한 노출을 줄이고 혁신 역량을 극대화할 수 있다”라고 말했다. editor@itworld.co.kr 


X