보안

기회의 타깃인가, 선택의 타깃인가...자사에 맞는 애플리케이션 보안 개선법

Thor Olavsrud | CIO 2012.08.09
대부분의 기업에 있어 보안 자원의 대부분은 네트워크에 집중될 뿐이다. 데이터 침투 경로의 대다수를 차지하는 애플리케이션은 보안 자원의 투자에 있어 도외시되는 형편이다. 올해 초 포네몬이 조사한 바에 따르면, 많은 조직들이 애플리케이션 보안에 전체 IT 보안 예산의 10%도 투입하지 않고 있었다.
 
이런 문제와 관련해 지속적인 취약점 평가와 관리 서비스를 제공하는 화이트햇 시큐리티 창업자이자 CTO인 제레미아 그로스먼은 이에는 여러 이유가 있다고 말했다.
 
그로스먼은 첫번째 이유로 "대부분의 현직 보안 전문가들은 소프트웨어 전문가가 아니다. 그들은 IT 출신이며 제대로 아는 건 대부분 네트워크 보호에 관련된 것"이라고 지적했다.
 
그로스먼은 규정 준수와 과거 위협에 근거한 규정으로 인해 발생되는 불편 역시 그 이유라고 평가했다. 그로스먼은 "조직들은 규정을 준수해야 한다. 그들이 예산의 큰 비중을 방화벽과 안티바이러스에 집중하는 이유는, 관련 규정이 의무화하고 있기 때문"이라고 말했다.
 
애플리케이션 보안을 우선시하기란 쉽지 않다
그러나 애플리케이션 보안을 다른 업무에 앞서 우선 작업하도록 하기란 꽤나 어렵다. 조직들이 자신들의 웹사이트에서 심각한 취약점을 발견했다 하더라도, 그것을 고치기로 결정하는 것이 언제나 쉽지 많은 않다는 것이다.
 
그로스먼은 "기업은 결정을 내려야 한다. 이번 주 안으로 매출 발생 기능을 신설해야 한다. 만약 이 기능이 제 시간에 완성되지 못하면, 손해를 볼 것이다. 그러나 이에 대한 취약점을 바로 고치지 않으면, 잠재적으로 손해가 뒤따를 것이다. 이런 고민들 속에서 선택을 내려야 한다”고 설명했다.
 
하락 추세의 애플리케이션 취약점 상황
그러나 애플리케이션 보안이 전체적으로 향상될 조짐이 보이고 있다. 지난해 RSA, 소니, 페이스북, 시티그룹, 그리고 CIA와 FBI에 이르기까지, 다수의 이목을 집중시킨 데이터 유출 사건으로 인해 2011년을 '유출의 해(Year of the Breach)'로 불리기도 했다. 그로스먼은 "그러나 역설적이게도 지난해는 웹사이트의 심각한 취약점의 수가 상당히 감소한 모습을 보인 한 해이기도 했다"고 전했다.
 
화이트햇은 그들이 관리한 웹사이트에서 찾아낸 취약점에 근거해 12년동안, 화이트햇 보안 웹사이트 보안 통계 보고서를 발행해왔다. 2011년 보고서에는 7,000개의 주요 웹사이트에서 얻은 치명적인 취약점을 연구한 내용이 실려있는데, 웹사이트마다 평균 79개의 치명적 취약점이 발견됐다. 이는 2010년의 230개, 2007년의 1,111개보다 크게 감소한 수치다.
 
물론, 한 가지 통계만으로 모든 상황을 파악하는 건 곤란하다. 평균적으로 79개의 치명적 약점이 드러났지만, 그 표준편차는 670에 달했다. 몇몇 웹사이트가 다른 많은 웹사이트보다 훨씬 많은 취약점을 가지고 있다는 의미다.
 
또한 넷크래프트에 따르면, 현재 대략 7억 개의 웹사이트가 인터넷상에 존재하고 있고, 수천 개가 매월 추가되고 있다. 7,000개의 조사 샘플이 많긴 하지만, 전체 웹사이트 숫자에 비하면 정말 작은 일부분에 불과한 셈이다.
 
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.