태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

"보안성 검수" 란 무엇일까?

 

일반적으로 Black Box Test라고 칭하며 서비스의 오픈 이전의 안전성을 검수하는 절차로서 일반적인 서비스에 대한 부하 테스트 및 과다 연결 테스트와는 별개로 외부로 부터 공격이 가능한 취약성이 존재하는지 여부를 검수하는 프로세스를 말한다.

 

그렇다면 뜬금없이 왜 보안성 검수가 중요하다 하는 것일까?

 

모든 Application [ Web or C/S ]은 개발자가 개발을 하게 되고 오픈일정에 쫓기거나 보안부분을 고려하지 못한 설계 및 코딩으로 인해 문제가 있을 수 밖에 없다. 문제 발생 시점은 전체 프로세스 일정 어느 곳에나 있다.

 

서버의 보안설정 미비 , 네트워크상의 구조적인 문제점 , Application 코딩상의 문제점 , 서버와의 정보 교환의 문제점 등등 실로 개발자 및 운영자가 커버하기에는 범위가 넓어지고 전문화 된 것이 사실이다. 예전 처럼 폐쇄형 구조였을 경우에는 문제가 외부로 노출이 되지 않았으나 모든 것이 공개화 되고 오픈되는 것이 일상화 되어 있는 작금의 현실에서는 사소한 문제 하나로 중요 자산이 위험해 지는 일들이 비일비재 하다.

 

무엇에 집중하고 무엇에 신경을 써야 하는가?

개발자는 서비스의 안정적인 런칭과 창의적인 생각의 구현에 집중을 하고 보안 전문인력은 서비스의 침해 가능성 및 위험성을 통제 하여야만 한다. 모든 개발자가 Secure한 코딩을 한다는 것은 거의 불가능하며 모든 솔루션에는 위험성이 존재한다.

 

아무리 깔끔하고 Secure한 코딩을 한다 하여도 신경 쓰지 못하는 부분이 존재하며 개발자가 모든 일을 다 할 수는 없다. 따라서 보안성 검수라는 절차를 프로세스화 함으로써 [ SDLC : Secure Development LifeCycle] 안정적인 서비스의 오픈 및 운영을 할 수 있도록 하여야 한다.

 

작금의 한국 소프트웨어 개발 현실에서 보안성 검수의 여력을 지닌 회사는 많지 않다. 또한 있다손 치더라도 능력있고 역량이 충분한 검수 인력의 확보 조차도 쉽지 않은 일이다.  문제 해결은 아직 요원하며 하루에도 수십개의 서비스 및 수백개의 신규 웹사이트가 개편되고 런칭 되는 현실에서 보안상 심각한 취약성을 지니는 곳은 많을 수 밖에 없다.

 

요구사항 수집 -> 디자인 -> 설계 -> 개발 -> 테스트 -> 오픈 으로 이루어지는 일반적인 개발 프로세스 상에서 보안상의 코드 리뷰 및 취약성 테스트는 반드시 이루어 져야 하며 최초 요구사항 수집 단계 및 디자인 단계 부터 위험성을 최소화 하는 검증을 시행하는 것은 보다 더 철저하고 문제성이 없는 프로세스를 가능케 한다.

 

개발자에게는 Secure coding을 익히도록 하고 지속적으로 발견되는 문제를 해결 하도록 가이드를 하며 서비스 기획자에게는 설계 및 디자인 단계 부터 문제가 있는 부분에 대해서는 직시를 하도록 한다. 이후 개발이 완료된 단계에서 부터 Open 이전까지 보안성 검수를 지속적으로 시행함으로 인해 발생할 문제를 제거하는 프로세스가 궁극적인 서비스의 안전성을 보장 할 수 있을 것이다.

 

위험성을 100% 제거 할 수는 없으나 가능성을 95% 수준까지 줄이는 것은 충분히 가능하다. 보다 더 많은 인력과 비용이 투입 되어야 하나 신뢰의 문제 , 정보 유출로 인한 심대한 피해를 입을 수 있는 보안상의 Risk는 Business에 부수적인 모델이 아닌 필수적인 요소이다. 지금 보다 앞으로가 더욱 더 중요한 프로세스라 할 수 있다.

 

Secure Development는 간단하게 이루어 지지 않으며 많은 노력이 필요하다. 즉 전 세계의 모든 개발 프로세스의 안정화는 매우 심각하게 불가능하며 다수의 사용자가 집중화 되는 곳을 안정화 함으로써 일정 비율 이상을 증가 시키는 것 외에는 실천방안이 없는 상태이다.

 

더욱 더 많은 비용에 더욱 더 많은 인력의 투입.. 그러나 문제는 계속 된다. 얼마나 더 적은 Risk를 가질 수 있느냐가 향후 글로벌한 환경에서의 중요한 키 포인트가 될 것이다.

 

 - p4ssion : 바다란 

 

Posted by 바다란

댓글을 달아 주세요