취약점에 대해 아는 것은 전투의 절반일 뿐입니다
지속적인 IT로의 전환을 계속하면서 보안에 많은 중점을 두고 있습니다. 그리고 그래야만 합니다. 침해 사례가 넘쳐납니다. 매일 취약점이 발견되고 있지만 패치 격차는 줄어들 기미가 보이지 않습니다.
보안을 강화하기 위해 자주 제안되는 솔루션 중 하나는 소스 코드를 스캔하는 것입니다. 정적 및 동적 보안 검사는 지속적인 배포 프로세스의 필수 요소가 되었습니다. 이러한 정보는 당사의 내부 파이프라인에 포함되어 있으며, 언제든지 대시보드를 살펴보면 해당 검사에서 발견된 모든 정보를 확인할 수 있습니다.
 |
하지만 소스 코드에 취약점이 존재한다는 것을 아는 것(G.I. Joe가 상기시켜 주듯이)은 전투의 절반일 뿐입니다. 나머지 절반이 정말로 파란색과 빨간색 레이저라면 흥미로울 수 있겠지만, 애플리케이션 보안의 현실은 나머지 절반이 "취약성에 대해 뭔가를 하는 것"이라는 것입니다. 안타깝게도 우리는 그 현실이 현실이 되는 것을 보지 못합니다. 2019년 컨테이너 보안 현황에 대한 트립와이어 보고서를 기억하실 겁니다. 이 보고서에서는 응답자의 17%가 취약한 컨테이너를 가지고 있으며, 그 컨테이너가 무엇인지 알고 있었지만 그래도 사용했다고 밝혔습니다. 또한 2017년 Arxan/IBM의 모바일 및 IoT 애플리케이션 보안 보고서를 기억하실 겁니다. 이 보고서에 따르면 응답자의 53%는 모바일 앱에 정적 보안 테스트를 사용하고 51%는 동적 보안 테스트를 사용합니다. 침해에 대한 상당한 우려가 있음에도 불구하고, 거의 절반(44%)이 침해를 방지하기 위한 조치를 취하지 않았습니다 . |
알려진 취약점에 대해 테스트를 하지 않고 아무것도 하지 않는 문제는 거의 항상 가치 실현 시간을 단축하려는 압력과 관련이 있습니다. 개발자의 절반(48%) 가까이가 보안에 투자할 시간이 충분하지 않다고 답했습니다( 2018 DevSecOps 커뮤니티 설문 조사 ). 다른 설문 조사 결과도 이에 동의합니다. 개발자들은 더 빠르고 더 자주 코드를 쏟아내야 한다는 엄청난 압박을 받고 있습니다. 데이터나 전달 경로에서 속도가 중요해질 때마다 보안은 여전히 가장 중요한 요소라는 것이 밝혀졌습니다.
사람들은 자신이 측정받는 것에 따라 일한다는 것은 잘 알려진 사실이다. 그리고 개발자도 사람이기 때문에 그들 역시 그 규칙의 적용을 받습니다. 시장에 빠르게 출시하는 것이 목표라면, 보안을 저해하는 단계를 건너뛰더라도 그에 맞춰 노력할 것입니다. 시장에 안전한 애플리케이션을 제공하려면 신속하게 출시하는 것만큼 안전하게 출시하는 것도 측정하고 평가하는 문화적 변화를 받아들여야 합니다.
그러기 전까지는 취약점을 해결하기 위해 개발자에게 의존하는 것만큼 빨간색과 파란색 레이저에 의존해도 안전할 것입니다.