[디지털데일리 양민하 기자] 최근 디지털전환(DX) 광풍이 불면서 신속한 시장 대응을 위한 기업들의 애플리케이션 개발 요구는 크게 늘어나고 있다.

그러나 기업들의 애플리케이션 대응 전략은 갈수록 더 복잡해지고 있다.

하루에도 수십 번, 수백 번 배포가 애플리케이션 배포가 이뤄지고 있다. 또 여기에 기존 온프레미스 환경뿐만 아니라 컨테이너, 클라우드, 사물인터넷(IoT) 등 어느 때보다 다양해진 배포 방식은 애플리케이션 개발 환경을 더욱 복잡하게 하는 요소로 꼽힌다.

특히 간과하지 말아야 할 것은 신속한 애플리케이션 개발 속도 못지 않게 중요한 것은 애플리케이션의 안전성을 담보하는 '보안'이다. 즉, 애플리케이션 개발 일정에 쫓기다 보니 애플리케이션의 보안 수준이 자칫 소홀해질 수 있다는 것이다.

이렇게 개발된 애플리케이션은 운용 과정에서 사이버 공격에 타깃이 될 수 있고, 나아가 기업 경영활동에 치명적인 사고를 미칠 수 있다.

결국 많은 돈을 들여 개발한 애플리케이션이 사이버 공격, 데이터 유출 등 보안 문제가 발생하지 않도록, 개발 단계에서부터 미리 보안성을 강화하는 'AppSec' 전략이 크게 중요해지고 있다.

물론 현실적으로 이러한 'AppSec' 전략을 유지하기는 쉽지않다.

애플리케이션 개발 시, 서로 다른 도구들을 관리하는 데 많은 복잡성이 존재하고, 테스트를 통합하거나 반복할 수 있는 수단이 마땅히 없어 소프트웨어의 위험상태를 정확하게 진단하기 어렵기 때문이다.

글로벌 보안테스트 전문기업 시높시스(Synopsys)는 이처럼 기업들이 현실에서 직면하고 있는 애플리케이션 개발시 보안 테스트 문제에 대한 혁신적인 해법을 제시함으로써, 애플리케이션 개발의 투자수익률(ROI)를 보장하고 있다는 평가를 받고 있다.

시높시스 코리아는 25일 <디지털데일리> 웨비나 플랫폼 'DD튜브'에서 '다양한 AppSec 도구의 넘쳐나는 결과들로부터 가장 중요한 보안 문제에 집중하는 방법'이라는 주제를 통해 AppSec 프로그램의 효율성 확보 전략을 제시했다.

발표자로 나선 시높시스 코리아 남문현 부장은 “현재 AppSec 전략이 직면하고 있는 가장 큰 문제는 자동화된 통합 보안 테스트 도구 및 일관성이 부족하다는 것”이라고 지적했다.

남 부장은 “많은 AppSec 프로그램에 대한 투자에도 불구하고 출시 일정 등의 이유로 실제로는 테스트나 보안 검사를 하지 않거나, 빠르게 변하고 있는 시장 환경에서 너무 느리고 일관성 없는 기존 AppSec 테스트 환경으로 결국 소프트웨어 개발 라이프사이클(SDLC) 보안에 실패하는 문제가 발생한다”고 설명했다.

이러한 문제점에 대응하기 위해 시높시스는 애플리케이션 보안 영역에서 주목받고 있는 '애플리케이션 보안 상태 관리'(이하 ASPM) 솔루션을 통해 AppSec 프로그램의 효율성과 ROI를 확보하는 전략을 제시하고 있다.

시높시스가 제시하는 ASPM 솔루션은 소프트웨어 개발, 배포 및 운영 전반, 위험 관리 등 분야의 기능들이 하나로 통합된 형태다.

ASPM 솔루션은 ▲서로 다른 환경 전반에 걸친 통합 ▲발견된 이슈의 상관관계 분석을 통한 중복제거, 우선순위 지정, 심사 가속화 ▲정책 관리 중앙 집중화를 통한 일관성 있고 자동화된 정책의 수립 및 시행 ▲소프트웨어 위험에 대해 정확한 시각 제공 등을 지원한다.

현재 소프트웨어 개발 주기에는 코드 개발, 제출, 빌드, 테스트, 배포, 생산 출시 등 다양한 단계가 존재하며 각 단계의 목적과 목표가 다르다.

또 이에 해당되는 테스트와 도구가 다양할 뿐만 아니라 서로 다른 제조사의 제품들이 많이 사용된다. 이로 인해 테스트 과정에서 생산되는 결과 데이터들이 방대하고, 서로 다른 형태로 이루어져 있어 중복을 제거하거나 분류해서 중요한 이슈 위주로 우선순위를 결정하기가 쉽지 않다.

이에 대해 남 부장은 “ASPM 솔루션은 위험 평가를 기반으로 해당 이슈의 중요도, 심각도 및 범위의 가중치를 종합적으로 고려해 영향이 큰 발견 사항의 우선순위를 지정할 수 있어야 한다”고 강조했다.

이어 “가장 핵심적인 기능은 모든 발견 사항을 하나의 공통된 분류 체계로 표준화해서 위험 분류를 용이하게 하고, 보안 및 개발 팀이 가장 중요한 보안 작업을 정확히 찾아낼 수 있는 단일한 관리 영역을 확보할 수 있다는 것”이라고 조언했다.

ASPM 솔루션에서는 한 곳에서 보안 표준절차 적용을 위한 정책을 수립해 일관성 있게 테스트 및 수정 작업을 조율할 수 있다는 것이다.

즉 개발자가 코드를 제출하면, 프리 스캔(Pre-Scan) 정책에 따라 테스트가 자동으로 실행된다. 이후 포스트 스캔(Post-Scan) 정책에 따라 중복 제거 및 우선순위를 지정해 적절한 방법을 통해 보고 및 알림 기능을 수행한다.

시높시스는 ASPM 솔루션인 'Software Risk Manager'(이하 SRM)를 선보이고 있다.

보안 및 개발 팀이 위험의 우선순위를 정하고 가장 중요한 것에 집중할 수 있도록 지원하는 통합적인 애플리케이션 보안 상태 관리(ASPM) 솔루션이다.

시높시스에 따르면 SRM은 정책, 조율, 상관관계 분석, 그리고 다른 ASPM 솔루션에서는 볼 수 없는 내장된 SAST 및 SCA 엔진을 결합해, 보안 활동을 소프트웨어 개발 주기 전반에 걸쳐 일관되게 통합할 수 있도록 지원한다.

남 부장은 “보안, 위기관리 및 개발 팀은 SRM이라는 단일 시스템에서 도출된 신뢰할 수 있는 정보에 입각한 의사 결정을 내리고, 안전한 애플리케이션을 개발해 제공할 수 있다”고 설명했다.

이어 “SRM을 통해 개발자는 복잡한 절차와 보안 규정을 고민하지 않아도 된다”며 “개발 코드를 작성해 체크인 한 후에 지라(Jira)와 같은 이슈 추적 시스템에 로그인하기만 하면, 무엇을 언제까지 수정할지 자신에게 할당된 이슈들을 간편하게 확인하고 정해진 수정 기한에 맞춰 수정 작업을 진행할 수 있다”고 강조했다.