"구글도 보안 취약점 못 피해"…안전한 SW 개발 환경 만들려면?

"소프트웨어(SW)와 보안 취약점은 뗄 수 없는 관계입니다. 공격자는 이를 늘 악용할 것입니다. 개발자는 SW 설계 단계부터 시큐어 코딩을 필수적으로 진행해야 합니다." 엔키화이트햇 조정현 부사장은 6일 서울 강남 섬유센터에서 열린 '제14회 SW 개발보안 컨퍼런스'에서 "SW 개발에 시큐어 코딩이 필수인 시대"라며 이같이 강조했다. 시큐어 코딩이란 안전한 코딩 표준과 지침을 준수해 코딩하는 작업 과정으로, 코드 수준에서부터 보안을 강화하는 접근법이다. 이를 통해 SW는 해킹을 비롯한 데이터 유출, 서비스 거부 공격 등 다양한 보안 위협에 노출될 위험을 줄일 수 있다. 조 부사장은 다수 기업이 취약점 예방·제거를 위해 노력하지만 아쉬운 부분이 있다고 지적했다. 시큐어 코딩이 아닌 보안 장비에 지나치게 의존한다는 이유에서다. 조 부사장은 "이는 근본적 해결책이 아니다"며 "보안 장비도 SW의 일종이기 때문"이라고 설명했다. 이어 "SW의 가장 기초인 코드 보안이 더 중요하다"고 주장했다. 또 조 부사장은 이 자리에서 SW 취약점을 두고 피할 수 없는 숙명이라고 봤다. 마이크로소프트와 구글, 애플도 자사 SW 취약점을 100% 해결할 수 없을 것이라고 강조했다. 조 부사장은 "개발자는 항상 자신의 코드가 취약할 수 있다는 마음가짐으로 보안에 신경 써야 한다"며 "개발자는 해커 입장에서 늘 생각해야 SW 취약점이 보일 것"이라고 당부했다. 엔키화이트햇은 모의해킹을 비롯한 침투 테스트, 취약점 진단 서비스를 제공하는 기업이다. 실제 기업 시스템을 침투해 취약점을 직접 확인하는 서비스를 제공 중으로, 해커가 사이버 공격을 우회해 진행한 사례까지 발견하고자 노력하고 있다. 조 부사장은 "앞으로 단순 취약점 발견에 그쳐선 안 된다"며 "실제 공격자가 행하는 방식으로 기업 시스템에 침투해 내부 정보 탈취 테스트까지 진행해야 할 것"이라고 말했다. 이어 "이럴수록 기업은 장비에 의존하는 것보다 기초 시스템 구축에 힘써야 한다"고 덧붙였다.