CWN(CHANGE WITH NEWS) - 코딩 보안, 개발자 14%만이 우선순위로 생각

글로벌 교육 전문 기업 시큐어코드워리어(Secure Code Warrior)의 보고서에 따르면, 개발자의 14%만이 코딩 보안을 우선순위로 생각하는 것으로 나타났다. 이러한 사고방식은 개발자들이 보안 코딩을 소프트웨어 품질의 척도로 고려하지 않는다는 점을 반영한다는 지적이다.

보고서는 코드 수준 취약점은 많은 경우 잘못된 코딩 패턴을 사용하는 개발자에 의해 발생한다고 분석했다. 현대 소프트웨어 제작의 특성상 많은 개발자가 처음부터 보안 코드를 작성하는 것과는 대조적으로 고유한 취약점이 있을 수 있는 기존 코드를 재사용하는 데 의존하고 있다는 것이다.

보안 코드 작성이 자주 KPI를 벗어날 수 있다는 사실과 결합된 이 문제는 보안을 백버너에 단단히 고정시키고 있다. 기존 코드에 대한 악용의 최근 두드러진 예는 Log4j 오픈 소스 소프트웨어에 영향을 미치는 Log4Shell 위반이다. Log4j는 애플 iCloud, 아마존 Web Services와 함께 소프트웨어 개발, 보안 도구와 같이 전 세계에서 사용되는 대부분의 소프트웨어 기본 기능이다.

보고서는 우선 개발자가 코딩 보안의 중요성을 인식하게 하는 게 중요하다고 밝혔다. 사전 승인된 코드를 테스트, 스캔하는 동시에 현재 프레임워크, 언어 교육에 중점을 둬야 한다는 것이다. 또한 보고서는 89%의 응답자가 코딩 보안 기술에 대한 충분한 교육을 받았다고 말했지만, 특정 보안 프레임워크에 대한 교육은 거의 받지 않은 것으로 조사됐다고 밝혔다.

아울러 보고서는 효과적인 교육과 동시에 개발자를 하나로 모을 필요가 있다고 밝혔다. 협업은 비즈니스의 모든 사람이 보안에 대한 책임을 지도록 장려하는 데 중요하다는 설명이다. 이는 조직이 소프트웨어 기반 기술을 채택함에 따라 사이버 보안 위협이 계속 증가하는 요즘 특히 중요하다. 공유 접근 방식을 구현하지 못하는 레거시 프로세스에는 개발자가 처음부터 프로세스의 일부가 아닌 기존 전략에 개발자를 통합해야 하는 작업이 포함될 수 있다.

보고서는 고위 보안 전문가는 주도적으로 개발자를 개선된 전략에 통합해야 한다고 밝혔다. 효과적인 교육을 제공하고 기술 스택, 워크플로 보안도 포함된다. 보고서는 예를 들어 데브섹옵스(DevSecOps) 접근 방식은 속도 저하 없이 보안을 최전선에 두고 소프트웨어 개발 수명 주기의 시작 부분에 배치하고 있다고 밝혔다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]