2024-03-29 18:50 (금)
“애플리케이션 보안, 수준 측정기준 없어…정보공유 커뮤니티 필요해”
상태바
“애플리케이션 보안, 수준 측정기준 없어…정보공유 커뮤니티 필요해”
  • 길민권
  • 승인 2015.10.07 00:03
이 기사를 공유합니다

비즘, 동종 기업들과 비교 또는 대조해 보안 향상시킬 수 있는 방법론
“조직의 CISO는 항상 한정된 예산으로 효과적인 투자를 해 보안문제점을 찾아내고 해결해야 한다. 하지만 소프트웨어 애플리케이션 보안에 대한 측정 기준이 없어 조직내의 보안 수준은 어느 정도 수준이고 또 어떤 문제점이 존재하는지 그리고 얼마나 더 투자를 해야 문제를 해결할 수 있는지 판단하기 어려웠다. 씨지탈의 비즘(BSIMM)은 조직의 애플리케이션 보안이 어느 정도 수준인지 측정해 직관적인 도표나 그래프로 보여준다. 이를 통해 보다 명확한 보안 투자 지표를 제시해 줄 수 있다.” -씨지탈 라지브 신나 부사장-
 
소프트웨어 보안 컨설팅 및 보안 개발 가이드 개발 분야 글로벌 리더인 씨지탈(Cigital)의 라지브 신나(Rajiv Sinha) 부사장은 6일 삼성동에서 기자간담회를 갖고 전사 애플리케이션 보안 성숙도 진단 도구, 비즘(BSIMM, Building Security In Maturity Model)에 대해 기술적, 사업적인 측면에 대해 설명하는 시간을 가졌다.
 
이 자리에서 씨지탈 라지브 신나 부사장은 “대부분 기업들이 애플리케이션 보안 측정 기준이 없어 제대로 체계를 잡지 못하고 있었다. 이에 비즘은 기업 전체의 소프트웨어 보안 전략을 측정 및 설계 할 수 있도록 돕는 컨설팅 도구로써 기업의 현재 보안 상황을 파악하고 동종 업계 기업들과 비교 또는 대조해 보안을 향상시킬 수 있는 방향을 제시하는 방법론”이라고 소개했다.


비즘 커뮤니티에 가입한 글로벌 기업 일부
 
‘비즘’은 미국과 영국 기업들을 중심으로 80여 개 글로벌 기업들이 참여하고 있다. 이들 기업들은 커뮤니티를 형성해 서로의 애플리케이션 보안 정보를 공유하면서 비교할 수 있고 타사와 비교해 부족한 부분이 무엇인지 직관적으로 파악해 개선할 수 있도록 정보를 제공해 주는 것이다.
 
또 보안 프레임 워크에 따라 12가지 보안 관행을 구성하는 112가지 활동에 대해 조사해 분석 기간 동안 생성된 데이터를 통해 다양한 동종 업계 기업들의 활동을 검토하고, 보안 환경 변화에 따른 우선순위를 정하며, 보안 향상을 위한 솔루션 적용 방법에 대해 가시적인 표, 그래프를 통해 직접적으로 보여준다.
 
예를 들어, 국내 A은행이 비즘 커뮤니티에 가입하면 씨지탈의 컨설팅을 받게 되고 이를 통해 도출된 애플리케이션 보안 측정 데이터는 비즘 가입 기업들과 공유한다. 물론 A은행 실명은 공개하지 않는다. 한편 국내 A은행은 글로벌 B, C, D 등 여러 금융기관들의 애플리케이션 보안 정보를 받아 볼 수 있고 A은행은 타 글로벌 은행들과 비교해 무엇을 잘 하고 있고 무엇이 부족한지 알게 된다. 이를 통해 부족한 부분을 개선해 나갈 수 있는 것이다. 정보공유 문화가 부족한 한국 기업들이 오픈마인드로 참여한다면 애플리케이션 보안 분야 만큼은 글로벌 수준으로 올라 설 수 있을 것으로 전망된다.  
 
씨지탈 라지브 신나 부사장은 “비즘은 수년간의 연구 결과로 탄생한 선진 솔루션으로써 작년 6월 엔시큐어(대표 문일준)와 씨지탈이 파트너 계약을 맺음으로써 한국 시장 확대에 큰 기대를 걸고 있다”며 “한국 기업들도 비즘 커뮤니티에 가입해 글로벌 기업들의 데이터와 비교해 보고 애플리케이션 보안에 대한 부족한 부분들을 더욱 발전시켜 나갈 수 있는 기회로 삼길 바란다. 향후 애플리케이션 보안은 기업 정보보호 영역에 있어 핵심적인 부분이 될 것이다. 커뮤니티를 통해 객관적인 비교 데이터를 확보해 보안체계를 확보해야 할 것”이라고 말했다.
 
씨지탈 국내 파트너 엔시큐어 문성준 대표는 “클라우드, IoT, 모바일 등 IT 환경의 변화에 따라 DevOps, Agile 등과 같은 개발 환경에서 다양한 형태의 애플리케이션들이 생산 되고 있고, 이에 따라 애플리케이션 보안도 변화가 일고 있다”라며 “씨지탈과 협력을 통해 그간의 경험을 바탕으로 지속적으로 이 분야의 리딩 컴퍼니 역할을 수행해 나갈 것”이라고 밝혔다.
 
또 문 대표는 “국내에서도 글로벌 제조사들이 비즘에 관심을 가지고 있다. 비즘에 이미 가입한 글로벌 기업들과 비교를 통해 현재 위치를 파악하고 애플리케이션 보안에 대해 부족한 부분을 개선해 나가려는 니즈들이 커지고 있다”며 “비즘은 계속해서 업데이트 된다. 커뮤니티가 커질수록 비교 데이터가 증가할 것이고 비즘 커뮤니티에 가입한 기업들은 더 많은 데이터를 받을 수 있다. 국내 기업들의 애플리케이션 보안 체계를 확립하는데 큰 도움이 될 것”이라고 덧붙였다.
 
앞서 씨지탈의 수석 컨설턴트 파코 호프(Paco Hope)는 지난 5일 ‘2015 소프트웨어 보안 컨퍼런스’를 통해 소프트웨어 보안과 세계적으로 연결된 경제의 진화(BSIMM, 보안 코드 검토, 보안 테스트, 교육 개발자); Software Security & Its Evolution in a Globally Connected Economy(BSIMM, Secure code review, Security testing, Training developers)에 대해 키노트 발표를 진행한 바 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★