애플리케이션 개발자 400명 조사 ‘CA 베라코드 보고서’ 발표
애플리케이션 개발자 400명 조사 ‘CA 베라코드 보고서’ 발표
  • 포비즈=한윤 기자
  • 승인 2018.05.09 09:41
  • 댓글 0
이 기사를 공유합니다

CA 테크놀로지스, 애플리케이션 개발자 400명 조사한 ‘CA 베라코드 보고서’ 발표

[서울=포비즈(forbiz)]
개발자 가운데 약 절반인 52%만이 새로운 보안 취약점이 공개됐을 때 컴포넌트(component)를 업데이트하는 것으로 조사됐다. 애플리케이션 배포시 컴포넌트 취약점을 테스트하는 개발자 비율도 23%에 불과했다. 이는 보안 침해 위험과 함께 오픈소스 컴포넌트에 대한 기업의 보안 인식 부재를 나타낸다.

한국 CA테크놀로지스(대표 유재성)는 애플리케이션 개발자 400명을 대상으로 컴포넌트 안전성과 보안 정책(hygiene) 현황을 조사한 ‘CA베라코드(CA Veracode) 보고서’를 8일 발표했다. CA가 2017년 인수한 CA베라코드는 애플리케이션 보안 전문기업으로 서비스형 소프트웨어(SaaS) 기반의 자동화된 소프트웨어 보안 분석 서비스를 제공한다.

이번 조사에서 응답자의 83%는 상용 또는 오픈소스 컴포넌트 중 하나 이상을 사용하고 있고, 애플리케이션 한 개당 평균 컴포넌트 수는 73개에 달했다. 개발·보안·운영을 통합하는 소프트웨어 개발 프로세스인 데브섹옵스(DevSecOps)는 개발자가 작성하는 코드의 보안을 효과적으로 개선한다. 그러나 많은 개발자들이 애플리케이션 이코노미 시대에 요구되는 속도와 효율성을 위해 기존 소프트웨어 개발 프로젝트와 라이브러리로부터 기능을 끌어오는 컴포넌트를 활용한다.

컴포넌트는 개발자의 효율성을 높여주지만 보안 위험을 내재한다. 외부 개발사(third-party) 컴포넌트가 포함된 애플리케이션 한개당 평균 71개의 취약점이 보고되지만, 개발자의 23%만이 애플리케이션을 배포할 때 컴포넌트 취약점을 테스트한다고 답했다. 또한, 정식 애플리케이션 보안(AppSec) 프로그램을 갖춘 기업은 71%에 불과했다.

기업의 53%만이 모든 애플리케이션 컴포넌트의 사용 현황(inventory)를 유지하고 있었다. CA베라코드의 ‘2017 소프트웨어 보안 현황 보고서’에 따르면 애플리케이션에 내장된 컴포넌트를 파악하기 위해 정기적으로 소프트웨어 구성을 분석하는 기업은 28%에도 미치지 못했다.

외부 개발사의 상용 및 오픈소스 컴포넌트의 유지보수를 개발부서가 담당한다는 응답자가 44%로 보안부서 담당 31%를 앞질렀다. 이는 컴포넌트 관리 책임이 개발부서로 이동하고 있음을 보여준다. 기업은 오픈소스가 지닌 위험성을 줄여줄 솔루션, 교육, 가시성을 제공하는 모던 소프트웨어 팩토리(Modern Software Factory) 전략을 채택해야 한다. 이를 통해 개발자는 고품질의 앱을 더 빠르게 구현할 수 있다.

피트 체스트나(Pete Chestna) CA베라코드 개발자 참여 담당이사는 “개발자가 생각하는 좋은 코드는 곧 안전한 코드를 의미한다. 안전한 코드를 구현하기 위해서는 명확한 보안정책과 평가 툴이 필요하다”며 “개발자에게 명확한 목표와 툴을 제공하면 소프트웨어 개발 라이프 사이클(SDLC) 초기 단계부터 보안을 통합하고 정보에 입각한 의사결정이 가능하다. 궁극적으로 안전한 소프트웨어를 개발하고 그 결과를 뚜렷하게 개선할 수 있다”고 말했다.

CA베라코드는 2018년 가트너 매직 쿼드런트 ‘애플리케이션 보안 테스팅’ 부문에서 5년 연속 리더로 선정됐다. ‘CA베라코드 소프트웨어 구성 분석(SCA)’ 솔루션은 기업이 오픈소스 컴포넌트의 사용 현황 자료를 구축해 취약점을 식별하도록 지원하며, 상용 및 오픈소스 코드 모두를 단일 스캔으로 분석하고 전체 애플리케이션 보안 환경에 대한 가시성을 제공한다. 이를 통해 기업은 중대한 취약점이 공개됐을 때 어떤 애플리케이션이 취약한 상태인지 신속하게 식별할 수 있다.
 

forbiz@forbiz.net



  • 서울특별시 영등포구 국제금융로8길 27-8, 4층 4504호 (엔에이치농협캐피탈빌딩)
  • 대표전화 : 0505-055-1001
  • 팩스 : 0505-099-1001
  • 청소년보호책임자 : 정현욱
  • 회사명 : 휴센트
  • 제호 : 포비즈미디어
  • 등록번호 : 서울, 아52162
  • 등록일 : 2017-11-10
  • 발행일 : 2017-11-10
  • 발행인 : 우미애
  • 편집인 : 정현욱
  • 포비즈미디어 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 포비즈미디어. All rights reserved. mail to forbiz@forbiz.net
ND소프트