기업이 소프트웨어 보안 결함 수정에 들이는 시간이 점점 늘어나고 있다. 그 결과 보안 부채의 중요성도 커졌다.

애플리케이션 보안 업체 베라코드의 최신 소프트웨어 보안 현황 보고서에 따르면, 보안 결함을 수정하는 평균 시간은 지난 5년 동안 171일에서 252일로 증가했다.

또한, 현재 기업의 절반(50%)이 1년 이상 누적된 고위험 보안 부채를 안고 있다. 결함의 대다수가 서드파티 코드와 소프트웨어 공급망에서 비롯되는데, 관심이 늘어나는 것과 별개로 두 영역은 계속 위험의 진원지로 지적돼 왔다.

고위험 부안 부채 50%라는 수치는 2024년 연구 결과의 46%와 비교할 때 약간 상승한 수준이지만, 잘못된 방향으로 가고 있다는 점에서 여전히 우려를 부른다. 또한, 고위험 보안 부채를 안은 기업의 수는 지난 1년 동안 거의 10% 증가했다.

베라코드 공동 설립자 크리스 와이소팔은 CSO와의 인터뷰에서 결함 수정 시간이 수년 동안 점점 악화되어가고 있다고 지적했다. 또한 그 이유로 계속 확장되는 소프트웨어 생태계의 범위와 복잡성을 들었다. 와이소팔은 “기업이 관리해야 하는 애플리케이션과 코드는 훨씬 더 많아질 것이며, AI로 코드를 짜는 팀도 늘어나면서 문제가 더욱 심화될 것”이라고 말했다. 분명 사내 소프트웨어와 서드파티 종속성 전반에서 AI 생성 코드가 보안에 미치는 영향을 고려해야 하므로 문제는 더욱 복잡해졌다.

위험 감소 및 보안 성숙도 전략 적용

베라코드의 연구에 따르면 기업이 보안 부채를 관리하는 방식에는 현저한 차이가 있다. 보안 부채해결 능력이 가장 좋은 기업과 가장 나쁜 기업 사이에 큰 격차가 존재하는 것이다. 베라코드는 보안 성숙도를 측정하는 핵심 기준 5가지를 제안했다.

• 결함 비율 : 보안 부채 해결에 있어 선도적 기업은 결함 있는 애플리케이션이 전체의 43% 미만인 반면, 뒤처진 기업의 결함 있는 애플리케이션은 86%를 넘는다.
• 결함 수정 비율 : 선도적 기업은 매달 결함의 10% 이상을 해결하는 반면, 뒤처진 기업의 해결 비율은 1% 미만이다.
• 결함 수정 속도 : 선도적 기업은 5주 만에 결함의 절반을 해결하는 반면, 뒤처진 기업은 1년 이상 걸린다.
• 보안 부채 비율 : 선도적 기업의 애플리케이션 중 보안 부채 비율은 17%인 반면, 뒤처진 기업은 67% 이상이다.
• 오픈소스 부채 : 선도적 기업은 오픈소스 관련 부채를 15% 미만으로 유지하는 반면, 뒤처진 기업은 100%가 오픈소스 관련 부채다.

보안 성숙도를 향상하는 단계에는 소프트웨어 개발 수명 주기 전반에 걸친 가시성 및 통합 강화, 자동화 및 피드백 루프를 사용해 새로운 보안 결함을 방지하는 것이 있다. 베라코드는 또한 기업이 보안 결과를 단일 뷰에서 상호 연관시키고 맥락화할 수 있도록 우선순위를 정해야 한다고 밝혔다.

와이소팔은 “대다수 기업은 애플리케이션 내의 소프트웨어 결함과 위험에 대한 가시성이 분산되어 있으며, 데이터 사일로를 바탕으로 의사결정을 하는 어려움, ‘경고 피로’를 유발하는 툴셋 때문에 겪는 어려움 등을 겪는다”라고 말했다. 또한, 위험에 따라 결함 수정의 우선순위를 지정할 수 있다면, 보안 백로그를 해결할 때 도움을 받을 것이라고 권했다.

베라코드의 연구는 베라코드 클라우드 기반 플랫폼을 통해 정적 분석, 동적 분석, 소프트웨어 구성 분석 및/또는 수동 침투 테스트의 조합을 거친 약 130만 개의 고유한 애플리케이션에 대한 조사 결과를 기반으로 한다. 테스트를 거친 소프트웨어 패키지는 모든 규모의 회사, 상용 소프트웨어 업체, 소프트웨어 아웃소싱 업체 및 오픈소스 프로젝트에서 제공되었다.

공급망 위험

오픈소스 보안 부채와 관련해, 애플리케이션 보안 업체 블랙 덕은 16개 업종에 걸쳐 965개의 상용 코드베이스를 분석한 결과, 상용 코드베이스의 86%가 오픈소스 소프트웨어 취약점을 포함하고 있으며, 81%가 고위험 또는 중대한 위험의 취약점을 포함하고 있다고 보고했다.

블랙 덕의 오픈소스 보안 및 위험 분석 보고서는 고위험 취약점 상위 10개 중 8개가 널리 사용되는 자바스크립트 라이브러리 jQuery에서 발견되었다고 발표했다.

가장 자주 발견되는 고위험 취약점은 CVE-2020-11023으로, 구버전의 jQuery에 영향을 미치는 XSS 취약점이다. 그러나 스캔한 코드베이스의 1/3에서 여전히 발견되고 있었다.

베라코드는 소프트웨어 개발 수명 주기 동안 코드를 지속적으로 스캔하면 서드파티나 오픈소스 코드에서 비롯된 취약점 때문에 벌어지는 공급망 위험을 완화할 수 있다고 조언한다. 기업은 운영을 현대화해 맞춤형 애플리케이션의 새 버전을 업데이트, 테스트, 배포하는 과정을 최대한 효율적으로 진행해야 한다.

와이소팔은 “소프트웨어 구성 분석(SCA)은 자동화 프로세스로 서드파티 및 오픈소스 소프트웨어 구성 요소의 위험을 감지하고 관리한다”라고 제안했다. SCA를 도입하면 소프트웨어 BOM(SBOM)을 생성하고, 취약점을 스캔하고, 위험을 평가하며 개선 지침을 만들 수 있기 때문이다.

부채 감소 프로그램

베라코드에 따르면, 기업은 보안 부채를 해결하고 모범 사례를 활용해서 회복력을 강화하고, 위험을 줄이며 진화하는 사이버보안 규정을 준수할 수 있다. 여러 애플리케이션 보안 전문가는 보안 부채를 줄이기 위한 효과적인 전략을 개발하는 데 도움이 되는 요소를 다음과 같이 요약한다.

• 자동화된 테스트 : SAST, DAST, SCA 및 기타 자동화된 테스트 프레임워크를 CI/CD에 통합해 결함을 조기에 발견한다.
• 위험 기반 정책 : 쉽게 악용될 수 있는 심각도가 높은 결함에 초점을 맞추고, 엄격한 “배송 금지” 기준을 적용한다.
• 역량이 강화된 개발자 : 교육을 제공하고, 보안 챔피언을 지정하며, 보안 작업을 일반적인 개발 작업처럼 취급한다.
• 책임 문화 : 기능적 버그와 함께 취약점을 추적하고, 취약점이 발견되면 수정한다.
• 오픈소스 감독 : 라이브러리의 명확한 목록을 유지하고, 정기적으로 업데이트하며, 검사를 자동화한다.
• 규율 : 자원도 도움이 되지만, 일관된 전략과 강력한 프로세스가 더 중요한다. 규모가 작은 팀이라도 잘 기업되고 규율이 잘 지켜지면, 집중력이 약한 규모가 큰 팀보다 더 좋은 성과를 내는 경우가 많다.

dl-itworldkorea@foundryco.com