Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그
0

뛰어난 제품을 개발하기 위해 최신 기술을 사용하는 여러분의 개발자들은 시의적절한 제품을 시장에 내놓기 위해 불철주야로 일합니다. 그렇지만 강력한 앱 보안 정책을 지키지 않는다면 이게 무슨 소용이겠습니까? 제품은 해커의 보안 위협에 취약해져 가차없는 맹공에 무력해질 것입니다. 따라서 주요 앱 보안 결함의 해결을 우선시하는 앱 보안 정책을 갖추는 것은 아무리 강조해도 지나치지 않습니다. 이러한 방법론을 채택하면 시간을 아낄 수 있어, 개발자들에게 시급한 문제를 먼저 해결한 후 애플리케이션 보안을 재빨리 강화할 수 있는 적절한 개발 기간을 줄 수 있습니다.

강력한 개발 방법론은 성능을 개선할 뿐만 아니라 애플리케이션 보호를 한 단계 더 높여줍니다. 적절하게 설계된 앱 보안 정책은 이 두가지 측면 중 어느 하나를 희생시키지 않으며 동등한 수준을 보장해줍니다. 데브옵스와 애자일 프레임워크는 코드를 배포하고 제품을 출시하는 방식을 근본적으로 변화시켰습니다. 앱 보안 정책은 보안 요소를 데브옵스에 빈틈없이 매끄럽게 통합시킴으로써 개발자들이 “좋은 코드를 빨리 개발”할 수 있도록 도와줍니다. 달성 가능한 목표를 설정하는것부터 시작하는 게 좋으며, 목표가 달성되었을 때 점차 수준을 높여 갑니다. 이러한 방식은 특히 경험이 많지 않은 보안팀이 보안 정책을 시행할 때, 지속 가능하며 개발자 친화적인 보안 장치를 잘 구축할 수 있도록 도와줍니다.  

강력한 앱 보안 정책은 명확하고 정확한 방식으로 보안 결함을 해결할 수 있게 해줍니다. 어떤 결함이 심각하며 급히 해결해야 하는지, 어느 결함을 무시하거나/후순위로 미뤄둘지 판단을 내리는 것은 팀이 작업하는 시간을 줄이고 효율성을 현저하게 높일 수 있게 합니다. 특히 실용적인 앱 보안 정책은 시의적절하게 필요한 요소로, 정책 목표를 사업 목표와 일치시키면 규정된 기간과 예산 안에서 안전한 제품을 출시하는데 기여합니다.

지능형 정책은 시류에 부합하며 염격하면서도 한편으로는 개발자의 타당한 우려를 수용할 수 있을만큼 유연해야 합니다. 사업 포트폴리오에 따라, 앱 보안 정책은 가이드라인, 규제 및 고객 영향을 포함하여야 합니다. 이러한 정책은 데브옵스 프레임워크를 방해하기보다는 오히려 발전시키는 방향으로 작동합니다.

적절한 수준의 정책은 개발팀이 앱 보안 방법론을 더 빨리 수용하게 합니다. 예를 들어, 마감일이 임박한 제품의 출시 막바지에 모의 침투 테스트를 필수 요소로 설정하는 것은 그리 추천할만한 일이 아닙니다. 오히려, 개발팀은 주요 결함을 확인하기 위한 일간 스케줄의 일부로써 개발시 자동화된 정적 테스트를 선택하는 것이 좋습니다.  동적 애플리케이션 보안 테스트(DAST) 및 구성 분석 등의 기타 평가는 필요할 경우 애플리케이션에 적용될 수 있습니다. 이러한 방법론은 앱 복잡성, 3rd party 컴포넌트 사용 여부, 사업적 관점에서의 연관성, 배포 일정 등을 고려하여 적절하게 결정되어야 합니다. 

앱 보안 정책은 종종 전문 용어나 다양하게 해석할 수 있는 장황한 용어를 담고 있습니다. 정확하며 구체적인 앱 보안 정책을 갖추는 것은 성공적인 앱 보안 실행에 있어 필수적인 요소 중 하나입니다. 동시에 앱 보안 정책은 시간이 흐르며 진화할 수 있는 유기적인 형태의 문서여야 하는데, 이는 팀이 앱 보안 전문가가 제공하는 주기적인 훈련을 통해 안전한 코드를 지속적으로 개선 및 구축하기 때문입니다.

잘 구축된 앱 보안 정책은 거버넌스 프레임워크를 구성하여 애플리케이션의 견고함을 모니터링합니다. 이 정책은 개발팀이 성취하고자 하는 요소를 대략적으로 보여주는 계량적 분석값을 확립하여야 합니다. 예를 들어, 팀은 보안 결함을 확인함으로써 OWASP Mobile Top 10 이슈 관련하여 앱을 입증하고, 취약성을 개선 및 제거한 후, 후속 출시작에서 결함 여부를 확인할 수 있습니다. 주요 취약점을 확인하고 피해를 입기 전 이를 바로잡는 것은 애플리케이션 노출 리스크와 이를 바로잡기 위한 재작업의 필요성을 감소 시킵니다. 이와 같이 앱 보안 시행에 있어 보안 정책은 매우 중요합니다. 보안 정책이 없다면, 개발팀은 바른 방향으로 나아가고 있는지, 그리고 보안 방침이 제대로 된 결과를 도출하고 있는지 알지 못하는 혼란스러운 상태에 놓일 것입니다.

앱실링은 귀하의 사업 포트폴리오와 상품에 맞춤화된 강력한 앱 보안 정책을 시행할 수 있는 올바른 플랫폼을 제공합니다. 저희에게 연락하셔서 흔하디 흔한 앱 보안 위협의 먹잇감이 되는 사태를 방지하시기 바랍니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.
모바일 앱 보안 서비스 AppSealing이 RSA Conference 2021에서 RASP 및 인앱 보호 솔루션을 선보입니다.Meet with us, 앱실링 블로그
앱 보안 실수 5: 경영진과 개발자 간의 시너지를 무시하면 앱 보안 로드맵에 악영향을 끼칩니다.AppSealing News, 앱실링 블로그