어도비가 설치형이 아닌 SaaS 기반으로 비즈니스 노선을 바꿀 때만 해도 많은 이들이 우려의 눈길을 보냈습니다. 나름 자리를 잡아 가던 차에 대규모 보안 사건이 터지면서 우려가 현실이 되는 것 아닌가 하는 생각마저 들었던 적이 있습니다. 나름의 시행착오를 겪었던 탓일까요? 어도비가 더 이상의 실수는 없다는 느낌으로 최근 강공을 펼치고 있습니다. 그 중심에는 바로 보안 팀이 자리하고 있습니다.
생명 주기 기반 보안성 확보 전략의 중요성
어도비는 아래 그림과 같은 보안 조직을 운영하고 있습니다. 언뜻 보기에도 다양한 기능과 역할을 하는 큰 구조의 조직이란 것이 느껴집니다. 사실 조직이야 맘만 먹으면 만들 수 있는 것이고요.
어도비가 강조하는 보안 전략의 핵심은 바로 Adobe Secure Product Lifecycle (SPLC) 입니다. 이게 뭐냐 하면 한 마디로 어도비의 모든 솔루션은 개발 시점부터 서비스 제공까지 생명 주기 차원에서 보안에 대한 고려를 하기 위한 일종의 절차입니다. 최근 몇 년 사이 외주 개발 현장이나 제품 개발에 시큐어 코딩 이야기가 많은 것 아시죠? 개발 단계에서는 시큐어 코딩 관점에서 접근을 하고 운영 단계에서는 흔히 말하는 제로 데이 공격에 대비한 보안 취약점 분석 및 패치 제공 등을 하나의 정책과 절차 상에 묶어 낸 것이 바로 SPLC입니다.
사실 이는 새로운 접근이 아닙니다. 마이크로소프트가 오래 전부터 Security Development Lifecycle (SDL) 아래 제품을 개발한 것이 대표적인 예입니다. 내용을 보면 마이크로소프트의 SDL이나 어도비의 SPLC이나 거기서 거기입니다.
당해봐야 챙긴다! 눈 앞의 불만 끌 것이 아니라 근본적인 해결책을 찾는 것이 중요
마이크로소프트와 어도비의 움직임은 한 가지 공통점이 있습니다. 당하고 나서 그 심각성을 인지하고 진지하게 조직, 정책, 절차 관점에서 대안을 마련했다는 것입니다. 이 점은 국내 업체들도 좀 배워야 하지 않을까 합니다. 사건 사고가 났다면 그 대응을 표면적인 처리에 그칠 것인지 근본적인 방안을 마련할 것인지? 누구나 후자가 더 바른 방향이라 여길 것입니다. 장사 하루 이틀 할 것이 아니라면 말이죠!