[아이티데일리] 기업들의 소프트웨어 보안 수준을 높이기 위해 체계적인 평가 모델 도입이 필요하다는 주장이 제기됐다. 이를 통해 상대적으로 부족한 부분을 파악하고, 한정된 자원으로 효율적인 보안 투자를 할 수 있다는 설명이다.

6일 라지브 신나(Rajiv Sinha) 씨지탈(Cigital) 아태지역 총괄 부사장은 소프트웨어 보안 성숙도를 평가하기 위한 지표로 자사의 ‘비즘(BSIMM, Building Security In Maturity Model)’을 소개했다.

비즘은 기업 전체의 소프트웨어 보안 전략을 측정 및 설계 할 수 있도록 돕는 컨설팅 도구이자 통계자료다. 기업의 현재 보안 상황을 파악하고, 동종 업계 또는 타 산업군의 기업들과 비교·대조를 통해 보안 수준을 향상시킬 수 있는 방향을 제시한다.

비즘은 크게 12가지의 보안 프레임워크로 구성돼 있으며, 세부적으로 112가지의 활동 점검항목을 제시한다. 기업들은 각 활동들에 대한 조사·분석을 진행하고, 해당 기간 동안 생성된 데이터로 타 기업들의 활동까지 검토할 수 있다.

또한, 통계 처리된 표나 그래프 등이 제시됨으로써 보안 수준 향상을 위한 투자 우선순위를 정할 수 있다. 이는 비즘 고객들이 익명으로 자신들의 평가 수치를 공개하기 때문에 가능하다.

현재 어도비, 마이크로소프트, JP모건 등 전 세계적으로 78개 기업들이 비즘을 이용하고 있다. 라지브 신나 부사장은 기업 담당자들이 커뮤니티를 구성해 매년 정기적으로 회의를 개최하는 등 지속적인 보안 수준 향상을 위해 노력하고 있다고 설명했다.

씨지탈은 국내 파트너인 엔시큐어(대표 문성준)를 통해 비즘을 국내 공급할 계획이다. 국내 정서상 기업들이 보안 수준을 공개하는 것이 쉽지는 않겠지만, 꾸준한 설득을 통해 호응을 이끌어내고 커뮤니티를 구성하겠다는 계획이다.

문성준 엔시큐어 대표는 “클라우드, IoT, 모바일 등 IT 환경의 변화에 따라 데브옵스(DevOps), 애자일(Agile) 등과 같은 개발 환경에서 다양한 형태의 애플리케이션들이 생산 되고 있고, 이에 따라 애플리케이션 보안의 변화도 필요한 시점”이라며, “씨지탈과의 협력을 통해 그간의 경험을 바탕으로 지속적으로 이 분야의 리딩 컴퍼니 역할을 수행해 나갈 것이다”고 말했다.