[아이티데일리] 최근 제조, 서비스 등 모든 업계에서 소프트웨어 보안의 중요성이 높아지고 있다. 이에 따라 각 기업은 한정된 보안 자원과 예산으로 어디에 어떻게 효과적으로 투자를 해야 하는지에 대한 궁금증이 늘어가고 있지만, 참고할만한 가이드라인이 전무하기 때문에 현재 보안 수준에 대한 측정 및 의사 결정에 어려움이 따른다.

엔시큐어(대표 문성준)는 이처럼 곤란에 처한 국내 기업들에게 도움을 주기 위해 애플리케이션 보안 성숙도 진단 방법론(Building Security In Maturity Model; BSIMM, 이하 비즘) 보고서의 국문 버전을 발간했다고 27일 밝혔다.

비즘은 기업의 보안 수준이 어느 정도인지 측정해 그 결과를 직관적인 도표와 그래프로 나타내는 컨설팅 도구이다. 조직 전체의 소프트웨어 보안 전략을 측정 및 설계해 현재 보안 상황을 파악하고, 동종 업계와의 비교 또는 대조를 통해 보안을 향상시킬 수 있는 방향을 제시한다. 이를 통해 보다 명확한 보안 투자의 지표 및 근거를 마련할 수 있다는 것이 회사 측의 설명이다.

비즘 보고서에는 실제 소프트웨어 보안 계획에 대한 수년간의 연구 결과가 기록돼 있다. 글로벌 78개 기업이 보안을 위해 수행하고 있는 112가지 활동을 4가지의 도메인(Governance, Intelligence, SSDL Touchpoint, Deployment)으로 분류하고, 이를 통해 도출된 12가지의 핵심 활동을 실천 과제로 제시한다. 각 단계별로 어떻게 소프트웨어 보안 계획이 진화하고 변화하며 향상되는지 표와 그래프, 다양한 사례를 들어 설명한다.

문성준 엔시큐어 대표는 “앞으로 국내 시장에서 비즘이 각 기업의 CEO, CISO가 소프트웨어 보안 환경을 정확히 이해하고 보다 적절한 투자 방향 및 정책을 제시할 수 있도록 도움을 주는 가이드로 자리잡기를 바란다”며, “비즘의 국내 컨설팅을 맡고 있는 엔시큐어는 그간의 경험을 바탕으로 비즘 국내 도입에 힘쓸 예정이다”라고 밝혔다.

비즘 보고서는 소프트웨어 보안 컨설팅 및 개발 가이드 분야의 글로벌 리더인 씨지탈(Cigital)에서 발간했으며, 국내 파트너인 엔시큐어가 편집 및 국문 번역을 진행했다. 해당 보고서는 엔시큐어 홈페이지에서 다운로드 받을 수 있다.