안녕하세요. 오늘은 소프트웨어 개발의 패러다임을 바꾸고 있는 아주 중요한 개념, 바로 Secure by Design(설계부터 안전하게)에 대해 이야기해 드리고자 합니다. 이는 제품 신뢰도와 직결되는 개념으로서, 지니언스 에서는 어떻게 Secure by Design을 사용해서 제품을 안전하게 개발하고 있는지에 대해 소개해 드리겠습니다.
1. Secure by Design 개요: '나중에 고치기'는 이제 그만!
(1) 소프트웨어 보안, 왜 '볼트 온' 방식을 버려야 할까요?
여러분은 새 차를 구매할 때, 안전벨트나 에어백이 아예 없어서 운전자가 나중에 직접 부착해야 하는 차를 원하시나요? 당연히 아닙니다. 과거에는 제품을 급하게 출시한 후, 취약점이 발견되면 나중에 패치(Patch)나 업데이트를 통해 땜질하는 방식이 일반적이었습니다. 이를 우리는 '볼트 온' 방식, 즉 나중에 덧붙이는 방식이라고 부릅니다. 이 방식은 보안 문제를 해결하는 데 엄청난 비용과 시간을 들게 하고, 그 사이에 해커들에게 공격당할 위험을 고객이 고스란히 짊어져야 했습니다.
(2) Secure by Design: '베이크 인' 방식의 등장
Secure by Design은 이러한 방식을 근본적으로 뒤집습니다. 이는 마치 자동차를 설계할 때와 같습니다. 차를 다 만든 후에야 에어백이나 ABS 브레이크 같은 안전장치를 나중에 급하게 덧붙이는 것(볼트 온)이 아니라, 설계 단계부터 차체 프레임과 구조 자체에 충돌 안전성을 내재화하는 것(베이크 인)과 같습니다. 즉, 소프트웨어 개발의 가장 초기 단계부터 보안을 단순한 선택 사항이 아닌, 핵심 비즈니스 요구사항으로 내재화하는 접근 방식입니다.
Secure by Design의 목표: 시장에 제품을 출시하기 전에 잠재적인 취약점을 최대한 제거하여 고객의 위험을 대폭 줄이는 것
(3) Secure by Design의 두 기둥: 책임과 기본 안전성
CISA(미국 사이버보안 및 인프라 보안국)가 주도하는 이 개념은 크게 두 가지로 나뉩니다.
① Secure by Design (설계부터 안전하게)
이것이 바로 핵심 개념입니다. 보안이 소프트웨어의 ‘DNA’에 내장되어 처음부터 공격을 막아낼 수 있도록 설계됩니다. 고객 보안 결과에 대한 책임을 소프트웨어 제조사가 져야 합니다. 고객이 "알아서 잘 쓰세요"가 아니라, 제조사가 "우리는 처음부터 안전하게 만들었습니다"라고 보증하는 것입니다. 보안을 단순한 기능이 아닌, 제품 개발의 최우선 목표로 설정합니다.
② Secure by Default (기본 설정부터 안전하게)
Secure by Design으로 안전하게 설계된 제품이, 실제로 고객에게 전달될 때는 가장 안전한 상태로 제공되어야 한다는 개념입니다. 여러분이 새 클라우드 서비스를 시작할 때, 기본 설정이 '비밀번호 없이 접속 가능'이 아닌, '강력한 다단계 인증(MFA) 필수 활성화'로 되어 있는 것입니다. 고객이 아무것도 건드리지 않아도 안전하게 사용하도록 만드는 것이 목표입니다.
(4) 누가, 언제 이 변화를 이끌었나요?
이 근본적인 변화를 주도한 기관은 바로 미국 사이버 보안 및 인프라 보안국(CISA, Cybersecurity and Infrastructure Security Agency)입니다. 2023년 4월, CISA는 "Shifting the Balance of Cybersecurity Risk"라는 백서를 발표하며 이 Secure by Design & Default 개념을 공식화했습니다.
이후 RSA Conference 2024 등을 통해 소프트웨어 제조사들에게 Secure by Design Pledge (서약)를 공개하며, 글로벌 IT 기업들이 이 원칙을 따르도록 강력하게 독려하고 있습니다. CISA는 이 서약을 통해 제조사들이 메모리 안전성이 확보된 언어 사용, MFA 활성화율 증가 등 측정 가능한 목표를 제시하고, 그 이행 결과를 투명하게 공개하도록 요구하고 있습니다. 이는 이제 거스를 수 없는 산업계의 흐름이 되고 있습니다.
※참고: Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software 백서 (2023.10)
2. Secure by Design 7가지 목표 및 지니언스의 대응
지니언스는 고객에게 더 안전한 제품을 제공하기 위해 노력하고 있으며, 소프트웨어 제조사들의 자발적 참여를 독려하는 CISA의 Secure by Design Pledge(서약)에서 제시한 주요 목표들을 개발 로드맵에 반영하여 적극적으로 이행하고 있습니다. CISA의 Secure by Design 철학을 핵심 비즈니스 원칙으로 삼아 제품 설계 및 개발 프로세스를 개선하고 있습니다. 아래에서는 CISA가 제시한 7가지 핵심 목표와 설명, 그리고 이를 입증하기 위한 지니언스의 구체적인 대응 내용을 소개하겠습니다.
(1) 다중 요소 인증 (MFA)
- 목표: 서약에 서명한 후 1년 이내에 제조업체의 제품 전반에 걸쳐 다중 요소 인증(MFA) 사용을 측정 가능하게 증가시키기 위한 조치를 취했음을 입증합니다.
- 설명: 비밀번호 유출과 계정 탈취는 오늘날 사이버 공격의 가장 흔하고 심각한 원인입니다. 단일 비밀번호 기반 인증은 더 이상 충분한 방어벽이 될 수 없으며, 특히 관리자 계정의 경우 즉각적인 시스템 전체 위험으로 이어집니다.
다중 요소 인증(MFA)은 이러한 계정 탈취 위험을 획기적으로 낮추는 가장 효과적인 방어 수단이자 고객 계정 보호의 최소한의 기준입니다. 이 목표는 고객의 입장에서 비밀번호가 유출되더라도 계정을 보호할 수 있는 강력한 방패를 제공합니다. MFA를 기본 설정으로 의무화함으로써, 고객이 보안 전문가가 아니더라도 추가적인 노력 없이 가장 안전한 수준의 인증 환경을 이용할 수 있게 됩니다. 이는 사용자에게 보안 책임을 전가하는 대신, 제조사가 기본적인 안전을 보장하고 제품 자체가 안전하게 설계되었음을 입증하는 책임의 시작입니다.
- 지니언스의 대응: 지니언스는 MFA 사용을 고객에게 기본적으로 제공하고, 고객이 쉽게 MFA를 채택할 수 있도록 Secure by Default 접근 방식을 통해 적극적으로 유도하고 있습니다.
제품 설치 후 인증 시 관리자에게 MFA 활성화를 기본적으로 요청하는 안내를 UI에 표시하고 있습니다. MFA가 성공적으로 활성화되면 해당 안내는 더 이상 표시되지 않습니다. 이는 고객이 보안 설정을 미루지 않도록 돕는 능동적인 유도 방식입니다. 또한, 사용자가 MFA 설정을 더욱 쉽게 완료할 수 있도록 상세한 가이드 문서를 제공하고 있으며(한국/글로벌), MFA 또는 인증에 대한 표준을 발전시키기 위해 꾸준히 외부 포럼에 참여하여 최신 기술 동향을 제품에 반영하고 있습니다.
이뿐만 아니라 MFA 사용 현황을 면밀히 분석하며 실질적인 보안 수준을 높이기 위해 다각도로 노력하고 있습니다. 현재 클라우드 기반인 SaaS(Security-as-a-Service) 제품의 MFA 사용률은 87.96%로 매우 높은 수준을 유지하고 있으며 이러한 긍정적인 변화를 전 제품군으로 확산시키기 위해 지속적인 개선을 이어가고 있습니다.
지니언스는 단순히 기능을 제공하는 것에 그치지 않고 제품 UI 내에서 MFA가 설정되지 않은 계정에 대해 활성화를 지속적으로 권유하는 등 고객이 보안 강화의 필요성을 자연스럽게 인지하고 실천할 수 있도록 유도하고 있습니다.
결국 MFA의 완성은 제조사의 기술적 배려와 고객의 능동적인 실천이 만날 때 비로소 가능합니다. 강력한 인증 수단을 도입하는 것은 제조사의 의무이지만, 이를 활성화하여 실제 보안 자산으로 만드는 것은 고객의 참여가 필수적이기 때문입니다. 지니언스는 앞으로도 고객이 보안성을 충분히 인지하고 함께 MFA 사용률을 높여갈 수 있도록 최적의 가이드와 환경을 지속적으로 제공할 것입니다.
(2) 기본 비밀번호 (Default Password)
- 목표: 서약에 서명한 후 1년 이내에 제조업체의 제품 전반에서 기본 비밀번호를 줄이기 위한 측정 가능한 진전을 입증합니다.
- 설명: 공통 기본 비밀번호는 대규모 해킹 공격의 가장 흔하고 쉬운 표적이 되며, 이는 제조사의 초기 구성 실패이자 고객 안전을 직접적으로 위협하는 행위입니다.
Secure by Design의 이 목표는 제조사 제품의 초기 설정에서 'admin/123456' 등 공통적으로 부여된 취약한 기본 비밀번호를 완전히 없애는 것입니다. 고객이 비밀번호 변경을 잊었을 경우에도 무방비로 노출되는 상황을 막기 위해, 제품 설치 단계에서부터 고유하고 강력한 비밀번호를 강제함으로써, 고객의 제품이 취약한 상태로 네트워크에 노출되는 것을 방지해야 합니다. 제조사는 이를 제거하여 공격자가 시스템에 쉽게 접근하는 것을 원천적으로 차단하고, 고객이 만성적인 보안 문제로부터 벗어나도록 보장하는 기본적인 책임을 다해야 합니다.
- 지니언스의 대응: 지니언스는 제품 출시 시점부터 기본 비밀번호를 완전히 제거하고, 강력한 비밀번호 정책과 최신 인증 수단으로 고객 시스템의 초기 접근 보안을 책임집니다.
제품 초기 설치 시 기본 비밀번호를 일절 제공하지 않습니다. 모든 설정에 대해 관리자가 직접 비밀번호를 설정하도록 의무화되어 있으며, 관리자 계정의 비밀번호는 알파벳, 숫자, 특수문자를 포함하여 최소 9자 이상으로 설정하도록 강력하게 요구하고 있습니다.
관리자가 비밀번호 만료일을 직접 설정할 수 있도록 지원하여, 오래된 자격증명을 정기적으로 갱신하고 전반적인 보안을 강화하도록 유도합니다. 또한, Passkey 인증 기능을 제공하여 비밀번호 없이도 안전하게 제품 UI에 접근할 수 있는 인증 방식을 함께 지원합니다.
- Passkey와 관련된 블로그와 자료는 다음 링크에서 확인할 수 있습니다.
① Genian ZTNA 생체인증 기능 (FIDO 기반 Passkeys 활용 사례)
② Passkey 관련 문서(한국/글로벌)
(3) 취약점 전체 클래스 감소 (Reducing Entire Classes of Vulnerability)
- 목표: 서약에 서명한 후 1년 이내에 제조업체의 제품 전반에 걸쳐 하나 이상의 취약점 클래스의 발생 빈도를 크게 줄이기 위한 조치를 입증합니다.
- 설명: 대부분의 취약점은 소수의 근본 원인(Root Cause)에서 발생하기 때문에, 개별적인 버그 수정에만 의존하는 방식은 비효율적이며 비용이 많이 듭니다.
이 목표는 개별 취약점을 고치는 대신, 메모리 안전성 오류와 같은 취약점의 근본적인 유형(클래스)을 제거하는 전략입니다. 제조사는 취약점의 근본 원인을 체계적으로 분석하고, 메모리 안전 언어 사용 등을 통해 설계 단계에서 취약점 클래스 전체를 제거하여, 끊임없는 패치 요구라는 악순환을 깨야 합니다. 고객 입장에서는 패치 횟수와 긴급 업데이트가 획기적으로 줄어들게 되어 시스템 운영의 안정성이 높아집니다. 결과적으로 제품의 기반이 근본적으로 안전해지므로, 고객은 예기치 않은 취약점 공격에 대한 걱정을 덜고 장기적으로 더 안전한 제품을 사용하게 됩니다.
- 지니언스의 대응: 지니언스는 단순히 개별적인 보안 버그를 하나씩 찾아 수정하는 비효율적인 방식에서 벗어나, 보안 사고의 근본 원인이 되는 특정 '취약점 클래스'가 제품에 발을 붙일 수 없도록 설계 단계부터 표준 보안 아키텍처를 고도화해 왔습니다. 특히 웹 기반 서비스에서 가장 빈번하고 치명적인 위협으로 꼽히는 두 가지 핵심 취약점 클래스인 CWE-79(XSS)와 CWE-89(SQL Injection)를 원천 차단하는 데 집중하였고, 이러한 체계적인 관리의 결과로 실제 제품에서 관련 취약점이 발견되는 비중이 과거 대비 현격히 감소하는 성과를 거두었습니다.
먼저 웹 사이트에서 발생하는 가장 흔한 공격 중 하나인 CWE-79(XSS, 교차 사이트 스크립팅)를 방어하기 위해 지니언스는 다중 방어 체계를 구축했습니다. XSS는 해커가 게시판이나 입력창에 악성 스크립트를 몰래 삽입하여 사용자의 정보를 가로채는 위험한 공격입니다. 이를 막기 위해 OWASP에서 제공하는 Antisamy 라이브러리와 지니언스가 자체 개발한 정규식 기반의 필터를 사용하여 입력 데이터를 꼼꼼하게 검사합니다. 추가로 구글(Google)과 리액트(React) 등 글로벌 빅테크 기업들이 공식 채택한 검증된 솔루션인 'DOMPurify' 라이브러리를 적용했습니다. 'DOMPurify'는 글로벌 보안 전문 팀 Cure53이 설계하였고 사용자가 입력한 데이터가 화면에 나타나기 직전, 마치 정교한 거름망처럼 위험한 코드를 자동으로 걸러냅니다. 그리고 최신 브라우저 보안 표준(Trusted Types)을 지원함은 물론, 새롭게 발견되는 변칙적인 공격 기법에 대해서도 즉각적인 패치를 통해 최상의 안전성을 유지하고 있습니다. 이러한 다중 방어 체계 덕분에 설령 개발자가 보안 설정을 놓치는 휴먼 에러를 범하더라도 제품 스스로 공격을 무력화하여 CWE-79 취약점 클래스 전체의 발생 가능성을 실질적으로 낮추고 있습니다.
또한 데이터베이스 보안의 핵심인 CWE-89(SQL Injection, SQL 삽입)를 방어하기 위해 데이터베이스 접근 설계 단계부터 표준 아키텍처를 적용하고 있습니다. SQL 삽입 공격은 데이터베이스에 내리는 명령문에 악성코드를 섞어 보내 정보를 빼내거나 조작하는 행위로, 기업 자산에 막대한 피해를 줄 수 있습니다. 지니언스는 자바 프로그램과 데이터베이스를 연결할 때 명령어의 구조를 미리 고정해두는 MyBatis #{} (Prepared Statement) 방식을 표준으로 사용합니다. 이 방식은 해커가 보낸 공격 코드를 '실행 가능한 명령어'가 아닌 아무런 힘이 없는 단순한 '문자열 글자'로만 취급하게 만들어 공격을 원천 차단합니다. 아울러 MyBatis SQL 삽입 체커를 통해 쿼리 생성 구문을 상시 모니터링함으로써 인적 실수로 인한 CWE-89 취약점 발생 가능성을 구조적으로 방지하고 있습니다.
이처럼 지니언스는 단순히 도구에 의존한 사후 점검을 넘어, 공격이 불가능한 구조를 선제적으로 구축하는 'Secure by Design' 원칙을 실천하고 있습니다. 이러한 아키텍처 중심의 대응을 통해 특정 취약점 클래스의 발생 빈도를 획기적으로 낮추었으며, 고객이 보안 사고에 대한 불안감 없이 제품 본연의 기능에만 집중할 수 있는 안전한 디지털 환경을 제공하기 위해 끊임없이 노력하고 있습니다.
(4) 보안 패치 (Security Patches)
- 목표: 서약에 서명한 후 1년 이내에 고객이 보안 패치를 설치하는 비율을 측정 가능하게 증가시키기 위한 조치를 입증합니다.
- 설명: 과거에는 취약점이 발견되면 고객이 자신의 비용으로 패치를 적용해야 했습니다. 제조사는 이러한 제품 업데이트와 패치 적용의 책임을 고객에게서 가져와야 합니다. 이는 고객이 업그레이드가 기존 기능을 손상시킬까 두려워하거나 복잡성 때문에 업데이트를 미루는 경우를 줄이기 위함입니다.
제조사는 업그레이드 경로를 가능한 한 원활하게 만들어 고객이 비용과 노력 없이 최신 보안 패치를 더 자주, 더 빠르게 적용하도록 유도할 책임이 있습니다. 고객 입장에서 업데이트가 쉽고 안정적일수록 더 자주, 더 빠르게 보안 수정 사항을 적용할 수 있게 되어 시스템 위험이 줄어듭니다. 또한, 이 목표는 제조사가 고객의 업데이트 현황(패치 통계)을 측정하고, 업데이트의 편의성과 신뢰성을 개선했음을 정기적으로 보고하도록 요구합니다.
- 지니언스의 대응: 지니언스는 자동화된 시스템과 투명한 정보 공개를 통해 고객의 패치 적용 부담을 최소화하고, 보안 수정 사항을 가장 빠르고 안전하게 적용하도록 지원합니다.
SaaS 서비스를 이용하는 고객에게는 자동 배포 및 패치가 지원되어, 온프레미스(On-Premise) 제품 대비 패치 적용까지 걸리는 평균 시간이 크게 단축됩니다. 이를 통해 고객의 개입 없이도 항상 최신 보안 상태를 유지할 수 있도록 보장합니다. 온프레미스 환경은 고객사마다 고유한 운영 정책과 폐쇄망 환경이 존재하기 때문에 무분별한 자동 업그레이드보다는 안정성을 담보한 관리형 업그레이드를 지향합니다.
이를 위해 지니언스는 고객이 원하는 시점에 가장 안전하게 최신 버전을 적용할 수 있도록 수동 업그레이드 및 버전별 가이드를 상세히 제공하고 있습니다(한국/글로벌). 특히, 관리자가 복잡한 절차 없이 클릭 몇 번만으로 손쉽게 최신 보안 패치를 적용할 수 있는 기능을 지원함으로써, 고객사의 환경적 제약 속에서도 보안 패치 지연을 최소화할 수 있는 실질적인 편의를 제공합니다.
배포 시 전자서명(Digital Signature) 및 SLSA를 적용하여 배포 파일의 무결성을 보장하고 안전한 공급망을 유지합니다. 또한, 체계적인 모니터링과 DR(재해 복구) 구성을 통해 장애 발생 시 빠르고 신뢰성 있게 대응하며 서비스의 가용성을 보장하고자 노력하고 있습니다.
※참고: 지니언스의 SW 공급망 보안 표준(SLSA) 적용 사례
SaaS 고객의 경우 서비스 상태 페이지의 특정 메뉴를 통해 지난 90일 이내에 발생한 장애 및 그 사유를 게시된 내용을 통해 확인할 수 있습니다. 또한, 파트너 포탈을 사용하여 제품의 EOL(End-of-Life) 정보를 고객에게 사전에 명확하게 알려, 고객이 보안 지원 종료 전 업그레이드 계획을 수립하도록 돕습니다.
- 보안 패치와 관련된 블로그와 자료는 다음 링크에서 확인할 수 있습니다.
① Genians SaaS 서비스 : 보안과 장애대응
② 지니언스의 SW 공급망 보안 표준(SLSA) 적용 사례
③ KISA 정보보호 공시 종합 포털 지니언스(주) 정보보호 현황의 2025년_정보보호_정보보호공시_정보보호주석.pdf 중 [그림1] 지니언스 안전한 제품을 위한 품질 관리 체계
(5) 취약점 공개 정책 (Vulnerability Disclosure Policy)
- 목표: 서약에 서명한 후 1년 이내에 다음 기준을 충족하는 취약점 공개 정책(VDP)을 게시합니다.
- 설명: 어떠한 제조사도 내부적으로 모든 취약점을 찾을 수 없습니다. 따라서 취약점 공개 정책(VDP)은 외부 보안 연구원들의 협력을 유도하여 악의적인 공격자보다 먼저 취약점을 발견하도록 하는 핵심 비즈니스 관행입니다.
이 정책은 외부 보안 연구원들이 제품의 취약점을 합법적이고 안전하게 제보할 수 있도록 명확한 프로세스를 마련하고, 연구 활동을 승인하며 법적 안전지대(Safe Harbor)를 약속하는 것을 의미합니다. 고객의 입장에서는 제조사가 VDP를 통해 외부의 눈으로 제품의 결함을 먼저 찾도록 유도함으로써 잠재적인 위험에 선제적으로 대응하고, 더 신속하게 패치와 안전을 제공받을 수 있게 됩니다. 또한, 제조사는 이를 통해 취약점의 근본 원인을 분석하여 제품을 개선할 기회를 얻습니다.
- 지니언스의 대응: 지니언스는 고객 안전을 선제적으로 확보하기 위해 2022년 3월부터 자체적으로 버그바운티(Bug Bounty) 프로그램을 운영해 왔습니다(한국/글로벌). 버그바운티는 기업 서비스나 소프트웨어의 보안 약점을 찾아 처음으로 신고한 보안 전문가에게 포상금을 지급하는 공개적인 보안 테스트 프로그램입니다.
2024년 10월에는 이 활동을 더욱 체계화하여 취약점 공개 정책(VDP)을 공식 게시했습니다(한국/글로벌). 이 정책을 통해 지니언스는 성실하게 취약점을 찾아 보고하는 모든 분들에게 법적인 불이익을 주지 않겠다는 약속을 명시했습니다. 또한, 취약점을 안전하게 보고할 수 있는 명확한 전용 채널을 제공하고 있으며, VDP 운영 결과를 분석하고 얻은 교훈을 블로그 게시물로 공유함으로써, CISA가 요구하는 VDP의 투명성 및 학습 목표를 충실히 이행하고 있습니다.
- VDP 운영 결과 블로그:
① 지니언스 버그바운티 - 2년간의 실적과 프로그램 소개
② Cybersecurity Bug Bounty Program for Customer Journey
③ Security Without Secrets: How Bug Bounty Rebuilds Trust at Genians
(6) CVE(CVEs)
- 목표: 서약에 서명한 후 1년 이내에 취약점 보고의 투명성을 입증합니다.
- 설명: 투명성은 제조사가 보안 문제를 적극적으로 해결하고 있다는 신뢰를 구축하는 핵심 요소입니다. 취약점 공개 시 단순히 발견 사실만 알리는 것이 아니라, 해당 취약점이 어떤 종류의 프로그래밍 실수(CWE, 근본 원인) 때문에 발생했는지에 대한 상세 정보를 제공하여 투명성을 확보해야 합니다.
고객은 이 정보를 통해 취약점의 실제 위험도를 더 정확히 평가하고, 내부 보안 정책에 어떤 부분을 강화해야 할지 학습할 수 있습니다. 또한, 이러한 상세한 정보는 산업 전체가 어떤 취약점 클래스가 가장 흔한지 추적하고 공동 방어에 나서도록 돕는 중요한 역할을 합니다. 이는 제조사가 보안 문제를 숨기지 않고 적극적으로 해결하고 있다는 신뢰를 구축합니다.
- 지니언스의 대응: 지니언스는 취약점 정보의 신속성과 명확성을 최우선으로 하여, 고객이 위험을 정확하게 평가하고 즉각적인 대응을 할 수 있도록 필요한 정보를 투명하게 공개하고 있습니다. 위험도가 높은 항목에 대해서는 신속하게 CVE를 발급하고, Security Advisories 페이지(한국/글로벌)를 통해 관련 정보들을 공개합니다.
공개 정보에는 CVSS 점수와 영향도(Severity), 취약점에 대한 상세 내용, 영향 버전, 그리고 해결 방법 등이 포함됩니다. 이러한 정보를 통해 고객은 취약점의 심각도를 즉시 파악하고 대응 우선순위를 결정하는 데 필요한 운영 데이터를 확보합니다. 지니언스는 현재 CVSS 점수와 운영 정보를 중심으로 공개하고 있으나, 앞으로도 CISA의 요구사항인 취약점의 근본 원인 정보(CWE) 등의 공개 수준을 높여 고객 및 산업 전체의 집단 방어 역량 강화를 위한 노력을 지속할 것입니다.
(7) 침입의 증거 (Evidence of Intrusions)
- 목표: 서약에 서명한 후 1년 이내에 고객이 제조업체의 제품에 영향을 미치는 사이버 보안 침입의 증거를 수집할 수 있는 능력을 측정 가능하게 증가시키기 위한 조치를 입증합니다.
- 설명: 보안 로그는 모든 보안 사고에 대한 탐지, 에스컬레이션 및 조사의 기본 인프라입니다. 해킹 사고가 발생했을 때 고객이 침입자를 추적하고 피해를 복구하기 위해서는 '누가, 언제, 무엇을 했는지' 기록된 고품질의 감사 로그가 필수적입니다. 많은 고객은 사고가 발생할 때까지 로그의 가치를 인식하지 못하는 경우가 많습니다.
제조사는 이러한 중요한 디지털 증거를 추가 비용 없이 제품의 기본 기능으로 활성화하여 고객의 기본적인 사고 대응(IR) 및 포렌식 능력을 획기적으로 향상시켜야 합니다. 이는 고객이 공격 경로를 추적하고, 피해를 신속하게 복구하며 공격을 더 잘 감지하고 조사하는 데 필수적인 제조사의 책임입니다.
- 지니언스의 대응: 지니언스는 고객이 침입 발생 시 신속하고 정확하게 조사 및 대응할 수 있도록 침입 증거 확보 체계를 제품의 기본 기능과 전문 서비스 지원을 통해 제공하고 있습니다.
온프레미스 및 SaaS 제품 모두에서 로그인 인증, 네트워크 정보, 관리자 접속, 정책 생성/수정/삭제 등의 침입 증거 포착에 필수적인 다양한 로그를 기본으로 제공합니다. 지니언스는 고객이 이러한 로그를 효과적으로 활용할 수 있도록 실시간 모니터링 기능을 지원하며, 사용자에 맞춰 쿼리 검색, 필터 설정 등을 통해 로그를 커스터마이징하여 확인할 수 있도록 합니다. 또한, 특정 로그 이벤트 발생 시 SMS, Email, Slack 등의 채널로 즉시 전송하여 능동적인 알림 체계를 구축할 수 있습니다. 수집된 로그는 CSV 또는 JSON 파일로 내보내기가 가능하며, UI뿐만 아니라 API를 통해서도 접근할 수 있어 외부 SIEM/SOAR 시스템과의 연동을 극대화합니다.
로그를 통한 증거 확보를 넘어, 보안 인력이 부족하거나 높은 수준의 탐지 능력이 필요한 고객에게는 MDR 서비스를 지원합니다. MDR 서비스는 제품에서 수집된 침입 증거(로그, 이벤트)를 전문 인력이 24시간 분석하여 위협을 능동적으로 탐지하고 신속하게 조치함으로써, 고객의 보안 공백을 메우고 실질적인 대응 역량을 제공합니다.
- 로그와 관련된 자세한 내용은 다음 링크에서 확인할 수 있습니다.
① 로그 및 이벤트 관리
② 로그 포맷
3. 결론: 설계된 안전, 지속 가능한 책임
지니언스는 CISA의 Secure by Design 원칙을 단순한 일회성 프로젝트가 아닌, 제품 품질과 고객 안전에 대한 영구적인 약속으로 내재화하는 데 집중했습니다. Secure by Design의 여정은 멈추지 않습니다. 우리는 보안을 추가적인 선택 사항이 아닌 제품의 필수적인 요소로 간주하며, 다음 목표들을 향해 지속적으로 나아갈 것입니다.
1) Metric 기반 지속 개선: MFA 채택률, 취약점 클래스 감소율 등 측정 가능한 지표를 통해 Secure by Design 원칙의 효과를 지속적으로 평가하고 개선할 것입니다.
2) 안전 우선 기능 전환: 고객에게 해가 될 수 있는 안전하지 않은 기존 기능의 사용을 적극적으로 줄이도록 안내하고, 더 안전한 새 기능으로 쉽고 편리하게 갈아탈 수 있는 방법을 지속적으로 제공하겠습니다.
3) 리더십 기반 문화 정착: 보안을 최고 경영진의 핵심 비즈니스 아젠다로 유지하고, 제품 개발의 모든 단계에 안전 원칙이 '베이크 인' 되는 조직 문화를 확고히 할 것입니다.
지니언스는 앞으로도 기술 변화와 관계없이 고객에게 안전을 설계(Secure by Design)하여 제공하는 것을 최고의 가치로 삼을 것을 약속드립니다.
글쓴이. 이동건
지니언스 GRC연구실에서 버그바운티 업무와 취약점 관리 업무를 담당하고 있습니다.