기업의 소프트웨어 보안 부채, 해결에 더 많은 시간이 필요하다는 경고

소프트웨어 보안은 기업의 존립을 위협하는 중요한 요소로 자리 잡았습니다. 특히 소프트웨어 개발 과정에서 발생하는 보안 결함을 제때 수정하지 못하면, 이는 심각한 보안 부채로 이어져 기업의 위험 부담을 가중시킵니다. 최근 발표된 베라코드의 최신 소프트웨어 보안 현황 보고서는 이러한 현실을 더욱 명확하게 보여주고 있습니다.

보안 결함 수정 시간 증가와 고위험 보안 부채의 심각성

보고서에 따르면, 보안 결함을 수정하는 데 걸리는 평균 시간이 지난 5년 동안 171일에서 252일로 크게 증가했습니다. 이는 기업들이 소프트웨어 보안 문제 해결에 어려움을 겪고 있음을 시사합니다. 또한, 기업의 절반이 1년 이상 누적된 고위험 보안 부채를 안고 있다는 사실은 상황의 심각성을 더합니다.

서드파티 코드와 소프트웨어 공급망의 위험

대부분의 보안 결함은 서드파티 코드와 소프트웨어 공급망에서 비롯됩니다. 이러한 영역은 기업들이 직접 통제하기 어렵기 때문에 더욱 위험합니다. 특히 오픈소스 소프트웨어의 사용이 증가하면서, 이러한 위험은 더욱 커지고 있습니다. 기업들은 소프트웨어 공급망 전반에 대한 보안 관리를 강화해야 합니다.

보안 성숙도 향상을 위한 핵심 기준

베라코드는 보안 성숙도를 측정하는 다섯 가지 핵심 기준으로 결함 비율, 결함 수정 비율, 결함 수정 속도, 보안 부채 비율, 오픈소스 부채를 제시했습니다. 이 지표들을 통해 기업은 자신의 보안 수준을 객관적으로 평가하고, 개선해야 할 부분을 명확히 파악할 수 있습니다.

위험 감소 및 보안 성숙도 전략 적용의 중요성

보안 부채 해결 능력이 뛰어난 기업들은 소프트웨어 개발 수명 주기 전반에 걸쳐 가시성을 확보하고 통합을 강화합니다. 또한, 자동화된 테스트와 피드백 루프를 통해 새로운 보안 결함을 예방합니다. 기업은 보안 결과를 단일 뷰에서 상호 연관시키고 맥락화하여 우선순위를 정해야 합니다.

오픈소스 보안 부채와 공급망 위험 완화

블랙 덕의 보고서에 따르면, 상용 코드베이스의 86%가 오픈소스 소프트웨어 취약점을 포함하고 있습니다. 베라코드는 소프트웨어 개발 수명 주기 동안 코드를 지속적으로 스캔하여 서드파티나 오픈소스 코드에서 비롯된 취약점을 찾아내고, 공급망 위험을 완화해야 한다고 조언합니다.

보안 부채 감소 프로그램을 위한 효과적인 전략

자동화된 테스트 도입, 위험 기반 정책 적용, 개발자 역량 강화, 책임 문화 구축, 오픈소스 감독, 그리고 꾸준한 보안 규율 준수가 보안 부채를 줄이기 위한 효과적인 전략입니다. 이러한 전략들을 통해 기업은 보안 역량을 강화하고 사이버 위협에 효과적으로 대응할 수 있습니다.

결론

소프트웨어 보안 부채는 기업의 지속 가능한 성장을 위협하는 심각한 문제입니다. 기업은 보안 결함 수정 시간을 단축하고 고위험 보안 부채를 줄이기 위해 적극적인 노력을 기울여야 합니다. 꾸준한 투자와 체계적인 전략 수립을 통해 소프트웨어 보안을 강화하고, 안전한 디지털 환경을 구축해야 합니다.