그래 보안이 문제였어! Adobe Creative Cloud


어도비가 설치형이 아닌 SaaS 기반으로 비즈니스 노선을 바꿀 때만 해도 많은 이들이 우려의 눈길을 보냈습니다. 나름 자리를 잡아 가던 차에 대규모 보안 사건이 터지면서 우려가 현실이 되는 것 아닌가 하는 생각마저 들었던 적이 있습니다. 나름의 시행착오를 겪었던 탓일까요? 어도비가 더 이상의 실수는 없다는 느낌으로 최근 강공을 펼치고 있습니다. 그 중심에는 바로 보안 팀이 자리하고 있습니다.



생명 주기 기반 보안성 확보 전략의 중요성


어도비는 아래 그림과 같은 보안 조직을 운영하고 있습니다. 언뜻 보기에도 다양한 기능과 역할을 하는 큰 구조의 조직이란 것이 느껴집니다. 사실 조직이야 맘만 먹으면 만들 수 있는 것이고요.



어도비가 강조하는 보안 전략의 핵심은 바로 Adobe Secure Product Lifecycle (SPLC) 입니다. 이게 뭐냐 하면 한 마디로 어도비의 모든 솔루션은 개발 시점부터 서비스 제공까지 생명 주기 차원에서 보안에 대한 고려를 하기 위한 일종의 절차입니다. 최근 몇 년 사이 외주 개발 현장이나 제품 개발에 시큐어 코딩 이야기가 많은 것 아시죠? 개발 단계에서는 시큐어 코딩 관점에서 접근을 하고 운영 단계에서는 흔히 말하는 제로 데이 공격에 대비한 보안 취약점 분석 및 패치 제공 등을 하나의 정책과 절차 상에 묶어 낸 것이 바로 SPLC입니다.




사실 이는 새로운 접근이 아닙니다. 마이크로소프트가 오래 전부터 Security Development Lifecycle (SDL) 아래 제품을 개발한 것이 대표적인 예입니다. 내용을 보면 마이크로소프트의 SDL이나 어도비의 SPLC이나 거기서 거기입니다.




당해봐야 챙긴다! 눈 앞의 불만 끌 것이 아니라 근본적인 해결책을 찾는 것이 중요


마이크로소프트와 어도비의 움직임은 한 가지 공통점이 있습니다. 당하고 나서 그 심각성을 인지하고 진지하게 조직, 정책, 절차 관점에서 대안을 마련했다는 것입니다. 이 점은 국내 업체들도 좀 배워야 하지 않을까 합니다. 사건 사고가 났다면 그 대응을 표면적인 처리에 그칠 것인지 근본적인 방안을 마련할 것인지? 누구나 후자가 더 바른 방향이라 여길 것입니다. 장사 하루 이틀 할 것이 아니라면 말이죠!