[IT비즈뉴스 김진수 기자] 개발자의 52%만이 새로운 보안 취약점이 공개됐을 때 컴포넌트(Component)를 업데이트하는 것으로 조사됐다. 애플리케이션을 배포할 때 취약점을 테스트하는 개발자 비율도 23%에 불과한 것으로 나타났다.

CA테크놀로지스가 애플리케이션 개발자 400명을 대상으로 실시한 'CA베라코드(CA Veracode)' 보고서에 따르면 응답자의 83%는 상용 혹은 오픈소스 컴포넌트 중 하나 이상을 사용하고 있으며 애플리케이션 개당 평균 컴포넌트 수는 73개에 달한다.

현재 외부 개발사(Third-Party) 컴포넌트가 포함된 애플리케이션 한 개당 평균 71개의 취약점이 보고되고 있으나, 개발자의 23%만이 애플리케이션을 배포할 때 컴포넌트 취약점을 테스트한다고 답했다. 정식 애플리케이션 보안(AppSec) 프로그램을 갖춘 기업은 71%에 불과했다.

조사 결과 기업의 53%만이 모든 애플리케이션 컴포넌트의 사용 현황(Inventory)를 유지하고 있는 것으로 나타났다. 애플리케이션에 내장된 컴포넌트를 파악하기 위해 정기적으로 소프트웨어 구성을 분석하는 기업은 28%에 불과했다.

외부 개발사의 상용·오픈소스 컴포넌트의 유지보수를 개발 부서가 담당한다는 응답자는 44%를 차지해 보안부서(31%)를 넘어서며 컴포넌트 관리 책임이 개발 부서로 점차 이동하고 있는 것으로 나타났다.

피트 체스트나(Pete Chestna) CA 베라코드 개발자 참여 담당 이사는 “개발자가 생각하는 좋은 코드는 곧 안전한 코드를 의미한다. 안전한 코드를 구현하기 위해서는 명확한 보안 정책과 평가 툴이 필요하다”며 “개발자에게 명확한 목표와 툴을 제공하면 소프트웨어 개발 라이프 사이클(SDLC) 초기 단계부터 보안을 통합하고 정보에 입각한 의사결정이 가능하다. 궁극적으로 안전한 소프트웨어를 개발하고 그 결과를 뚜렷하게 개선할 수 있다”고 말했다.