클라우드보안협회(CSA)에서는 SECaaS 형태로 제공하는 솔루션 및 서비스를 12가지 분야로 나누고 있습니다. 몇 년 전부터 애플리케이션들의 보안 취약점을 찾아내는 취약점 검사의 중요성이 부각되면서, 2016년에 ‘취약점 검사’ 분야가 SECaaS에 추가됐습니다.
글로벌 IT 리서치 기관인 가트너에 따르면 92%의 웹 애플리케이션, 81%의 모바일 애플리케이션이 보안문제를 가지고 있는 것으로 조사됐습니다. 애플리케이션의 보안을 향상시키기 위해 소스코드 정적분석, 웹 스캐너를 통한 동적 취약점 점검, 실행중인 애플리케이션을 외부의 공격으로부터 방어하기 위한 자가방어 기능을 사용하고 있습니다. 애플리케이션 보안 제품의 경우 개발/운영시스템과 연계가 중요하기 때문에, 지금까지는 구축형 제품이 높은 비율을 차지하고 있습니다. 하지만 다음 세 가지 측면으로 인해 애플리케이션 보안과 관련된 제품들도 SECaaS를 통해 서비스 받는 경우가 확대될 것으로 전망됩니다.
첫째, 운영시스템과 더불어 개발 시스템도 클라우드로 전환되면서, SECaaS로 제공되는 보안 제품을 적용하는 것이 용이해집니다. 공공 클라우드 외에도 인프라 관리의 효율성과 보안을 같이 고려하여 프라이빗 클라우드를 구성해 사용하는 경우도 있습니다. 이러한 경우에는 SECaaS 서비스 제공 업체에서 프라이빗 클라우드를 통해 SECaaS를 제공해 줄 수 있어, 프라이빗 클라우드 내의 IT 시스템에 대해 애플리케이션 보안을 효과적으로 수행할 수 있습니다.
둘째, SECaaS를 통해 서비스를 받게 되면 비용을 절감할 수 있습니다. 애플리케이션 보안 검사를 수행하는 방법 및 주기는 애플리케이션 보안 점검 도구 혹은 사내 프로세스에 따라 가변적입니다. 예를 들어, 웹 스캐너와 같은 동적 웹 애플리케이션 보안취약점 점검 도구의 경우 릴리즈 직전이나 운영중인 애플리케이션을 주기적으로 검사합니다. 사용빈도가 많지 않음에도 불구하고 구축형 제품을 도입하면 활용도면에서 떨어질 수밖에 없습니다. SECaaS를 통해 필요할 때만 구독하여 서비스를 받게 되면 비용을 줄일 수 있습니다.
셋째, 관리 측면에서 보안 전문가들에 의해 필요 시 손쉽게 컨설팅을 받을 수 있는 것도 장점입니다. 대부분 회사의 보안팀 인력에 비해 확인해야 할 조치 사항이 많으며, 소스코드에서 발생하는 보안문제점들은 보안팀에서 직접 조치가이드를 마련하기 어려운 경우가 있습니다. 외부 컨설팅을 통해 이를 보완할 수 있으나, 컨설팅 인력이 방문하여 확인하는 것에는 비용 및 인력에 한계가 있을 수밖에 없습니다. SECaaS로 애플리케이션 보안 테스팅을 제공받는다면, 컨설팅 인력이 직접 방문하지 않고 SECaaS 서비스내의 결과를 확인할 수 있으며, 진단 결과에 대한 컨설팅까지 쉽게 받을 수 있습니다.
애플리케이션 보안 테스팅 시장에서 SECaaS 분야가 새롭게 부각되고 있으며, 이제는 일반 기업뿐만 아니라 보안에 매우 민감한 금융이나 공공기관에서도 점차 IT 인프라를 클라우드로 이전하고 있습니다. 이러한 흐름에 발맞춰 애플리케이션 보안도 SECaaS를 통해 관리의 편리성, 비용 절감 및 전문 컨설팅 등에서 효율화를 달성할 수 있을 것입니다.
