애플리케이션(앱) 개발자 절반은 새로운 보안 취약점이 공개됐을 때도 컴포넌트 업데이트하지 않는 것으로 조사됐다. 앱 배포 시 컴포넌트 취약점 테스트 진행 개발자 비율은 23%에 그쳤다.
한국 CA 테크놀로지스(대표 유재성)가 발표한 'CA 베라코드 보고서'에 따르면 앱 개발자 48%는 보안취약점 공개에도 컴포넌트 업데이트 하지 않는 것으로 나타났다. 보고서는 앱 개발자 400명 대상으로 컴포넌트 안전성과 보안 정책 현황을 조사했다.
이번 조사에서 응답자 83%는 상용·오픈소스 컴포넌트 중 하나 이상을 사용했다. 앱 한 개당 평균 컴포넌트 수는 73개에 달했다.
컴포넌트는 개발자 효율성을 높이지만 보안 위험이 있다. 외부 개발사 컴포넌트가 포함된 앱 한 개당 평균 71개 취약점이 보고된다. 그러나 개발자 23%만 앱 배포 시 컴포넌트 취약점을 테스트한다고 답했다. 정식 앱 보안 프로그램을 갖춘 기업도 71%에 불과했다.
외부 개발사 상용·오픈소스 컴포넌트 유지보수를 개발 부서가 담당한다는 응답자는 44%로 보안부서(31%)를 넘어섰다. 컴포넌트 관리 책임이 개발 부서로 이동한다.
피트 체스트나 CA 베라코드 개발자 참여 담당 이사는 “개발자가 생각하는 좋은 코드는 곧 보안에 안전한 코드”라면서 “이를 구현하기 위해 명확한 보안 정책과 평가 툴이 필요하다”고 말했다.
정영일기자 jung01@etnews.com