저변 넓히는 로우코드, 보안 취약점 주의

[지디넷코리아]

디지털전환(DX)가 본격화되며 노코드, 로우코드(NCLC)와 로봇 프로세스 자동화(RPA) 등 업무를 자동화하는 서비스가 전 산업에 걸쳐 빠르게 확산되고 있다.

다만 업무 혁신을 위해 자동화 툴을 무분별하게 도입하는 과정에서 보안취약점이 발생할 수 있어 주의가 요구된다.

28일 관련 업계에 따르면 마이크로소프트(MS), 구글, SAS 등 주요 IT기업에서 자동화 서비스를 선보이고 있으며 이를 도입하는 기업 비율이 가파르게 성장 중이다. 하지만 도입 및 운영 과정에서 보안 문제가 종종 발생하는 것으로 나타났다.

지난 2021년 업가드 리서치는 마이크로소프트의 파워앱스 포털을 통해 1천 개의 앱에서 3천 800만 건의 개인정보가 노출된 바 있다고 밝혔다. 이로 인해 마이크로소프트, 아메리칸 항공, JB헌트, 인디애나, 메릴랜드, 뉴욕 등 47개 기관과 민간 기업에서 사회보장번호, 직원 아이디, 이메일 주소 등이 노출됐다.

해당 사고는 시스템 자체의 문제가 아닌 도입 조직의 직원이 자동화 도구 파워앱스를 이용해 앱을 만드는 과정에서 비공개로 처리되야 할 데이터를 모두 공개처리해 발생한 것으로 나타났다.

이 밖에도 오픈웹앱보안 프로젝트(OWASP)에서 조사한 결과 관리자 비밀번호를 소홀하게 관리해 사용 권한을 탈취당하거나, 보안이 부족한 외부 환경까지 기능을 공유해 내부망까지 침투를 허용하는 등이 보안 문제가 발생하는 것으로 나타났다.

이들은 보안취약점 발생 원인으로 비개발자의 참여와 인공지능(AI) 도입 확대를 지목했다. 개발 관련 지식을 충분히 갖추지 못한 실무자가 개발에 참여하게 되면서 개발한 앱이나 데이터가 얼마나 중요한지 인식하기 어렵다는 설명이다. 이로 인해 충분한 보안 환경을 갖추지 못해 취약점이 발생할 수 있다는 지적이다.

더불어 실무자들이 각자 만들어 사용하는 만큼 수많은 앱이 시스템 내에 생성되어 중복되는 기능이 늘어나거나, 더 이상 사용하지 않는 앱이 축적되는 등의 문제가 발생할 수 있다. 더 이상 사용하지 않는 앱은 관리가 어려워지면서 보안 취약점으로 이어질 가능성이 크다.

또한 챗GPT 등 전 산업에 걸쳐 AI 도입이 가속화되면서 AI 학습을 위한 데이터셋 등을 구축하는 과정에서 유출이 발생하거나, 보안 시스템 구축 등이 우선 순위에서 밀린다는 설명이다.

보안 기업들은 이러한 위협을 줄이기 위한 방안을 제시했다. 먼저 계정 탈취를 막기 위해 외부 접근의 경우 전용 애플리케이션, 서비스 계정을 사용하고 관리자 계정의 경우 패스키 등 2차 인증을 적용할 것을 권고했다.

또한 민감한 데이터의 경우 외부 접근을 제한하고, 연결이 필요한 사용자나 앱에 한정해 검증을 거친 후 접근할 수 있는 프로세스를 구축해야 한다. 외부 구성 요소를 연결할 경우 충분히 신뢰성을 확보한 경우로 한정해야 한다.

더불어 모든 앱과 데이터를 사용 중인 사용자를 한눈에 확인하고 이상 접근을 즉시 체크할 수 있는 모니터링 환경을 구축해야 한다.

특히, 보안기업들은 자동화 도구를 사용하는 모든 관계자를 대상으로 지속적인 보안 교육을 실시해 사고를 미연에 방지해야 한다고 지적했다.

노코드 시큐리티의 보안 연구원은 “현대 IT기술이 역동적으로 발전하며 LCNC와 RPA가 기업에 필수적인 요소로 발전하고 있다”며 “하지만 이러한 혁신의 과정에도 심각한 보안 격차로 인해 피해를 보는 기업들이 늘어나고 있다”고 말했다.

이어서 “이러한 보안 위협은 기업의 눈에 띄지 않게 침입해 막대한 피해를 초래할 수 있다”며 “이제 기업들은 생산성 향상과 함께 보안에 대한 인식을 높이고 시스템 전체를 탐지 수 있는 통찰력을 갖춰야 한다”고 조언했다.