핀테크 앱 개발에 오픈 소스 코드를 사용하는 것이 안전한가요?

2023년 4월 13일 TuxCare 홍보팀

핀테크 애플리케이션에는 특히 강력한 보안 태세가 필요합니다. 결국, 고객의 금융 데이터(또는 더 당황스러운 것은 돈)를 보호하는 것이기 때문입니다.

금융 서비스 제공업체는 해커들에게 수익성이 좋은 표적이 되며, 공격에 성공하면 사용자와 핀테크 앱을 소유하고 운영하는 조직에 큰 위험을 초래합니다. 그렇다면 핀테크 개발자는 비상업적 오픈 소스 코드를 사용해야 할까요?

이 글에서는 핀테크 개발자가 오픈 소스 코드를 보호하기 위해 할 수 있는 일을 포함하여 위험에 대해 논의해 보겠습니다.

핀테크 소프트웨어 개발을 위한 까다로운 보안 과제

핀테크 애플리케이션에는 높은 위험이 수반되기 때문에 사이버 보안 요구 사항이 특히 까다롭습니다. 핀테크의 일반적인 사이버 보안 위험과 과제에는 클라우드 컴퓨팅 문제, 멀웨어 공격, 타사 액세스, 시스템 복잡성 및 호환성, 자금 세탁 위험, 신원 도용 및 인증, 그리고 가장 중요한 규정 준수 등이 있습니다.

예를 들어, 전자 결제와 관련된 보안을 보장하기 위해 많은 관할권에서 데이터 보안 유지에 대한 구체적인 규정이 포함된 결제 서비스 지침(PSD2)을 시행하고 있습니다. 미국에서는 결제 카드 산업 데이터 보안 표준(PCI DSS)이 결제 카드의 데이터 수집, 처리 및 사용을 규제하지만, 이는 전 세계적으로 적용되는 표준입니다.

따라서 핀테크 앱은 사이버 공격의 위험뿐만 아니라 규정 미준수의 위험에도 노출되어 있습니다. 보안 실패는 금방 큰 결과를 초래할 수 있습니다. 그렇다면 "무료" 코드에 의존하는 것이 좋은 생각일까요?

오픈 소스 또는 상용 코드 중 무엇이 데이터 보안을 유지하나요?

이는 뜨거운 논쟁거리이며, 애플리케이션 코드에 대한 대가로 돈을 주고받기 때문에 유료 상업용 코드가 더 안전하다는 정답은 없습니다.

오픈 소스 코드는 누구나 볼 수 있기 때문에 누구나 볼 수 있기 때문입니다.. 따라서 이론적으로는 오픈 소스 코드의 버그가 발견될 가능성이 더 높습니다. 반면에 올바른 사람들이 오픈 소스 코드를 비판적으로 검토하거나 개발자가 결함을 발견하려는 동기를 가지고 있다는 보장은 없습니다. 실제로는 위협 행위자가 결함을 찾고 있을 수도 있습니다.

그러나 공급업체가 코드에 결함이 있는지 검사할 보안 연구원을 배치하지 않을 수 있고 마감일을 맞추기 위해 서둘러 코딩을 진행할 수 있으므로 영리를 목적으로 하는 오픈 소스 상용 소프트웨어가 반드시 더 안전하다고 할 수는 없습니다.

궁극적으로, 개발자는 대가를 받든 받지 않든 실수를 저지르기 때문에따라서 오픈 소스 소프트웨어와 비공개 소스 소프트웨어 모두 보안을 검토하고 테스트하는 것이 중요합니다. 개발자에게 이는 두 코드 베이스를 모두 똑같이 주의해서 다루어야 한다는 것을 의미합니다.

오픈 소스 보안은 모든 사람의 관심사입니다.

하지만 여기서 흥미로운 점은 상용 코드는 일반적으로 오픈 소스 코드 구성 요소에 의존하기 때문에 조직이 대부분 상용 파트너에 의존하더라도 애플리케이션에 오픈 소스 코드를 사용하고 있을 가능성이 높다는 것입니다.

본질적으로 오픈 소스 라이브러리와 패키지가 확산되고 있습니다. 클라우드 기반 애플리케이션에서는 일반적으로 여러 오픈 소스 라이브러리와 서비스가 기술 스택에 통합되어 개발자가 기존 작업의 이점을 활용할 수 있습니다.

그러나 경우에 따라 공격자에게 네트워크 침입을 위한 게이트웨이를 제공하기도 합니다. 이러한 오픈 소스 구성 요소에는 프로덕션 환경에 침투할 수 있는 취약점이 있을 수 있으며, 빌드 프로세스 후반이나 배포 후에 발견될 경우 프로젝트 지연으로 이어질 수 있습니다.

애플리케이션이 취약점이 포함된 패키지를 호출할 때 간과하기 쉽기 때문에 종속성이 복잡하게 얽혀 있는 상황은 뚜렷한 위협이 될 수 있습니다. 개발자가 주로 상용 코드를 사용하든 오픈 소스 코드를 사용하든 오픈 소스 취약점은 핀테크 개발 프로세스의 일부입니다.

보안을 달성하기 위한 데브섹옵스에 집중하기

최신 소프트웨어 개발에는 일회성 솔루션이 아닌 지속적인 보안 프로세스가 필요하며, 코드 기반이 상용인지 오픈 소스인지 여부는 중요하지 않습니다. DevSecOps로 알려진 이 접근 방식은 개발, 보안 및 운영 팀 간에 보안에 대한 책임을 공유하는 것입니다.

위협 모델링, 보안 테스트 도구, 침투 테스트 및 감사가 모두 CI/CD 파이프라인에 통합되어 있습니다. 또한 개발자는 소프트웨어 구성 분석을 사용하여 개발 프로세스 전반에 걸쳐 오픈 소스 구성 요소를 모니터링하고 데이터 보안을 유지하기 어렵게 만드는 알려진 주요 결함을 감시할 수 있습니다. 이러한 협업 접근 방식은 핀테크 앱을 위한 더 빠르고 안전한 소프트웨어 제공으로 이어집니다.

물론 다른 모든 좋은 조언도 유효합니다. MFA, 강력한 비밀번호, 자격 증명 관리, 엄격한 권한 부여와 같은 모범 사례를 일관되게 적용하세요. 모니터링과 테스트를 통해 침입자와 결함을 식별할 수도 있습니다. 라이브러리와 종속성을 포함하여 사용 중인 도구와 기본 빌딩 블록을 이해하세요.

소프트웨어 보안에서 가장 중요한 요소는 단연 패치입니다. 포괄적인 패치는 무료 소프트웨어를 사용하든 상용 소프트웨어를 사용하든 알려진 취약점으로부터 보호합니다. 하지만 지속적으로 패치를 적용하는 것은 어렵고 시간이 많이 걸리기 때문에 우선순위가 가장 높은 취약점만 해결하는 경우가 많습니다.

또한 패치를 적용하려면 재시작 또는 재부팅이 필요할 수 있으며, 개발팀은 가용성을 유지하기 위해 패치를 지연하거나 피할 수 있습니다. 실시간 패치는 해결책으로 고려할 가치가 있습니다..

결론

문제는 핀테크 앱에서 오픈 소스 코드를 사용하는 것이 안전한지 아닌지의 여부가 아닙니다. 오픈 소스 코드는 어디에나 존재하며, 핀테크 애플리케이션에도 언젠가는 포함될 것입니다. 오픈 소스 코드를 더 많이 사용해야 할까요, 아니면 더 적게 사용해야 할까요? 이는 또 다른 질문이지만, 오픈 소스 코드가 본질적으로 안전하지 않다고 단정할 수는 없습니다.