4차 산업혁명 시대, 디지털 전환과 함께 숙련된 소프트웨어 개발자에 대한 기업 수요가 계속되고 있다. 미국 노동 통계국에 따르면 소프트웨어 개발자는 향후 10년간 22% 성장해 고용시장 전체 평균(4%)을 크게 웃돌 것으로 예측했다.
이러한 개발자에 대한 높은 수요는 코딩을 최소화하는 저코드 플랫폼의 성장으로 이어졌다. 저코드 플랫폼을 사용하면 플러그 앤 플레이(plug-and-play)방식으로 소프트웨어 시스템 및 애플리케이션을 쉽게 만들 수 있다. 시각화를 포함한 프론트엔드 인터베이스와 데이터베이스를 쉽게 결합할 수 있는 도구를 제공한다.
저코드 플랫폼 멘딕스(Mendix)의 최고기술책임자 요한 덴 하안(Johan den Haan)에 따르면, 코로나19 대유행에 기업이 디지털 전환을 추진하며 저코드 성장이 가속화됐다.
그는 "저코드 생태계가 진화하는 것은 비즈니스 혁신을 뒷받침할 것입니다. 데이터 통합, 데이터 과학 통찰력, AI 솔루션 구축, 다중 경험 창출을 위한 드래그 앤 드롭 단순성으로 통합 개발자 경험을 쌓기 위해 기술 스택이 수평적으로 확장될 것입니다."고 말했다.
하지만 아직 저코드 플랫폼과 애플리케이션의 보안과 복원력에 대한 의문이 제기되고 있다. 명령 삽입의 취약성, 버퍼 오버플로와 같은 많은 유형의 보안 문제가 개발자로부터 저코드 플랫폼으로 이동했지만, 이러한 플랫폼 사용자는 여전히 보안에 집중해야 한다.
TechBeacon은 저코드 애플리케이션을 더 안전하고 탄력적으로 유지할 수 있는 방법 5가지를 소개했다.
1. 신규 애플리케이션 개발자 보안 교육 강화
저코드 애플리케이션 개발자는 보통 일반적인 개발자가 아니라, 문제를 해결하기 위해 자신만의 도구를 만드는 비즈니스 사용자들이다. "이들은 보안 코딩 또는 보안 애플리케이션 설계를 밟지 않았기 때문에, 기업이 이를 인식할 필요가 있다"고 비즈니스 인텔리전스 블로그에서 포레스터 리서치(Forrester) 수석 분석가 샌디 카리엘리 (Sandy Carielli)가 강조했다.
그는 "저코드 개발자는 저코드를 활용해 속도와 대응성을 향상시키는 전문 개발자와, IT 및 개발 외부에 상주하는 시민 개발자 두 부류로 나뉩니다. 시민 개발자는 보안 개발 수업을 받은 적이 없을 뿐만 아니라 개발 수업을 전혀 받지 않았을 가능성이 높으므로 공통 애플리케이션 보안 개념이 더 적습니다."고 말했다.
따라서 저코드 플랫폼을 사용하는 기업은 보안에 더 많은 주의가 필요하다. 포레스터는 최근 보고서에서 "저코드 및 서버리스 기술을 애플리케이션의 구성요소로 사용할 수 있는 데브옵스(DevOps) 팀에 보안 옹호자를 포함시키는 것 외에도 저코드 크리에이터인 비즈니스 사용자에게 보안 옹호자를 포함시켜야 한다."고 밝혔다.
2. 저코드 가드 레일이 응용 프로그램을 보호하는 정도를 파악
저코드 개발은 일반적으로 플랫폼 제공자 또는 제삼자가 제작한 제한된 소프트웨어 구성요소 메뉴에서 요소를 선택하는 방법으로 이뤄진다. 따라서 저코드 작성자는 일반적으로 사용하는 플랫폼에서 제공하는 보안 조치에 의존하게 된다.
애플리케이션 보안회사인 베라코드(Veracode)의 공동 설립자이자 CTO인 크리스 와이소팔(Chris Wysopal)은 "기업들은 각 플랫폼의 약점과 애플리케이션 및 데이터 포안을 유지하는 데 필요한 사항을 이해해야 한다."고 강조했다.
와이소팔은 Java가 개발상에서 발생하는 모든 취약성을 제거하지 않은 것처럼, 저코드에서도 동일한 취약성을 가질 수 있다고 말했다. 일반적으로 다른 환경에서 볼 수 있는 취약성을 가진 클래스를 제거하지만 모든 위협을 제거하지는 않는다. 이는 애플리케이션을 보다 안전하게 만드는 데 도움이 된다.
3. 플랫폼마다 다른 리스크에 대해 파악
저코드 플랫폼은 소프트웨어 리스크의 상당 부분을 차지하고 있지만, 기업은 잠재적인 표면 공격을 알기 위해 각 플랫폼의 옵션을 인식할 필요가 있다. 예를 들어 사용자 지정 코드를 추가할 수 있는 플랫폼에서는 사용자 정의 기능과 함께 잠재적인 보안 문제가 발생한다.
서드 파티 구성 요소를 허용하는 저코드 에코시스템은 공격자가 악성 소프트웨어를 만들 가능성이 있다고 포레스터 리서치 애플리케이션 개발 및 제공 그룹 선임 분석가 존 브라틴비치(John Bratincevic)이 말했다.
브라틴비치는 "기술 수준에서는 많은 기술적 실수를 만들지 않기 때문에 더욱 안전하다. 공급업체에서 SQL 쓰기를 허용하지 않으면 SQL을 삽입할 수 없지만, 대부분 사용자가 사용자 지정 기능을 추가할 수 있도록 허용합니다."고 말했다.
예를 들어, 영업 사원은 API 오류로 인한 것과 악성 프로그램 공격으로 인한 것을 포함하여 은행 트로이 목마와 여러 데이터 위반을 처리한 후 개발자를 위한 보안 지침을 문서에 통합하는 작업을 잘 수행했다.
4. 플랫폼의 보안 도구 사용
각 플랫폼은 서로 다른 로깅 및 보안 도구 세트를 제공한다. 기업은 자사 플랫폼 공급자의 보안 접근 방식 및 애플리케이션 보안을 위해 어떤 기능을 사용해야 하는지 알아야 한다.
저코드 개발자들을 위한 보안 특징과 시스템은 여러 면에서 하이 코드 개발자들보다 비즈니스 사용자를 위한 것과 유사하다. 중소기업용 저코드 플랫폼인 에어테이블(AirTable)은 클라우드 사용자를 위한 조언과 유사한 보안 조치를 권장한다. 2단계 인증을 채택하고, 복잡한 암호 및 암호관리자를 사용하며, 재사용을 최소화하고, 싱글 사인 온(single sign-on) 기술과 같은 보안 기능 자동화 방법을 채택한다.
이 밖의 저코드 보안 대책은 SaaS 오퍼링(역할 기반 액세스 제어, 데이터 보안 및 로깅)과 유사하다.
5. 복원에 대한 계획 및 설계
결국 기업은 보안을 더 넓은 계획에 포함시켜야 한다. 저코드 플랫폼의 경우 저코드 애플리케이션 개발 및 관리에 애플리케이션 보안 테스트 및 보고를 통합하는 것을 의미한다.
마이크로 포커스(Micro Focus)의 포티파이(Fortify) 애플리케이션 보안 제품 총괄 매니저인 스콧 존슨(Scott Johnson)은 최근 진정한 탄력적인 시스템에서 개발자들이 코드를 작성하고 커밋하도록 자동화될 것이고, 스캔은 그냥 일어난다고 밝셨다. 목표는 맞춤법 검사기처럼 스스로를 교정하는 코드를 갖는 것이다.
존슨은 차에서 주유 페달을 밟았을 때 차량 내부에서는 많은 일이 일어나지만, 운전자는 엔진이 작동하는 것 외에 다른 어떤 것도 알 필요가 없다는 것에 이를 비유했다.
그는 소프트웨어 개발의 복원력을 높이기 위한 5가지 핵심 영역으로 테스트 자동화, 테스트의 실행 가능한 결과, 보다 빈번함 검색, 광범위한 적용 범위 및 접근 방식의 확장성을 꼽았다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 권위의 역전, 아랫사람의 가스라이팅](/news/data/2025/09/30/p1065588084766229_533_h.png)
![[기고] 필드하키, 남북 평화를 여는 새로운 그라운드](/news/data/2025/09/08/p1065577652443752_295_h.png)
![[윤창원 칼럼] 뜨는 도시, 지는 국가 – 지방정부 국제교류의 자율과 책임](/news/data/2025/08/27/p1065597151274916_658_h.png)
![[김대선 칼럼]“사람이 국력입니다”…대통령 직속 ‘자살대책위원회’가 답입니다](/news/data/2025/08/12/p1065607366087447_381_h.png)
![[기고] 박찬대 ‘유감’](/news/data/2025/07/29/p1065571800897621_913_h.png)
![[기고] 내란종식 완수와 개혁·통합을 이끌 여당 대표의 리더십](/news/data/2025/07/28/p1065575493623584_535_h.png)
