[클라우드 내비게이터-SW 공급망 보안] AI도 공급망 공격에 악용 - 데이터넷
[클라우드 내비게이터-SW 공급망 보안] AI도 공급망 공격에 악용 - 데이터넷
[데이터넷] 클라우드 환경에서는 서드파티 코드로 인한 피해가 빈번하게 발생한다. 클라우드는 비용 절감과 빠른 서비스 개발을 위해 오픈소스, 서드파티 코드 혹은 기존에 개발한 코드를 재사
www.datanet.co.kr
- 소프트웨어 공급망 보안 위협 증가
- 오픈소스 및 서드파티 코드 사용으로 인한 취약점 발생 빈번
- 공격자는 보안 업데이트 파일 배포 과정에서 악성코드 삽입 시도
- 대표적인 사례로 솔라윈즈 공급망 공격, 공동인증서 감염 시도 등이 있음
- AI와 코드 보안
- 생성형 AI를 통해 개발 전문성 없이 코드 작성 가능, 그러나 미처 제거되지 않은 취약점 존재 가능
- AI 코드 어시스턴트 사용 기업 증가, 2028년까지 75% 기업이 도입 예상
- 데브섹옵스(DevSecOps) 파이프라인에 AI 기반 코드 점검 절차 결합 필요
- 오픈소스의 취약점과 공급망 공격
- 오픈소스의 84%는 알려진 취약점 포함
- 북한 배후 공격자들이 오픈소스 저장소를 악용해 악성 패키지 업로드 시도
- 프리랜서 개발자를 속여 악성코드가 포함된 라이브러리 사용을 유도
- 공급망 보호를 위한 보안 프로세스
- 프라이빗 코드 저장소를 통해 승인된 개발자만 코드 접근 가능
- 보안검증 후 코드 적용을 통해 외부 코드의 무분별한 다운로드 방지
- 큐레이션 기능을 통해 소프트웨어 공급망 위협을 줄일 수 있음
- 소프트웨어 구성 분석(SCA)과 SBOM의 중요성
- 소프트웨어 구성 분석(SCA)은 오픈소스 취약점 및 의존성 혼동 탐지 가능
- 소프트웨어 물자명세서(SBOM)는 코드 및 종속성을 추적, 취약점 정보를 지속적으로 제공
- 미국은 정부 소프트웨어 SBOM 제출을 의무화하고 있음
- 애플리케이션 보안 테스트(AST)와 통합 관리
- AST 도구는 정적분석(SAST), 동적분석(DAST), 인터랙티브AST(IAST) 등을 포함
- 애플리케이션 보안 태세 관리(ASPM)를 통해 개발 파이프라인 전반에서 보안 상태를 관리
- 코드사이닝의 필요성
- 코드사이닝은 개발 완료된 소프트웨어의 무결성을 검증하는 필수 절차
- 자동화된 코드 서명 프로세스를 통해 수동 서명 과정에서 발생할 수 있는 보안 문제를 해결
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 구글, 이제 CAPTCHA를 없애야 할 때 (1) | 2024.10.09 |
|---|---|
| 생성형 AI와 사이버 회복탄력성의 도전 과제 (1) | 2024.10.09 |
| 타인 명의 카드 사용 제동, 간편결제 앱에서 강화된 단속 (1) | 2024.10.09 |
| 2024 국정감사: 개인정보 분야 주요 이슈 총정리 (1) | 2024.10.09 |
| 클라우드 보안인증(CSAP) 제도 혼란과 MLS 도입에 따른 불확실성 (1) | 2024.10.09 |