“보안 내재된 개발자 플랫폼으로 SW 공급망 위협 완화” - 데이터넷
“보안 내재된 개발자 플랫폼으로 SW 공급망 위협 완화” - 데이터넷
[데이터넷] 소프트웨어 공급망 공격 위협을 낮추고 안전한 애플리케이션 서비스를 공급하기 위해서는 설계 단계부터 보안을 내재화(Secure by Design) 해야 한다. 이론상 쉬운 개념이지만 현실에 적
www.datanet.co.kr
- 보안 내재화의 필요성
- 소프트웨어 공급망 공격 위협이 증가함에 따라 설계 단계부터 보안을 고려한 개발 필요
- 개발자에게 지나친 보안 책임을 전가할 경우 개발 생산성이 저하되고 조직 간 갈등 발생 가능
- 보안 내재된 개발자 플랫폼(Secure-by-design Developer Platform)
- 개념: 개발자가 보안을 따로 고려하지 않아도 보안이 자동으로 내재된 소프트웨어를 개발할 수 있는 환경 제공
- 구성 요소
- 보안 자동화: 개발자 플랫폼에 보안 활동을 통합해 최소 실행 원칙 적용
- SCA(지속적 소프트웨어 구성 분석): 오픈소스 및 타사 구성 요소를 지속적으로 점검
- AST(애플리케이션 보안 테스트): 서비스형 보안 테스트로 셀프 온보딩 및 대시보드 제공
- ASPM(애플리케이션 보안 태세 관리): 취약점과 잘못된 설정을 탐지하고 수정
- 보안 내재화를 위한 주요 기능
- 지속적 스캔: 코드 리포지토리와 배포 파이프라인에서 잠재적 위협 요소를 탐지
- 경고 및 패치: 알려진 보안 문제를 실시간 경고 및 적시에 패치 제공
- 취약점 대시보드: 개발자에게 발견된 취약점과 수정 가이드 제공
- 데브섹옵스 성숙도 모델: 보안과 생산성을 동시에 고려한 개발 프로세스 구축
- 사례 연구: 방콜롬비아(Bancolombia)
- 중대한 취약점 수정 작업을 81% 개선
- 취약점 해결 소요 시간을 55% 단축
- 결론
- 소프트웨어 공급망 위협을 줄이기 위해 보안 내재된 개발자 플랫폼의 도입이 필수적
- 보안 활동의 자동화와 개발자 친화적 기능 통합으로 생산성과 보안을 동시에 향상 가능
- 조직은 데브섹옵스 성숙도 모델을 도입해 개발 및 보안 팀 간 협업을 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 금융권 망분리 규제 개선과 생성형 AI 도입 (1) | 2024.12.30 |
|---|---|
| AI 시대의 사이버 보안 위협과 대응 방안 (3) | 2024.12.30 |
| Postman Workspaces에서 API 키 및 민감한 토큰 30,000건 유출 사건 개요 (0) | 2024.12.30 |
| KB금융, 생성형 AI 활용한 혁신금융 도약 (3) | 2024.12.30 |
| 합성데이터 생성·활용 안내서: 안전한 데이터 활용을 위한 가이드 (0) | 2024.12.30 |