연속 보안 살펴보기

  • 6분

연속 보안은 DevOps 분류의 8가지 기능 중 하나입니다.

연속 보안이 필요한 이유 알아보기

사이버 범죄는 우리가 살고 있는 디지털 시대에 불가피한 현실입니다. 많은 조직이 가해를 목적으로 하는 범죄자나 재미를 목적으로 하는 해커들로부터 매일 공격을 받고 있습니다. 당사 조직도 타사 서비스의 사용자로서 이러한 공격의 대상이 될 수 있습니다.

다음은 몇 가지 실제 사례입니다.

회사 실제 사례
Yahoo에 영향을 주는 문제 아이콘Yahoo 2013년에 30억 개의 Yahoo 사용자 계정이 데이터 도난의 영향을 받았습니다. 조사 결과 도난 당한 정보에 일반 텍스트로 된 암호, 지불 카드 데이터 또는 은행 계좌 세부 정보는 포함되지 않은 것으로 나타났습니다.
Uber에 영향을 주는 문제 아이콘Uber 2016년에 해커들이 승객 5,700만 명의 개인 정보에 액세스했습니다. 보안 위반 당시 Uber에서는 해커에게 데이터를 파기하는 조건으로 10만 달러를 지불했습니다. Uber에서는 규제 당국이나 사용자에게 해당 정보를 도난 당한 사실을 알리지 않았고 1년이 지난 후에 보안 위반 사실을 공개했습니다.
Instagram에 영향을 주는 문제 아이콘Instagram 2017년 Instagram 해킹으로 인해 수백만 개의 계정이 영향을 받아 사용자들의 전화번호가 노출되는 사태가 발생했습니다. 해킹된 전화 번호는 사람들이 피해자의 연락처 정보를 검색할 수 있는 데이터베이스에 올려져 개당 10달러에 거래되었습니다.
Facebook에 영향을 주는 문제 아이콘Facebook 2018년에 해커들이 Facebook 사용자 1,400만 명의 상세 개인 정보를 해킹했습니다. 해킹된 데이터에는 검색 결과, 최근 위치 및 주거지가 포함되었습니다.
Equifax에 영향을 준 문제 아이콘Equifax 2017년 3월 6일, Apache Foundation은 Struts 2 프레임워크에서 새로 발견된 취약성과 관련 패치를 발표했습니다. 얼마 지나지 않아 미국 내 많은 소비자의 재정 상태를 평가하는 신용 보고 기관 중 하나인 Equifax에서 일부 고객에게 보안 위반 사실을 알렸습니다. 2017년 9월 Equifax는 전 세계에 보안 위반을 공개적으로 발표했습니다. 이 보안 위반은 미국 내 1억 4,540만 명의 소비자와 캐나다 내 8,000명의 소비자에게 영향을 미쳤습니다. 영국에서는 70만 명의 소비자에게 영향을 미치는 민감한 데이터를 포함하여 총 1,520만 개의 기록이 훼손되었습니다. 2018년 3월 Equifax는 이번 해킹으로 인해 영향을 받은 미국 소비자가 처음 공개했던 것보다 240만 명 더 많음을 발표했습니다.

Michael Hayden(전 NSA 및 CIA 국장)은 여러분이 보안 위반을 당했다고 가정하라고 조언하면서 각 수준에서 심층 방어 장치를 구축하는 것이 조직의 보안 태세의 핵심 사항이 되어야 한다고 말합니다. Hayden에 따르면 회사에는 두 가지 유형이 있습니다. 보안 위반을 당한 사실을 아는 회사와 아직 모르는 회사입니다.

DevSecOps 방식을 채택하게 한 Microsoft 제품 그룹의 원칙은 다음과 같습니다.

  • 자신이 보안 위반을 당했다고 가정한다.
  • 이미 네트워크에 내부 액세스 권한을 가진 불량 행위자가 있다.
  • 심층 방어는 필수적이다.

조직은 어느 곳에나 애플리케이션을 설치합니다. 조직은 웹과 모바일 애플리케이션에 의존하여 고객의 참여를 끌어내고 소프트웨어에 의존하여 대량으로 밀려드는 새로운 IoT(사물 인터넷) 디바이스를 실행합니다. 그러나 이러한 앱은 회사를 더 많은 위험에 노출시키고 있습니다. 자신의 회사에서 지난 12개월 동안 보안 위반을 경험한 글로벌 네트워크 경로 보안 의사 결정권자들은 외부 해커가 어떤 방식으로 공격에 성공했는지에 대한 질문을 받았을 때 가장 많이 사용된 두 가지 공격 방법은 직접적인 웹 애플리케이션 공격과 취약한 소프트웨어를 활용하는 것이었다고 말합니다. 가까운 미래에 기업에서 이러한 취약한 대상을 통해 유입하는 고객과 데이터는 더욱 증가할 것입니다. Forrester에서는 2022년까지 대부분의 기업에서 디지털 제품 및/또는 온라인으로 판매되는 제품이 총 판매량에서 차지하는 비중이 76%~100%로 증가할 것으로 예측합니다. 따라서 보안 전문가는 애플리케이션 보안에 집중해야 합니다.

다이어그램은 애플리케이션이 가장 일반적인 공격 벡터로 남아 있음을 보여 주는 2020년 애플리케이션 보안 상태의 결과를 보여 줍니다. 외부 공격의 42%는 소프트웨어 취약성을 통해 수행되었습니다. 35%는 웹 애플리케이션을 통해 수행되었습니다. 27%는 도난당한 자격 증명을 사용하여 수행되었습니다. 25%는 손실되거나 도난당한 자산의 악용으로 인한 것이며, 24%는 전략적 웹 손상으로 인한 것이었습니다. 24%는 분산 서비스 거부 공격이었습니다. 22%는 모바일 맬웨어 때문이었습니다. 21%는 DNS 공격이었습니다. 18%는 피싱 때문이었습니다. 15%는 랜섬웨어 공격이었습니다. 공격의 6%는 사회 공학을 통해 투입되었습니다.

이미지 원본: 2020년 애플리케이션 보안 상태, Forrester Research, Inc., 2020년 5월 4일

연속 보안이란?

보안은 기술, 프로세스 및 제어를 적용하여 시스템, 네트워크, 프로그램, 디바이스 및 데이터를 무단 액세스 또는 범죄 목적의 사용으로부터 보호하는 것입니다.

보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용에 대항하여 기밀성, 무결성 및 가용성에 대한 확신을 제공합니다.

중요

보안은 실수가 아닌 고의적인 공격에 중점을 둔 것임을 명확히 하는 것이 중요합니다. 왜냐하면 어디에 중점을 두느냐에 따라 요구되는 대책이 달라지기 때문입니다. 실수에 중점을 두는 경우 단순한 알림이나 확인 요청으로 충분하지만 악의적 행위에 중점을 두는 경우는 그렇지 않습니다.

연속 보안은 보안이 소프트웨어 제공 수명 주기의 핵심 요소가 되도록 보장하는 방식입니다. DevOps의 연속 보안에서는 보안을 보안 문화권, 보안 소프트웨어 제공 및 보안 인프라를 포함하여 전체적인 관점에서 다루어야 합니다.

연속 보안에는 사고방식의 변화, 교육 및 자동화가 필요합니다.

연속 보안을 구축하기 위해 갖춰야 할 세가지 요소가 있습니다.

  • 보안에 강력하게 집중하는 조직 문화
  • 보안 관련 최신 권장 사례의 도입을 통한 인프라 구현 및 운영
  • Microsoft SDL(Security Development Lifecycle)과 같이 보안에 초점을 둔 소프트웨어 제공 프로세스

연속 보안을 포함하여 DevOps의 모든 기능과 관련하여 고려해야 할 세 가지 원칙은 다음과 같습니다.

원칙 Description
시프트 레프트 아이콘
시프트 레프트		 시프트 레프트란 소프트웨어 제공 프로세스의 후반이 아닌 초기에 보안 활동을 예상하고 수행하는 것을 의미합니다. 연구 결과는 개발 주기의 초기에 버그를 수정할 때 비용과 손실이 크게 감소한다는 사실을 보여줍니다.
자동화 아이콘자동화 반복적인 작업의 자동화는 실수를 범할 가능성을 줄여줍니다. 이 접근 방법을 취하면 배포와 같이 일반적으로 빈번하지 않은 작업 및 프로세스가 보다 빈번하게 수행되도록 할 수 있습니다.
지속적인 개선 아이콘지속적인 개선 지속적인 개선은 현재의 동작을 분석하고 최적화가 가능한 동작을 확인함으로써 달성됩니다.

다이어그램은 연속 보안의 요소인 왼쪽 이동, 지속적인 개선 및 자동화를 보여 줍니다. 이러한 요소는 보안 인프라, 보안 문화, 보안 소프트웨어 제공과 결합되며 보안에 대한 전체적인 접근 방식을 나타냅니다.

중요

시프트 레프트, 자동화 및 지속적인 개선이라는 세 가지 원칙이 연속 보안의 요소인 문화, 소프트웨어 제공 및 인프라와 결합될 때 보안에 대한 전체적인 접근 방법이 수립됩니다.