SDLC 전반 위험 징후 탐지해 클라우드 위협 선제 차단해야
[데이터넷] 소프트웨어 공급망이 공격자들의 중요한 먹잇감이 되고 있다. 복잡한 공급망의 한 지점만 침투하면 공급망에 연결된 모든 조직을 공격할 수 있기 때문이다. 보안에 소홀한 SW 개발사, 깃허브와 같은 코드 저장소, 오픈소스 취약점 등은 공급망 공격에 매우 취약하다. 대형 글로벌 기업의 코드서명 인증서가 탈취도 공격에 악용되고 있기도 하다. 소프트웨어 공급망 공격 동향을 분석하고, 필요한 대안을 제안한다.<편집자>
소프트웨어 공급망 보호를 위해 애플리케이션 보안 테스팅(AST) 도구를 사용하는 것이 일반적이지만, 런타임 환경에서 발생하는 문제는 본질적으로 AST가 담당해야 하는 부분은 아니다. 그런데 현재 클라우드는 개발 즉시 서비스하는 데브옵스 환경이 자리를 잡았기 때문에 개발 중 SAST, 테스트 단계에서 DAST, 오픈소스를 사용하면 SCA를 사용해 점검하는 전통적인 방식은 맞지 않다.
파스 아피셀라(Pas Apicella) 스닉 APJ 수석 엔지니어는 OSBC 컨퍼런스에서 “기존의 데브옵스 사이클은 깨졌다. 클라우드 네이티브 애플리케이션에 대한 지속적인 테스트와 수정이 이뤄져야 하는데, 개발자들은 너무 많은 보안경고로 인한 피로를 호소하고 있다. 보안인력은 너무 적어 이러한 문제를 해결하지 못한다”며 클라우드 네이티브 환경을 위한 보안방법이 필요하다고 강조했다.
클라우드 네이티브 환경의 소프트웨어 보안은 개발자가 코드 저장소에 저장한 후 커밋하면 자동화 프로세스에 따라 코드가 실행되고 배포된다. 이 과정에서 자동으로 보안 검사가 이뤄지도록 해야 시간 지연 없이, 개발·테스트·보안·운영조직 간 갈등 없이, 휴먼에러 없이 보안 점검이 완료된 서비스만 배포될 수 있다.
박인우 아쿠아시큐리티코리아 수석은 “우리나라에서도 코로나19로 클라우드 도입 속도가 빨라지면서 데브옵스 채택률이 높아졌고, 클라우드 네이티브 전환도 신속하게 이뤄지고 있다. 그런데 적정한 수준의 보안이 적용되지 않는 경우가 많다. 클라우드 네이티브의 자동화된 파이프라인내에 보안이 반드시 통합돼야 한다”고 지적했다.
보안 우선순위 높여야 비즈니스 연속성 보장
컨테이너와 쿠버네티스 보안 문제는 비즈니스에 상당한 영향을 미치고 있다. 레드햇 ‘2023 쿠버네티스 보안 현황’ 보고서에서는 지난 12개월간 컨테이너와 쿠버네티스 보안 인시던트의 49%가 런타임 단계에서 발생했으며, 빌드/배포 단계에서도 거의 동일한 수준으로 영향을 미쳤다는 사실이 드러나기도 했으며, 쿠버네티스 구성오류로 인한 사고를 경험했다는 응답자가 45%, 보안 문제로 클라우드 네이티브 도입이 지연됐다는 응답자가 67%에 이른다.
보고서에서는 “보안을 후순위로 고려하면 클라우드 네이티브를 통해 얻을 수 있는 민첩성을 누릴 수 없다. 보안이 클라우드 네이티브 툴에 통합돼 운영 체제 기반부터 애플리케이션 수준까지 보호할 수 있어야 한다”며 “보안을 조기에 우선순위로 고려했을 때 민감한 데이터, 지적재산, 고객 정보 등의 중요한 자산을 보호하기 위해 더 많은 투자를 하게 된다. 규제 요구사항 충족과 비즈니스 연속성 보장, 고객 신뢰 유지의 효과를 누릴 수 있다”고 설명했다.
쿠버네티스 보안을 위한 고려사항
● 쿠버네티스 네이티브 보안 아키텍처와 제어 사용
쿠버네티스 네이티브 보안은 쿠버네티스의 풍부한 선언적 데이터와 기본 제어를 사용해 몇 가지 주요 보안 혜택을 제공한다. 쿠버네티스에서 사용 가능한 선언적 데이터를 분석하면 구성 관리, 컴플라이언스, 세분화, 쿠버네티스 관련 취약성에 대한 위험 기반 인사이트를 통해 보안을 강화할 수 있다.
애플리케이션 개발과 보안을 위해 동일한 인프라와 제어 기능을 사용하면 더 빠르게 문제를 해결할 수 있다. 쿠버네티스가 인프라로 확장하는 것과 동일한 자동화와 확장성 혜택을 얻도록 해 운영 충돌을 방지한다.
● 개발·구축·배포·런타임 전체에 보안 적용
코드를 빠르게 제공하는 것이 핵심인 개발자와 데브옵스 팀에서 보안은 비즈니스를 저해하는 요인으로 여겼다. 그러나 컨테이너와 쿠버네티스를 사용하면 개발자가 처음부터 자산에 강력한 보안을 구축할 수 있도록 지원하고, 보안이 비즈니스 액셀러레이터 역할을 해야 한다. 데브옵스 모범 사례와 내부 제어 기능을 통합하는 컨테이너와 쿠버네티스 보안 플랫폼을 도입해야 하며, 개발자가 기능 제공에 집중할 수 있도록 쿠버네티스 자체 구성의 보안 상태를 평가할 수 있어야 한다.
● 데브옵스를 데브섹옵스로
대부분의 조직이 컨테이너와 쿠버네티스 보안을 단독으로 책임지는 명확한 역할이나 팀을 보유하지 않고 있다. 보안 툴링은 보안 팀과 운영 팀에서 데브옵스와 개발 팀에 이르는 다양한 팀을 연결할 수 있어야 한다. 이 플랫폼을 효과적으로 사용하려면 컨테이너화된 쿠버네티스 기반 환경에서 적절한 보안 제어를 구축해야 하며, 위험을 적절히 평가해야 한다. 개발자에게 CVSS 점수가 7 이상인 발견된 취약점 39개를 모두 수정하도록 지시하는 것은 비효율적이다. 담당 개발자에 대해 해당 취약점에 노출된 세 가지 배포를 식별하고 이러한 배포가 위험한 이유를 제시하면 보안 상태를 개선할 수 있다.
(자료: 레드햇 ‘2023 쿠버네티스 보안 현황’)
모든 코드 무결성 검증하는 공급망 보호 솔루션
컨테이너·쿠버네티스 보안 분야에서는 아쿠아시큐리티가 가장 앞선 기술을 제공한다. 이 분야의 전문기업으로 시작해 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)으로 확장하고 있는 아쿠아시큐리티는 클라우드 네이티브 애플리케이션 타깃 공격 차단, 클라우드 워크로드·컨테이너 구성오류와 사용자 실수로 인한 위협 예방, 클라우드 공격 탐지와 대응 등의 기능을 단일 플랫폼에서 제공한다.
아쿠아시큐리티는 소프트웨어 공급망 보호를 위해 모든 링크를 분석하고 코드 무결성을 보장하며, 공격표면을 제거한다. 모든 단계에서 코드와 이미지를 스캔해 취약성과 잘못된 IaC, 노출된 비밀, 멀웨어를 찾아 제거해 시프트 레프트(Shift-Left)를 이행하도록 한다.
데브옵스 도구 보안 상태 모니터링과 보안제어 우회를 탐지하고, CI/CD 파이프라인 전체에서 아티팩트를 검증하기 위해 디지털 서명된 SBOM을 생성하고 무결성 게이트를 구현한다. CI/CD 파이프라인의 무결성 스캐너를 제공해 의심스러운 행위와 멀웨어를 탐지하며, 아쿠아 노틸러스 팀이 정의한 시그니처를 기반으로 현재 활동중인 클라우드 네이티브 공격 기반 제로데이 위협을 탐지한다.
미국 사이버보안 행정명령을 준수하는 아쿠아시큐리티의 SBOM은 개발자가 코드를 커밋한 순간부터 빌드 프로세스를 통해 새로운 최종 아티팩트가 생성될 때까지 모든 단계와 작업을 기록한다. 코드 서명을 통해 사용자는 코드 기록을 확인하고 자신이 만든 코드가 개발 도구 체인에서 끝나는 코드와 동일하다는 사실을 확인하도록 해 공급망 공격에 악용당하지 않게 한다.
CI/CD에 대한 최소권한 액세스로 제로 트러스트 원칙의 데브옵스 플랫폼 접근제어를 적용, 위협 행위자가 CI/CD 파이프라인에 침투하지 않도록 하며, SDLC 전체에서 사용자의 행위를 모니터링하며, 규제준수 여부를 확인한다.
박인우 아쿠아시큐리티 수석은 “SBOM 자체가 공급망을 보호하는 기술을 갖는 것은 아니며, 실제 운영환경에서 SBOM을 이용해 취약점 영향받는 시스템을 찾아 제거해야 한다. 아쿠아 SBOM은 전체 클라우드 애플리케이션에서 특정 취약점을 즉시 찾아 알려줘 빠르게 위협을 완화할 수 있게 한다”고 말했다.
그는 “아쿠아시큐리티의 CNAPP은 공급망 보호를 포함한 클라우드 환경 전반을 안전하게 운영할 수 있는 기능을 갖추고 있다. 단일 플랫폼에 고객이 필요로하는 모듈을 쉽게 추가할 수 있어 클라우드에 영향을 미치지 않고 안전하게 운영할 수 있게 하며, CNAPP 운영을 위한 가이드를 제공해 고객들이 클라우드 네이티브 보안에 쉽게 다가갈 수 있게 한다.
한편 아쿠아시큐리티는 클라우드 보안 형상관리(CSPM) 솔루션 ‘실시간 CSPM’를 추가하면서 구성오류로 인한 위협 방어 역량을 한층 강화했다. 이 솔루션은 실시간으로 클라우드 보안위험을 시각화하며, 상관있는 결과를 연결시키며, 스마트한 인사이트를 활용해 실질적인 클라우드 위험을 확인하는데 집중한다.
