내부 개발자 플랫폼에 보안 도구 포함해 대규모 소프트웨어 안전하게 출시해야
[데이터넷] 2026년까지 소프트웨어 개발 플랫폼의 70%가 데브섹옵스를 위해 애플리케이션 보안 도구를 내부 개발자 플랫폼(IDP)에 통합할 것으로 예상되며, 이는 2023년 20%에서 크게 증가한 수준으로 분석된다.
가트너의 ‘애플리케이션 보안 사례 확장을 위한 플랫폼 엔지니어링 분야의 쿨 벤더’ 보고서에서는 “분산된 데브섹옵스 도구 체인으로 인해 일관된 보안정책 시행과 안전한 소프트웨어 출시가 어렵다”며 “소프트웨어 엔지니어링 리더가 플랫폼 팀을 이끄는 경우, 애플리케이션 보안 도구를 IDP에 통합해 안전한 소프트웨어를 대규모로 제공할 수 있게 할 것”이라고 예측했다.
개발자 경험 영향 없이 앱 보안 요구 충족해야
이 보고서에서는 솔라윈즈와 같은 공급망 보안 사고를 막기 위해 엔지니어링 팀이 빌드 아티팩트의 무결성, 출처, 추적성을 보장해야 하며, 개발자 경험에 영향을 미치지 않으면서 애플리케이션 보안 요구를 충족시켜야 한다고 강조했다.
이를 위해 IDP에 보안을 통합해 제품 팀 전반에 걸쳐 일관된 데브섹옵스 운영을 가능하게 해야 한다고 설명했다. 더불어 보안 개발 자동화, 보안 정책 코딩화, 보안 도구 셀프 서비스 접근을 적용해야 하며, 개발자와 개발 과정에서의 서명·검증 등 보안 워크플로우를 자동화해 소프트웨어 아태팩트 무결성을 강화해야 한다고 덧붙였다.
IDP에 보안을 통합함으로써 얻을 수 있는 이점은 소프트웨어 공급망 전반에서 무단 변조 방지, 부결성 향상, 패키지·인프라 보안과 관련한 컴플라이언스 충족 등을 들 수 있다. 또한 신뢰할 수 있는 플랫폼 수를 최소화해 비즈니스 전반에서 소프트웨어 아티팩트의 공급망 수준을 보장할 수 있도록 하며, 플랫폼의 신뢰를 높이고 서비스 전반의 보안과 품질을 일정하게 유지할 수 있다.
이 보고서에서 IDP에 통합될 수 있는 보안 벤더 중 주목할만한 곳으로 아르모(ARMO), 체인가드(Chainguard), 엔도르랩스(Endor Labs), 오엑스시큐리티(OX Security), 셈그레프(Semgrep) 등을 들었다.
아르모는 쿠버네티스 보안 플랫폼 ‘쿠베스케이프(Kubescape)’를 개발해 클라우드 네이티브컴퓨팅파인데이션(CNCF)에 기여했다. 체인가드는 컨테이너 이미지와 소프트웨어 아티팩트 인증 기술을제공해 공급망 보안위협을 최소화하며, 엔도르랩스는 생성형AI를 이용해 의존성 혼동 등의 복잡한 공격까지 찾아낼 수 있다.
오엑스시큐리티는 마이터(MITRE)와 유사한 오픈소스 프레임워크 ‘오픈 소프트웨어 공급망 공격 레퍼런스(OSC&R)’를 주도적으로 이끌었으며, 셈그레프는 소프트웨어 코드 자체에서 SAST와 SCA 기능을 제공해 개발 효율성을 높인다.
