“SW, 보안 검사·테스트 없이 출시…마감일 맞추기 위해 보안 프로세스 생략”
[데이터넷] 소프트웨어 공급망 공격이 매우 심각한 위협으로 꼽히고 있는 가운데, 클라우드 개발 시 코드의 안전성을 확인하지 않으며, 보안 문제가 있는 코드가 배포되고 있는 것으로 나타나 위험의 심각성을 더 높이는 것으로 나타났다.
엔터프라이즈 전략그룹(ESG)이 전 세계 IT·사이버 보안 전문가 393명을 대상으로 조사한 ‘클라우드 탐지 및 대응: 엔터프라이즈 요구로 시장 성장’ 보고서에 따르면 응답자의 31%는 잘못된 구성, 취약점, 기타 보안 문제가 있는 새로운 빌드가 프로덕션에 배포되고 있다고 밝혔다. 35%는 보안팀이 개발 프로세스 내에서 가시성과 통제력이 부족하다고 답했고, 34%는 소프트웨어가 보안검사, 테스트 없이 출시되는 것우가 많으며, 33%는 개발자가 마감일을 맞추기 위해 보안 프로세스를 건너뛰고 있다고 밝혔다.
클라우드 잘못된 구성·SW 취약성·권한 계정 오남용으로 공격 당해
이 조사는 소프트웨어 개발 주기 가속화로 인한 과제을 알아보기 위해 진행한 것으로, 조직의 99%가 클라우드 호스팅 애플리케이션, 인프라와 관련된 사이버 공격을 한 번 이상 경험했는데, 초기 침해 원인이 주로 잘못된 구성, 소프트웨어 취약성, 권한 있는 계정 오용이었다. 이러한 공격 벡터는 안전하지 않은 개발 프로세스와 열악한 클라우드 애플리케이션 위생으로 인한 것이라고 ESG는 경고했다.
조사 대상 조직의 83%가 워크로드를 클라우드로 이전했으며, 69%는 3개 이상의 클라우드 서비스 제공업체를 사용하고, 25%는 프로덕션 워크로드의 30% 이상이 공용 인프라에서 실행된다고 밝혔다. 응답자의 67%는 워크로드의 최소 30%가 향후 24개월 내에 퍼블릭 클라우드 인프라에서 실행될 것이라고 답했습니다. 80%의 조직이 DevOps 모델을 채택했으며, 75%는 최소한 일주일에 한 번 새로운 소프트웨어 빌드를 프로덕션에 적용하고 있다.
클라우드 속도는 빨라지고 있지만, 보안위협은 완화를 위한 대응은 매우 미흡한 상황이다. 보안 전문가 33%는 다양한 개발팀 간에 일관된 보안 프로세스가 부족하다고 답해 보안과 개발팀의 간극이 좁혀지지 않는 것으로 나타났다.
보고서는 클라우드 보안 전문가의 의견을 인용, 보안교육과 자동화된 CDR 프로세스, 단일 콘솔 기반 CDR 도구를 사용할 것을 권고했다.
