다이나트레이스 "클라우드 기반 애플리케이션 보안 대응력 획기적 강화"

실시간
뉴스

뉴스

다이나트레이스 "클라우드 기반 애플리케이션 보안 대응력 획기적 강화"

디지털데일리 발행일 2023-09-21 16:23:33

양민하 기자

URL복사

데브섹옵스 구현위한 ‘Application Security’ 관리 자동화 전략 발표

[디지털데일리 양민하 기자] 클라우드 네이티브 환경의 복잡성이 커지면서 애플리케이션의 결함이나 취약점이 사전에 발견되지 않은 채 운영 환경까지 흘러갈 위험성이 증가하고 있다.

이로 인해 기업들은 소프트웨어의 안정성 확보와 보안 측면에서의 어려움도 동시에 가중되고 있는 상황이다.

21일 <디지털데일리> 웨비나 플랫폼 ‘DD튜브’에서 한국다이나트레이스의 나성운 전무는 ‘데브옵스(DevOps)에서 데브섹옵스(DevSecOps)로: Application Security 관리 자동화’라는 주제를 통해 기업들이 직면하고 있는 이같은 문제점 해결 방안을 제시했다.

나 전무는 이날 발표를 통해, 다이나트레이스 인공지능(AI) 기반 통합 옵저버빌리티 플랫폼과 애플리케이션 보안 모듈 ‘앱섹(AppSec)’을 활용한 실시간 취약점(Vulnerability) 관리 방안에 대해 소개했다.

다이나트레이스에 따르면, 클라우드 기술의 확장으로 애플리케이션 코드가 모듈화되고, 외부 라이브러리를 조립식으로 차용하게 되는 경우가 많아졌다. 이로 인해 개발 속도와 생산성은 향상되지만, 성능과 보안의 위협은 증가하고 있다.

나성운 전무는 “매년 클라우드 네이티브 애플리케이션에서의 취약점, 즉 코드의 보안 취약성이 급격히 증가하고 있다. 다이나트레이스는 그간 코드의 성능 관리를 자동화하는 데 초점을 맞춰왔지만, 이제 코드 내부 보안에 대한 위협도 방치할 수 없는 상황이 됐다”고 전했다.

2022년 진행된 다이나트레이스 최고정보보호책임자(CISO) 리포트에 따르면, 이러한 코드 보안 취약점을 이용한 공격은 2017년 대비 약 3배 증가했다.

조사 대상 CISO 중 75%는 보안 취약점이 운영환경까지 유출되는 것을 우려하고 있는 것으로 나타났다. 또한 67%는 개발자가 코드 보안 취약점을 스스로 검사하고 수정할 시간이 부족하다고 답했다. 이 외에도 고위험 애플리케이션 취약점을 수정하는 데 소요되는 시간은 평균 80일에 달하는 것으로 조사됐다.

◆클라우드 네이티브 애플리케이션 보안, 역할 변화 및 방법론 개선 요구돼

다이나트레이스는 클라우드 네이티브 애플리케이션 보안이 더 이상 보안팀만의 업무가 아닌 기업 전체의 핵심 업무가 되어야 한다고 지적했다. 마이크로 서비스 구조 확장, 빠른 개발 주기, 동적 운영 환경의 변화 등으로 이제 애플리케이션 보안은 보안팀만 수행할 수 있는 한계를 넘어서고 있다.

나 전무는 “개발 단계부터 운영단계까지, 즉 개발자부터 운영 담당자까지 모두 관리 주체가 되어야 한다”고 말했다. 지금까지 보안담당자만이 전체적으로 코드 보안 취약점을 검사해 왔다면, 이제 개발자는 자신의 코드 중 어디에서, 어떤 방식으로 취약점이 존재하는지 확인해야 한다. 운영자는 운영 환경에 보안 취약점이 발견되었는지, 그 취약점이 어느 부분까지 영향을 미칠지, 실제 위험 수준은 어떤지 등을 확인해야 한다.

이러한 역할 변화뿐만 아니라, 이를 뒷받침할 도구 및 방법론도 개선되어야 한다. 정적 코드 스캐너(SCAT), 네트워크 트래픽 스캐너 등 기존 접근 방식의 한계는 운영 및 애플리케이션 컨텍스트(Context)가 반영되지 못한다는 것이다. 실제 취약점이 인터넷에 노출되는지 또는 중요한 데이터에 접근하는지 등에 대해 알 수 없고, 결국 팀은 무엇에 집중해야 할지 모르고 단편적인 조치만 취하게 된다.

나 전무는 “중요한 것은 여전히 일부 취약점은 이 단계를 빠져나가 운영환경에 도달하게 된다는 점”이라고 설명했다.

◆앱섹(Appsec) 옵션만 켜도…런타임 코드 보안 취약점 실시간 감시

다이나트레이스는 운영환경에서 실행 중인 코드 내부에서 실시간으로 코드의 보안 취약점을 감시하는 방식으로 이 같은 문제를 해결한다. 이를 위해 다른 별도의 에이전트를 설치하는 것이 아닌, 기존 ‘원에이전트(OneAgent)’가 성능 정보를 수집하기 위해 코드 정보를 관찰하는 과정에서 보안 취약점이 있는지 추가로 검사한다.

화면에서 앱섹 옵션을 활성화하면 운영환경에서 서버에 설치되어 동작하는 원에이전트가 실시간으로 런타임 코드 보안 취약점 검사를 시작한다. 개발자, 보안 담당자, 운영자 등 구성원은 추가적인 작업 없이 운영 환경 내의 코드 보안 취약점 상황을 즉시 알 수 있게 된다.

이렇게 수집된 보안 정보는 모든 연결 정보를 가지고 있는 ‘스마트스케이프(SmartScape)’ 모델에 통합된다. 어떤 코드의 보안 취약점이 다른 IT 요소들과 어떻게 연결되는지, 인터넷에 연결될 수 있는지, 데이터베이스(DB)에 접근할 수 있는지 등을 자동으로 파악해 어느 취약점이 가장 위험하고 최우선으로 조치되어야 하는지 평가한다.

만약 인터넷에서 연결되는 경로에 있거나, DB에 접속할 수 있는 경로에 있다면 우선순위가 최우선으로 높아진다. 다이나트레이스 플랫폼 핵심 기술인 ‘데이비스(Davis)’ AI는 이렇게 평가된 최종 보안 위험도를 담당자에게 전달한다.

나 전무는 “다이나트레이스 플랫폼의 강점은 모든 데이터를 하나로 연결한 컨텍스트 데이터, 그 컨텍스트 데이터들을 스마트스케이프 기술을 통해 모델링 해서 관리한다는 것”이라고 전했다.

옵저버빌리티 플랫폼과 데브섹옵스로 발전하기 위한 추가 기능 앱섹은 ▲런타임 프로덕션 환경의 지속적인 모니터링 ▲프로덕선 환경 컨텍스트 기반으로 취약점 감지, 우선순위 지정 및 해결 자동화 ▲취약점을 이용한 공격이 실제 애플리케이션에 도달하지 못하도록 방어하는 공격 차단 기능 ▲조직의 낭비되는 노력과 리스크 감소를 위한 애플리케이션 보안 관리 자동화 등을 지원한다.

나성운 전무는 “다이나트레이스는 복잡한 클라우드 네이티브 환경에서 애플리케이션에 대한 코드 취약성 문제를 방지한다. 전체적인 풀스택(Full-stack) 가시성을 제공하면서 동시에 데브섹옵스로의 발전을 지원한다”고 강조했다.