Offcanvas

개발자 / 보안 / 클라우드

어떤 기업이 ‘공급망 공격’ 대응 잘할까? 구글 클라우드 보고서

2022.10.04 Jon Gold  |  CSO
구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다. 

기업 보안 전문가라면 구글 클라우드의 도라 팀이 이번 주 발표한 보고서(2022 Accelerate State of DevOps)에 반가울 만한 소식이 있다. 데브섹옵스 모범 사례가 점점 더 일반화되고 있다는 것. 

최근 공급망 공격이 증가하면서(예: 대표적으로 지난 2021년 수많은 대기업에 피해를 끼친 솔라윈즈 공격) 이 주제가 부각되고 있다. 보고서는 주요 프레임워크에서 권장하는 많은 공급망 보안 관행이 소프트웨어 개발자 사이에서 이미 시행되고 있다고 밝혔다. 이는 지난 8년 동안 ‘계속해서 진행 중’인 설문조사 결과를 기반으로 한다(3만 3,000명 이상의 개발자). 

소프트웨어 공급망 개발 문제를 해결하기 위한 2가지 주요 프레임워크가 있는데, 이는 최신 소프트웨어 개발의 복잡성에서 비롯됐다. 많은 프로젝트에 오픈소스 구성 요소, 라이선스가 부여된 라이브러리, 수많은 개발자 및 서드파티의 기여가 포함돼 있기 때문이다. 

2가지 주요 프레임워크 중 하나는 구글이 지원하는 표준인 ‘소프트웨어 아티팩트용 공급망 레벨(Supply-chain Levels for Software Artifacts)’이며, 다른 하나는 NIST의 ‘보안 소프트웨어 개발 프레임워크(Secure Software Development Framework)’다. 둘 다 ▲ 소프트웨어 변경사항 2인 검토, ▲ 보호된 소스코드 플랫폼, ▲ 종속성 추적을 포함해 소프트웨어 개발을 위한 여러 모범 사례를 열거한다. 

공급망 보안 회사 체인가드(Chainguard)의 보안 데이터 과학자이자 보고서 작성자 중 한 명인 존 스피드 마이어스는 “설문조사 결과, 흥미로운 점은 이러한 관행 중 상당수가 실제로 비교적 확립돼 있다는 것이다. 전체 응답자의 50%가 많은 관행이 확립돼 있다고 말했다”라고 전했다. 
 
ⓒGoogle Cloud

또 다른 보고서 작성자이자 구글의 사용자 경험 연구원 토드 쿨레자에 따르면 이렇게 확립된 관행 중에서 가장 일반적인 것은 ‘CI/CD’로, 이는 다양한 개발 단계에서 자동화를 활용하여 애플리케이션과 업데이트를 신속하게 제공하는 방법이다. “공급망 보안을 위한 핵심 요소 중 하나다. 안전장치(backstop)인 셈이다. 개발자들은 동일한 취약점 스캐너가 모든 코드에 실행된다는 사실을 알고 있다”라고 그는 덧붙였다. 

아울러 보고서는 (기술이 아닌) 건전한 소프트웨어 개발팀 문화가 ‘보안 사고 감소’와 ‘소프트웨어 딜리버리 개선’의 예측 변수라는 사실을 발견했다고 밝혔다. 개발자가 편안하게 문제를 보고하고, 이러한 보고가 후속 조치로 이어지리라 확신하는 신뢰 문화일수록 안전한 소프트웨어를 생산하고 좋은 개발자를 유지할 가능성이 훨씬 더 높은 것으로 조사됐다. 

보고서에서 규칙 기반의 ‘관료주의적(bureaucratic)’ 또는 권력 중심의 문화와는 대조적인 ‘생성적(generative)’ 문화라고 설명하는, 소프트웨어 워킹 그룹의 높은 수준의 신뢰 및 협업 문화는 무엇보다 중요하다고 쿨레자는 강조했다. 그는 “개발 사고에 대한 사후 조치 보고서와 사전 설정된 업무 표준 등의 관행이 전반적으로 더 나은 결과를 가져왔다”라고 전했다.  

이어 쿨레자는 “엔지니어가 보안 취약점을 발견했다고 해보자. 이때 이 문제를 밝히는 것을 두려워하는 조직에 있고 싶지 않을 것”이라고 덧붙였다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.