성공적인 AppSec 프로그램의 중요한 기능은 무엇일까요?

성공적인 AppSec 프로그램의 중요한 기능은 무엇일까요?

저에게는 두 대의 차가 있습니다. 한 대는 1978년에 제작되었는데 이 차의 가장 큰 장점은 작업하기가 매우 쉽다는 점입니다. 이 차는 심플한 차량이라 드라이버 2개, 렌치 3개, 망치(항상 망치가 필요함) 등 6개의 도구만 있으면 대부분의 수리를 할 수 있습니다.

또 다른 차는 2020년에 제작되었는데 이 차를 제가 직접 작업하지 않습니다. 78년형보다 훨씬 더 정교하고 복잡하기 때문에 전문적인 정비사가 다양하고 특수한 도구들과 함께 진단 시스템을 사용하여 차량이 제대로 작동하는지 확인해야 합니다.

소프트웨어도 마찬가지입니다. 소프트웨어가 더욱 정교해지고 복잡해짐에 따라 해당 소프트웨어를 테스트하는데 필요한 보안 도구의 범위도 점점 더 확장되고 있습니다. 실제로 오늘날 대부분의 조직에서는 소프트웨어의 취약점을 테스트하기 위해 다양한 도구들과 기술들을 사용하고 있습니다.

그렇다면 어떤 것을 사용해야 할까요? 이 질문에 대한 답은 개발 중인 소프트웨어의 유형과 제공 방식에 따라 달라집니다. Gartner는 최근 2023 애플리케이션 보안 테스트를 위한 핵심 기능 보고서를 발표했습니다. 이 보고서는 5가지 특정 사용 사례에 가장 중요한 도구와 기술에 대한 인사이트와 해당 도구를 제공하는 공급업체에 대한 평가 및 리뷰를 제공하고 있습니다. 보고서에 나온 다섯 가지 사용 사례와 각 사용 사례의 애플리케이션 보안 요구 사항의 차이점을 살펴보겠습니다.

엔터프라이즈 애플리케이션의 보안 극대화

Gartner는 첫 번째 사례를 다양한 애플리케이션과 혼합된 개발 방법론이 조직의 요구 사항에 초점을 맞춘 것으로 정의하고 있으며 따라서 애플리케이션 보안에 대한 포괄적인 접근 방식이 필요하다고 말하고 있습니다. 다시 말해, 팀이 제품이 아닌 비즈니스의 주요 요소(즉, 고객이 제품이나 서비스에 액세스하는 수단)인 소프트웨어를 구축하는 경우 대규모 조직이 아니더라도 다음과 같은 사용 사례에 해당됩니다.

엔터프라이즈 애플리케이션의 복잡한 구성과 제공에는 모든 애플리케이션 구성 요소와 애플리케이션 수명 주기의 모든 단계에서 보안 문제가 해결되어야 합니다. 그러나 많은 조직에서 여러 개발팀 아래에 12개 이상의 애플리케이션 보안 테스트(AST) 도구를 사용하고 관리하고 있는 것으로 나타났습니다. 여러 팀에서 서로 다른 방식으로 보안 결과를 도출하는 도구들을 사용한다면 "나무만 보고 전체적인 숲을 보기"가 어려울 수 있습니다. Synopsys의 Software Risk Manager와 같은 애플리케이션 보안 태세 관리(ASPM) 솔루션은 엔터프라이즈 앱 보안팀이 복잡한 것들을 바로잡아 줄 수 있습니다. ASPM을 사용하면 팀은 팀 전체에서 일관된 보안 정책을 정의 및 자동화하고 여러 도구에서 발견된 내용들을 종합, 필터링하여 우선순위를 지정할 수 있습니다.

소프트웨어 공급망 보안

애플리케이션 보안에 대한 공급망 위험 관리 접근 방식을 취하는 조직들이 점점 더 많아지고 있습니다. 이 접근 방식에서는 여러 도구를 함께 사용하여 독점, 오픈소스, 타사 소프트웨어 및 서비스는 물론 최종적으로 사용자에게 애플리케이션을 제공하는 데 사용되는 DevOps 파이프라인과 클라우드 인프라 전반에서 보안 위험을 가시화하고 제어합니다. 이러한 변화는 세간의 이목을 끌 소프트웨어 공급망 취약점 및 공격과 공급업체의 보다 안전한 소프트웨어 개발 관행을 추진하려는 정부 및 기관의 규제 압박에 의해 주도되었습니다.

소프트웨어 공급망 보안은 애플리케이션 보안과 분리된 것이 아니라 포괄적으로 애플리케이션을 보안하고 있습니다. 조직은 소프트웨어 개발 수명 주기의 규정된 일련의 보안 테스트를 거치는 것만으로는 충분하지 않다는 것을 알고 있습니다. 업스트림 소프트웨어 구성 요소 공급업체와 DevOps toolchain 위험에 대한 가시성과 제어가 필요합니다. 또한 고객을 위해 소프트웨어 구성에 대한 투명성을 소프트웨어 자재 명세서(SBOM) 및 기타 아티팩트 형태로 제공해야 합니다. 이러한 엔드투엔드의 가시성 및 제어 체인은 공급업체와 고객을 애플리케이션 취약점을 노리는 사이버 공격으로부터 선제적으로 방어할 수 있도록 필요한 정보들을 제공하고 있습니다.

DevOps에 보안 구축

Gartner는 DevOps에 많은 투자를 하는 조직의 요구 사항과 빠르게 변화하는 반복적인 소프트웨어 개발 및 제공에 초점을 맞추고 있다고 설명하고 있습니다.

애플리케이션 보안 테스트의 경우에도 개발자 중심의 자동화된 최신 보안 분석을 지원하는 도구에 중점을 두고 있습니다. DevOps에 보안을 구축하려면 다음 세 가지에 우선순위를 두어야 합니다.

• 개발자 지원: 개발자가 코딩하는 동안 보안 취약점을 해결하는 데 도움이 되는 빠르고 효율적인 도구 제공
• 지능형 AST 오케스트레이션: 자동화된 보안 테스트를 최적화하고 파이프라인이 지속적으로 최고 속도로 작동하도록 보장
• 위험 기반 취약점 상관관계: 자동화된 보안 테스트 결과의 노이즈를 제거하여 비즈니스에 가장 중요한 문제를 해결할 수 있도록 집중적으로 지원

​

클라우드에서 애플리케이션 보안 유지

클라우드 네이티브 애플리케이션에 대한 Gartner의 처방과 DevSecOps 사이에는 상당 부분 겹치는 것들이 있습니다. 하지만 가장 큰 차이점은 DevSecOps는 개발자 지원에 조금 더 중점을 두는 반면, 클라우드 네이티브 애플리케이션은 대부분의 클라우드 애플리케이션 환경의 중심이 되는 API, IaC(코드형 인프라) 및 컨테이너에 조금 더 중점을 둔다는 점입니다.

많은 클라우드 네이티브 애플리케이션이 엔터프라이즈 애플리케이션이기도 하기 때문에 소프트웨어 공급망 보안에 관한 것도 여기에 적용됩니다. 일반적으로 오픈소스 구성 요소, 타사 API, 서버리스 기능, 컨테이너 및 IaC를 혼합하여 사용하는 애플리케이션의 공격 표면에 대한 클라우드 시스템의 영향을 이해하는 것도 중요합니다.

모바일 및 클라이언트 애플리케이션의 고유한 보안 요구 사항 해결

네 번째 사례는 클라이언트 하드웨어에서 실행되는 소프트웨어에 중점을 두고 있습니다. Gartner는 이것은 모바일 애플리케이션을 의미하며 애플리케이션의 대상 모바일 디바이스를 에뮬레이트하기 위해 특수 테스트 도구와 기술이 필요한 경우가 많다고 정의하고 있습니다.

그러나 모바일 애플리케이션에 대한 많은 과제는 네트워크 디바이스 펌웨어, 임베디드 소프트웨어 및 IoT 디바이스와 같은 다른 형태의 클라이언트 측 소프트웨어에도 적용됩니다. 대부분의 경우 이러한 소프트웨어의 테스트는 자동화하기 어렵고 하드웨어에 직접 액세스하거나 에뮬레이션해야 하며 다른 시스템 및 서비스와의 통신에 사용되는 API 또는 네트워크 프로토콜에 대한 테스트를 포함하고 있습니다. 이러한 유형의 소프트웨어를 구축하는 경우 단위 및 통합 테스트를 위한 전문 도구가 이미 있을 수 있으며 보안 취약점을 테스트할 수 있는 보완 도구와 서비스를 찾는 것이 과제입니다.

AppSec 프로그램 구축

보안 및 개발팀이 사용자에게 제공하는 소프트웨어가 안전하다는 것을 사용자가 신뢰할 수 있도록 올바른 toolkit을 구성하는 것이 어려울 수 있다는 것에는 의심할 여지가 없습니다. 하지만 Gartner가 애플리케이션 보안 테스트를 위한 핵심 기능 보고서에서 설명한 것처럼 한 걸음 물러서서 팀이 지원하려는 사용 사례에 대해 생각해보면 선택할 수 있는 툴의 프레임워크가 무엇인지 파악 할 수 있습니다.

정리하면, 저는 돌아오는 주말에 78년식 차량 정비에 집중하고, 20년식 차량의 진단과 정비는 작업에 적합한 도구와 기술을 갖춘 전문 정비소에 맡길 것입니다.

Software Risk Manager 더 알아보기 CLICK!!!

​

원문 게시일: 2023.08.31

원문 기고자: Patrick Carey

출처: https://www.synopsys.com/blogs/software-security/gartner-critical-capabilities-appsec-testing-report.html