인간 게놈 프로젝트, SpaceX의 로켓 기술, 테슬라의 오토파일럿 시스템은 형태와 기능면에서 전혀 다른 것처럼 보일 수 있지만, 모두 혁신을 주도하기 위해 오픈 소스 소프트웨어(OSS)를 사용한다는 공통적인 특징을 공유합니다.
공개적으로 접근 가능한 코드를 제공하여 자유롭게 볼 수 있고, 수정하고, 배포할 수 있는 OSS는 개발자 생산성을 높이고 획기적인 발전을 위한 협업 공간을 만듭니다.
AMD의 소프트웨어 엔지니어링 책임자인 데이비드 하몬은 “오픈 소스는 필수적입니다.”라고 말합니다. “오픈 소스는 협업과 기술 발전의 환경을 제공합니다. 숙련된 사용자는 코드를 직접 보고, 평가하고, 검토하고, 자신이 받는 코드가 합법적이며 자신이 하려는 일에 기능적이라는 것을 알 수 있습니다.”
하지만 OSS는 바쁜 IT 팀의 레이더에 잡히지 않는 숨겨진 취약점을 도입하여 조직의 보안 태세를 손상시킬 수도 있습니다. 특히 오픈 소스를 표적으로 삼는 사이버 공격이 증가하고 있기 때문입니다. OSS에는 예를 들어 기밀 시스템이나 네트워크에 대한 무단 액세스를 얻기 위해 악용될 수 있는 약점이 포함될 수 있습니다. 악의적인 행위자는 조직의 보안 태세를 손상시킬 수 있는 악용 공간인 “백도어”를 의도적으로 OSS에 도입할 수도 있습니다.
Microsoft의 클라우드 및 엔터프라이즈 보안 담당 부사장인 블라드 코르순스키는 “오픈 소스는 생산성과 협업을 가능하게 하지만 보안 문제도 제기합니다.”라고 말합니다. 문제 중 하나는 오픈 소스가 조직에 검증하기 어렵고 추적하기 어려운 코드를 도입한다는 것입니다. 조직은 종종 오픈 소스 코드를 변경한 사람이나 변경의 의도를 알지 못하는데, 이는 회사의 공격 표면을 증가시킬 수 있는 요소입니다.
문제를 복잡하게 만드는 것은 OSS의 인기 증가가 클라우드의 부상과 고유한 보안 과제와 일치한다는 것입니다. Linux와 같은 OSS에서 실행되는 클라우드 네이티브 애플리케이션은 더 큰 유연성, 새로운 소프트웨어 기능의 빠른 릴리스, 손쉬운 인프라 관리, 향상된 복원력 등 상당한 이점을 제공합니다. 그러나 조직의 보안 태세에 사각지대를 만들거나 더 나쁜 경우 바쁜 개발 및 보안 팀에 끊임없는 위협 신호와 끝없는 보안 개선 할 일 목록으로 부담을 줄 수도 있습니다.
“클라우드로 이동하면 많은 위협 모델이 완전히 바뀝니다.”라고 Harmon은 말합니다. “사물의 성능 측면은 여전히 관련이 있지만 보안 측면은 훨씬 더 관련이 있습니다. 어떤 CTO도 침해와 관련된 헤드라인에 오르고 싶어하지 않습니다.”
그러나 뉴스에 노출되지 않는 것이 점점 더 어려워지고 있습니다. 클라우드 회사에 따르면 Flexera의 클라우드 현황 2024 설문 조사89%의 기업이 멀티 클라우드 환경을 사용합니다. 클라우드 지출과 보안이 응답자의 클라우드 과제 목록에서 상위를 차지합니다. 보안 회사 Tenable의 2024 클라우드 보안 전망 조사 대상 조직의 95%가 조사 전 18개월 동안 클라우드 침해를 겪었다고 보고했습니다.
코드-클라우드 보안
지금까지 조직은 보안 테스트와 분석에 의존하여 애플리케이션의 출력을 검사하고 수리가 필요한 보안 문제를 파악했습니다. 하지만 요즘에는 보안 위협을 해결하려면 단순히 런타임에서 어떻게 구성되어 있는지 보는 것 이상이 필요합니다. 오히려 조직은 문제의 근본 원인을 파악해야 합니다.
Korsunsky에 따르면, IT 보안팀에 균형 잡힌 행동을 제시하는 어려운 과제입니다. “코드와 클라우드 간의 연결을 구축할 수 있다 하더라도 보안팀은 비즈니스에 미치는 잠재적 영향이 확실하지 않으면 수정 사항을 배포하기를 꺼릴 수 있습니다. 예를 들어, 수정 사항은 보안을 개선할 수 있지만 애플리케이션 자체의 일부 기능을 탈선시키고 직원 생산성에 부정적인 영향을 미칠 수도 있습니다.”라고 그는 말합니다.
오히려 애플리케이션을 적절하게 보호하려면 IT 보안팀이 개발자 및 애플리케이션 보안팀과 협력하여 작업하는 소프트웨어를 더 잘 이해하고 보안 수정 사항을 적용하는 데 따른 영향을 확인해야 한다고 코르순스키는 말합니다.
다행히도 포괄적인 클라우드 네이티브 보안을 갖춘 코드-투-클라우드 보안 플랫폼은 소프트웨어 취약성을 근본에서 식별하고 중단함으로써 도움이 될 수 있습니다. 코드-투-클라우드는 코드 저장소와 클라우드 배포 간에 파이프라인을 만들어 애플리케이션이 작성된 방식과 수행 방식을 연결합니다. “런타임에서 보이는 것들을 개발된 위치와 배포된 방식에 연결합니다.”라고 Korsunsky는 말합니다.
그 결과 보안 팀이 코드 소유자를 식별하고 해당 소유자와 협력하여 애플리케이션을 보다 안전하게 만들 수 있는 보안에 대한 보다 협력적이고 통합된 접근 방식이 탄생했습니다. 이를 통해 보안이 단순히 사후에 생각하는 것이 아니라 코드 작성에서 클라우드에서 실행하는 데 이르기까지 전체 소프트웨어 개발 라이프사이클의 중요한 측면이 됩니다.
더 나은 점은 IT 보안팀이 다중 파이프라인 및 다중 클라우드 환경에서 사전 프로덕션 애플리케이션 코드의 보안 포스처에 대한 완전한 가시성을 확보하는 동시에 클라우드 구성 오류가 프로덕션 환경에 도달하는 것을 최소화할 수 있다는 것입니다. 이러한 사전 예방적 전략을 함께 사용하면 위험이 발생하는 것을 방지할 뿐만 아니라 IT 보안팀이 중요한 새로운 위협에 집중할 수 있습니다.
보안 성공으로 가는 길
코드-투-클라우드 보안 플랫폼을 최대한 활용하려면 혁신적인 도구 이상이 필요합니다. 조직에서 모범 사례를 확립하면 더 강력하고 장기적인 보안 태세를 보장할 수 있습니다.
자산에 대한 포괄적인 뷰를 만듭니다.: 오늘날의 조직은 디지털 자산을 보호하기 위해 광범위한 보안 도구에 의존합니다. 그러나 이러한 솔루션은 클라우드를 포함하여 전체 기업에서 작동하는 다양한 애플리케이션과 리소스의 노출을 관리하기 위해 단일 창으로 통합되어야 합니다. Korsunsky는 “기업은 별도의 환경, 별도의 클라우드, 별도의 플랫폼에 대해 별도의 솔루션을 가질 수 없습니다.”라고 경고합니다. “결국 공격자는 사일로에서 생각하지 않습니다. 그들은 기업의 핵심을 노리고 있으며, 그것을 얻기 위해 필요한 모든 것을 할 것입니다. 그들은 환경과 클라우드를 가로질러 측면 이동할 것입니다. 그렇기 때문에 기업에는 통합된 접근 방식이 필요합니다.”
인공지능(AI)을 활용하세요: 많은 IT 보안팀은 즉각적인 주의가 필요한 사고로 압도당하고 있습니다. 이는 조직이 간단한 보안 작업을 AI에 아웃소싱하는 더욱 큰 이유입니다. Korsunsky는 “AI는 조직이 최고의 전문가를 배치할 필요가 없도록 잡음을 걸러낼 수 있습니다.”라고 말합니다. 예를 들어, AI는 작성된 텍스트와 이미지를 비교하고 구별하는 기능을 활용하여 피싱 이메일을 감지하는 조종사로 사용할 수 있습니다. 결국 Korsunsky는 “인간이 긴 이메일을 읽고 신뢰할 수 있는지 여부를 판단하는 데는 큰 이점이 없습니다.”라고 덧붙입니다. AI는 일상적인 보안 작업을 인계함으로써 직원이 더 중요한 활동에 집중할 수 있도록 해줍니다.
시작선을 찾으세요: 모든 조직에는 보호해야 할 자산과 수정해야 할 취약점이 길게 나열되어 있습니다. 그렇다면 어디서부터 시작해야 할까요? Korsunsky는 “가장 중요한 데이터가 어디에 있는지, 무엇이 효과적으로 악용될 수 있는지 파악하여 가장 중요한 자산을 보호하세요”라고 권장합니다. 여기에는 회사 자산에 대한 포괄적인 인벤토리를 수행하고 데이터가 어떻게 상호 연결되는지, 어떤 종속성이 필요한지 확인하는 것이 포함됩니다.
사용 중인 데이터 보호: Confidential Computing Consortium은 Linux Foundation의 일부인 커뮤니티로, 개방형 협업을 통해 Confidential Computing 도입을 가속화하는 데 중점을 두고 있습니다. Confidential Computing은 AMD EPYC CPU를 기반으로 하는 Azure Confidential Virtual Machines와 같은 하드웨어 기반 Trusted Execution Environment(TEE)에서 계산을 수행하여 처리 중에 조직의 가장 민감한 데이터를 보호할 수 있습니다. TEE에서 메모리의 데이터를 암호화함으로써 조직은 가장 민감한 데이터가 클라우드 환경이 검증된 후에만 처리되도록 보장하여 클라우드 공급자, 관리자 또는 무단 사용자의 데이터 액세스를 방지할 수 있습니다.
미래를 위한 솔루션 Linux, OSS 및 클라우드 네이티브 애플리케이션의 인기가 계속 증가함에 따라 조직에서 보안을 우선시해야 한다는 압력도 커질 것입니다. 좋은 소식은 클라우드 보안에 대한 코드-투-클라우드 접근 방식을 통해 조직이 소프트웨어 개발 프로세스 중에 보안을 앞서 시작할 수 있고 조직의 보안 태세에 대한 귀중한 통찰력을 제공하며 보안 팀이 비즈니스에 중요한 작업에 집중할 수 있도록 해준다는 것입니다.
코드에서 클라우드까지 Linux 및 오픈 소스 워크로드를 보호하세요. 마이크로소프트 애저 그리고 (주)에스디에이치디(주). 자세히 알아보기 Azure의 Linux 그리고 Microsoft 보안.
이 콘텐츠는 MIT Technology Review의 맞춤형 콘텐츠 부서인 Insights에서 제작했습니다. MIT Technology Review의 편집진이 작성한 것이 아닙니다.