부조종사의 보안 위험에 맞서다

Date:

점점 더 많은 기업이 부조종사와 로우코드 플랫폼을 사용하여 직원(기술적 전문성이 거의 없거나 전혀 없는 직원 포함)이 강력한 부조종사와 비즈니스 앱을 만들고 방대한 양의 데이터를 처리할 수 있도록 지원합니다. Zenity의 새로운 보고서, 2024년 엔터프라이즈 조종사와 로우코드 개발의 상태평균적으로 기업들은 외부에서 생성된 약 80,000개의 앱과 조종사를 보유하고 있는 것으로 나타났습니다. 표준 소프트웨어 개발 라이프사이클 (SDLC).

이러한 발전은 새로운 기회를 제공하지만 새로운 위험도 제공합니다. 이 80,000개의 앱과 조종사 중에는 약 50,000개의 취약점이 있습니다. 보고서는 이러한 앱과 조종사가 숨가쁘게 진화하고 있다고 언급했습니다. 결과적으로 엄청난 수의 취약점을 만들고 있습니다.

기업 조종사 및 앱의 위험

일반적으로 소프트웨어 개발자는 모든 앱이 지속적으로 설계, 배포, 측정 및 분석되는 정의된 SDLC(보안 개발 수명 주기)에 따라 신중하게 앱을 빌드합니다. 하지만 오늘날에는 이러한 가드레일이 더 이상 존재하지 않습니다. 개발 경험이 없는 사람도 이제 Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier 등에서 고성능 코파일럿과 비즈니스 앱을 빌드하고 사용할 수 있습니다. 이러한 앱은 민감한 데이터를 전송하고 저장할 때 비즈니스 운영에 도움이 됩니다. 이 분야의 성장은 상당했습니다. 보고서에 따르면 로우코드 개발 및 코파일럿 채택률이 전년 대비 39% 증가했습니다.

SDLC를 우회한 결과, 취약성이 만연합니다. 많은 기업이 얼마나 많은 조종사와 앱이 만들어지고 있는지, 그리고 비즈니스 맥락도 파악해야 한다는 사실을 충분히 이해하지 못한 채 이러한 기능을 열광적으로 수용합니다. 예를 들어, 앱과 조종사가 누구를 위한 것인지, 앱이 어떤 데이터와 상호 작용하는지, 비즈니스 목적이 무엇인지 이해해야 합니다. 또한 누가 개발하고 있는지도 알아야 합니다. 종종 그렇지 않고 표준 개발 관행이 우회되기 때문에 새로운 형태의 섀도우 IT가 생성됩니다.

이는 다양한 LoB의 비즈니스 사용자가 지식 밖에서 구축하는 많은 조종사, 앱, 자동화 및 보고서로 인해 보안 팀을 어려운 입장에 놓이게 합니다. 보고서는 모든 OWASP(Open Web Application Security Project) 상위 10대 위험 범주 기업 전체에 널리 퍼져 있습니다. 평균적으로 기업은 49,438개의 취약점을 가지고 있습니다. 이는 로우코드로 빌드된 조종사와 앱의 62%가 어떤 종류의 보안 취약점을 포함하고 있다는 것을 의미합니다.

다양한 유형의 위험 이해

조종사는 자격 증명을 사용하고, 민감한 데이터에 액세스할 수 있으며, 억제하기 어려운 본질적인 호기심을 가지고 있기 때문에 상당한 잠재적 위협을 가합니다. 사실, 로우코드 플랫폼으로 구축된 조종사의 63%가 다른 사람과 과도하게 공유되었으며, 그 중 다수가 인증되지 않은 채팅을 허용합니다. 이로 인해 즉각적인 주입 공격에 대한 상당한 위험이 발생합니다.

조종사가 작동하는 방식과 AI가 일반적으로 작동하는 방식 때문에 조종사와 최종 사용자 상호 작용을 공유하거나, 너무 많은 사람이나 잘못된 사람과 앱을 공유하거나, AI를 통해 민감한 데이터에 대한 불필요한 액세스 권한을 부여하는 것을 방지하기 위해 엄격한 안전 조치를 시행해야 합니다. 이러한 조치가 마련되지 않으면 기업은 데이터 유출 및 악의적인 즉시 주입에 더 많이 노출될 위험이 있습니다.

다른 두 가지 중요한 위험은 다음과 같습니다.

원격 Copilot 실행(RCE) – 이러한 취약성은 AI 애플리케이션에 특화된 공격 경로를 나타냅니다. 이 RCE 버전을 사용하면 외부 공격자가 Copilot for M365를 완전히 제어하고 이메일, 일정 초대장 또는 Teams 메시지를 보내는 것만으로 명령을 따르도록 강제할 수 있습니다.

게스트 계정: 로우코드 플랫폼에 대한 게스트 계정 하나와 평가판 라이선스(일반적으로 여러 도구에서 무료로 제공)만 사용하면 공격자는 기업의 로우코드 플랫폼이나 코파일럿에 로그인하기만 하면 됩니다. 일단 들어가면 공격자는 대상 디렉토리로 전환한 다음 플랫폼에서 도메인 관리자 수준의 권한을 얻습니다. 결과적으로 공격자는 이러한 게스트 계정을 찾아 보안 침해로 이어졌습니다. 기업 리더와 보안 팀에 두려움을 안겨줄 데이터 포인트는 다음과 같습니다. 일반적인 기업에는 로우코드와 코파일럿을 통해 개발된 앱에 액세스할 수 있는 신뢰할 수 없는 게스트 사용자가 8,641명 이상 있습니다.

새로운 보안 접근 방식이 필요합니다

보안팀은 이 편재적이고 모호하며 중대한 위험에 대해 무엇을 할 수 있을까요? 그들은 자격 증명 검색 프로세스에 안전하지 않은 단계가 있거나 하드코딩된 비밀이 있는 모든 앱에 대해 경고하기 위한 통제를 마련했는지 확인해야 합니다. 또한 생성되는 모든 앱에 맥락을 추가하여 민감한 내부 데이터에 액세스할 수 있는 모든 비즈니스에 중요한 앱에 대한 적절한 인증 통제가 있는지 확인해야 합니다.

이러한 전술이 배치되면 다음 우선순위는 민감한 데이터에 액세스해야 하는 앱에 적절한 인증이 설정되었는지 확인하는 것입니다. 그 후, 자격 증명을 설정하여 자격 증명이나 비밀 보관소에서 안전하게 검색할 수 있도록 하는 것이 가장 좋습니다. 이렇게 하면 비밀번호가 일반 텍스트나 일반 텍스트로 저장되지 않도록 보장할 수 있습니다.

당신의 미래를 보장하다

로우코드와 조종사 개발의 지니는 병에서 나왔으므로 다시 병에 넣으려는 것은 현실적이지 않습니다. 오히려 기업은 위험을 인식하고 데이터를 안전하게 유지하고 적절하게 관리하는 통제를 구축해야 합니다. 보안 팀은 이 새로운 비즈니스 주도 개발 시대에 많은 어려움에 직면했지만 위에서 언급한 권장 사항을 준수하면 기업 조종사와 로우코드 개발 플랫폼이 제공하는 혁신과 생산성을 대담한 새로운 미래로 안전하게 가져올 수 있는 최상의 위치에 있게 될 것입니다.

게시물 부조종사의 보안 위험에 맞서다 처음 등장 유나이트.AI.

Share post:

Subscribe

Popular

More like this
Related

생성 AI 활용: 업계 리더를 위한 대담한 도전과 보상

조직이 AI의 잠재력을 계속 탐구함에 따라 Microsoft 고객은 워크플로를...

식품 안전 분야에서 AI의 필요성 증가

특히 광범위한 조류독감 발생의 영향이 농업 부문 전반에 걸쳐...

12월23일 정부지원사업 신규 공고 리스트 (12건) _ (파일 재가공/재배포 가능)

12월 23일 12건<12/23지원사업 신규 공고 목록> *전 영업일인 12/20에 올라온...

Waste Robotics와 Greyparrot가 분류 로봇을 강화하는 방법

Waste Robotics는 FANUC 로봇 팔을 사용하여 안정적이고 정확한 피킹을...