°³¹ßÆÀ°ú º¸¾ÈÆÀÀº ÄÚµåºÎÅÍ ·±Å¸ÀÓ±îÁö SW °ø±Þ¸Á À§Çè ÇØ¼Ò °¡´É
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ¼±µµÀûÀÎ ¼ø¼ö Ŭ¶ó¿ìµå ³×ÀÌƼºê º¸¾È¾÷ü ¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼(Aqua Security, ÀÌÇÏ ¡®¾ÆÄí¾Æ¡¯)°¡ ¾÷°è ÃÖÃÊÀÌÀÚ À¯ÀÏÇÑ ¿£µåÅõ¿£µå(End-to-End) ¹æ½ÄÀÇ ¡®¾ÆÄí¾Æ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È ¼Ö·ç¼Ç(Aqua Software Supply Chain Security Solution)¡¯À» Ãâ½ÃÇß´Ù.
¡ã¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È ¼Ö·ç¼ÇÀÇ ÀϺÎÀÎ ¾ÆÄí¾Æ ¿ÀǼҽº »óÅ Æò°¡ ȸé[À̹ÌÁö=¾ÆÄí¾Æ ½ÃÅ¥¸®Æ¼]
¾ÆÄí¾Æ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È ¼Ö·ç¼ÇÀº ¼ÒÇÁÆ®¿þ¾î °³¹ß ¶óÀÌÇÁ»çÀÌŬ(Synchronous Data Link Control : SDLC) Àüü¸¦ º¸È£Çϸç, Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀ̼ǿ¡ ´ëÇÑ °ø°ÝÀ» ´Éµ¿ÀûÀ¸·Î ¿¹¹æÇÏ°í Â÷´ÜÇÒ ¼ö ÀÖ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¾ÆÄí¾Æ°¡ À̹ø ¼Ö·ç¼ÇÀ» °³¹ß, Ãâ½ÃÇÑ °ÍÀº ÃÖ±Ù SW °ø±Þ¸Á¿¡ ´ëÇÑ °ø°ÝÀÌ °¥¼ö·Ï ´Ã¾î³ª°í Àֱ⠶§¹®ÀÌ´Ù. ¾ÆÄí¾Æ°¡ ºÐ¼®ÇÑ µ¥ÀÌÅÍ¿¡ µû¸£¸é SW °ø±Þ¸Á¿¡ ´ëÇÑ °ø°ÝÀº ¿¬°£ 300%¾¿ Áõ°¡ÇÏ°í ÀÖ´Ù. °¢±¹ Á¤ºÎµµ ½É°¢¼ºÀ» ÀÎÁöÇÏ°í ´ëÀÀ¿¡ ³ª¼¹´Ù. ¹Ì±¹ ¹é¾Ç°üÀº ÃÖ±Ù SW °³¹ß ´Ü°èºÎÅÍ °ø±Þ¸Á º¸¾ÈÀ» °ÈÇØ¾ß ÇÑ´Ù´Â ³»¿ëÀÇ ÇàÁ¤ ¸í·Éµµ ¹ßÇ¥Çß´Ù.
¾ÆÄí¾Æ´Â Ÿ»ç ¾ÆƼÆÑÆ®, ¿ÀǼҽº Á¾¼Ó¼º, °íÀ¯ÇÑ °³¹ßÀÚ Åø¼Â°ú ȯ°æÀ» °Ü³ÉÇÑ °ø°Ý µîÀÌ °ø±Þ¸Á À§ÇèÀÇ ¿øÀÎÀ̶ó°í ÆÇ´ÜÇÏ°í ÀÖ´Ù. ¾ÆÄí¾Æ´Â ÀÌ·¯ÇÑ SW °ø±Þ¸Á À§Çè¿¡ ´ëóÇÏ°íÀÚ ±âÁ¸ °ø±Þ¸Á ¼Ö·ç¼ÇÀÇ ±â´ÉÀ» È®´ëÇØ ¾ÖÇø®ÄÉÀ̼ǰú ±âÃÊ ÀÎÇÁ¶ó¸¦ ¸Á¶óÇϸç ÄÚµåºÎÅÍ ·±Å¸ÀÓ±îÁö °ø±Þ¸Á À§Çè¿¡ ´ëóÇÒ ¼ö ÀÖ´Â ¼Ö·ç¼ÇÀ» °ø±ÞÇÏ°Ô µÆ´Ù.
À̹ø¿¡ Ãâ½ÃµÈ ¼Ö·ç¼ÇÀº ¾ÆÄí¾Æ ÅëÇÕÇü Ŭ¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀÌ¼Ç º¸È£ Ç÷§Æû(Cloud Native Application Protection Platform : CNAPP)ÀÇ ÀϺδÙ. °ø±Þ¸Á ¼Ö·ç¼ÇÀÌ Æ÷ÇÔµÈ ÃÖÃÊÀÇ CNAPP·Î¼, ¾ÆÄí¾Æ´Â Â÷¿øÀÌ ´Ù¸¥ ÅëÇÕ ¿ª·®°ú ¿£µåÅõ¿£µå º¸È£ ±â´ÉÀ¸·Î CNAPP Ä«Å×°í¸®¸¦ »õ·Ó°Ô ¾²°í ÀÖ´Ù. ¾ÆÄí¾Æ ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È ¼Ö·ç¼ÇÀº ¡âÄÚµå ½ºÄ³´× ¡âCI/CD Çü»ó °ü¸® ¡âÆÄÀÌÇÁ¶óÀÎ º¸¾È ¡âÂ÷¼¼´ë SBOM ¡â¿ÀǼҽº »óÅ Æò°¡ µîÀÇ ±â´ÉÀÌ ÀÖ´Ù.
ù ¹ø°·Î ¡®ÄÚµå ½ºÄ³´×¡¯Àº °³¹ßÀÚ ¿öÅ©Ç÷ΠÁß´Ü ¾øÀÌ ¸î ºÐ ¾È¿¡ Äڵ带 ½ºÄµÇÒ ¼ö ÀÖ´Ù. ¿ÀǼҽº Ŭ¶ó¿ìµå ³×ÀÌƼºê º¸¾È ½ºÄ³³ÊÀÇ ¿£ÅÍÇÁ¶óÀÌÁî ¹öÀüÀÎ ¾ÆÄí¾Æ Æ®¸®ºñ ÇÁ¸®¹Ì¾ö(Aqua Trivy Premium)À» ÅëÇØ ÄÚµå ¾È¿¡ ¼û¾î ÀÖ´Â Ãë¾àÁ¡°ú ±âŸ À§ÇèÀÇ ¼öÁ¤ÀÌ °¡´ÉÇØ ´õ¿í ºü¸£°Ô °³¹ßÇÏ°í ¾ÈÀü¼ºÀ» È®º¸Çß´Ù.
µÎ ¹ø°´Â ¡®CI/CD Çü»ó °ü¸®¡¯ ±â´ÉÀ¸·Î ¿¬¼Ó ÅëÇÕ ¹× ¿¬¼Ó ¹èÆ÷(CI¡¤CD) ÅøüÀÎÀÇ º¸¾ÈÀ» È®º¸ÇØ Á¦·Î Æ®·¯½ºÆ® DevOps ȯ°æÀ» Á¶¼ºÇÒ ¼ö ÀÖ´Ù. ÃÖ¼Ò ±ÇÇÑ ¾×¼¼½º¸¦ Àû¿ëÇØ º¸¾È À§ÇèÀ» ³·Ãß°í ÄÄÇöóÀ̾𽺠¿ä°ÇÀÇ ÃæÁ·ÀÌ °¡´ÉÇÏ´Ù. DevOps Ç÷§Æû(GitHub, Jenkins, Nexus µî)ÀÇ ±¸¼º ¿À·ù¸¦ ¼Õ½±°Ô ã¾Æ ¼öÁ¤ÇÒ ¼ö ÀÖÀ¸¸ç, Çʼö º¸¾È È®ÀÎ ´©¶ô, »ç¿ëÀÚ °èÁ¤ ÀÏ°ý º¯°æ, ¹Î°¨ÇÑ ÄÚµå ¸®Æ÷ÁöÅ丮 º¯°æ µî ³»ºÎ À§ÇùÀ» ã¾Æ³¾ ¼ö ÀÖ´Ù.
¼¼ ¹ø°´Â ¡®ÆÄÀÌÇÁ¶óÀÎ º¸¾È¡¯À¸·Î ½Å±Ô ¶Ç´Â À§¹Ý CI ÆÄÀÌÇÁ¶óÀÎÀ» ã¾Æ³» ÇÑ ¹øÀÇ Å¬¸¯À¸·Î Á¶Á÷ Àüü¿¡ ¸ÂÃãÇü º¸¾È º¸Àå Á¤Ã¥À» Àû¿ëÇÒ ¼ö ÀÖ´Ù. ÇÁ·Î´ö¼Ç ÆÄÀÌÇÁ¶óÀο¡ ±¸Ã¼ÀûÀÎ ÁýÇà ¹æ½ÄÀ» ¼³Á¤ÇØ ½Å±Ô ¾ÆƼÆÑÆ®ÀÇ ¼¸í ¿©ºÎ¸¦ È®ÀÎÇÏ°í, Ãë¾àÁ¡°ú ½ÃÅ©¸´, IaC ±¸¼º ¿À·ù¸¦ È®ÀÎÇØÁØ´Ù.
³× ¹ø°´Â ¡®Â÷¼¼´ë SBOM¡¯À¸·Î ±âº»ÀûÀÎ SBOM(¼ÒÇÁÆ®¿þ¾î ÀÚÀç¸í¼¼¼) »ý¼º¿¡ ±×Ä¡Áö ¾Ê°í, ÄÚµå º¯°æºÎÅÍ ºôµå ÇÁ·Î¼¼½º, ÃÖÁ¾ ¾ÆƼÆÑÆ® »ý¼º¿¡ À̸£±â±îÁö ¸ðµç ´Ü°è¿Í Á¶Ä¡¸¦ ºüÁü¾øÀÌ ±â·ÏÇØÁØ´Ù. »ç¿ëÀÚ´Â ¼¸íÀ» ÅëÇØ ÄÚµå ÀÌ·ÂÀ» °ËÁõÇÏ°í, ÀڱⰡ ¸¸µç Äڵ尡 °³¹ß ÅøüÀο¡¼ ³ª¿Â ÄÚµå¿Í µ¿ÀÏÇÑÁö È®ÀÎÇÒ ¼ö ÀÖ´Ù.
´Ù¼¸ ¹ø°´Â ¡®¿ÀǼҽº »óÅ Æò°¡¡¯·Î ¿ÀǼҽº ÄÚµåÀÇ »óÅÂ¿Í ÆòÆÇÀ» Æò°¡ÇÒ ¼ö ÀÖ´Ù. ¾ÆÄí¾Æ´Â Ç°Áú, º¸Àü¼º, Àα⵵, °ø±Þ¸Á »ç°í À§Çèµµ¸¦ ±âÁØÀ¸·Î ¿ÀǼҽº ÆÐÅ°Áö¸¦ ÇϳªÇϳª Æò°¡ÇÑ´Ù. ¾ÆÄí¾Æ ¼Ö·ç¼ÇÀº À§ÇèÇÑ Äڵ尡 Äڵ庣À̽º¿¡ µé¾î¿ÀÁö ¸øÇϵµ·Ï ÀÚµ¿À¸·Î Â÷´ÜÇÏ°í, À§ÇèÇÑ ÆÐÅ°Áö¸¦ °³¹ßÀÚ¿¡°Ô ½Ç½Ã°£À¸·Î ¾Ë·ÁÁØ´Ù.
¾Æ¹Ì¸£ Àúºñ(Amir Jerbi) ¾ÆÄí¾Æ ÃÖ°í±â¼úÃ¥ÀÓÀÚ(CTO) °â °øµ¿ â¾÷ÀÚ´Â ¡°´Ù¸¥ º¥´õ´Â ¸ðµÎ Áß¿äÇÑ ºÎºÐÀ» ³õÄ¡°í ÀÖ´Ù¡±¸ç ¡°ºôµå¿¡ ÁýÁßÇÏ´Â ¼Ö·ç¼Ç, ÄÚµå¿Í ºôµå¿¡ ÁýÁßÇÏ´Â ¼Ö·ç¼Çµµ ÀÖÁö¸¸, ÄÚµå, ºôµå, ¹èÆ÷, ·±Å¸ÀÓ Àü ´Ü°è¿¡¼ º¸¾È Á¶Ä¡¸¦ ÃëÇÏ´Â ¼Ö·ç¼ÇÀº ¾ÆÄí¾Æ»Ó¡±À̶ó°í ¸»Çß´Ù. ±×´Â ÀÌ¾î ¡°ÀÌÁ¦ °³¹ßÆÀ°ú º¸¾ÈÆÀÀº ¾Æ¹«·± °ÆÁ¤ ¾øÀÌ Å¬¶ó¿ìµå ³×ÀÌƼºê ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß ¿ª·®À» ±â¸£°í °ø±Þ¸Á °ø°ÝÀ» ¿¹¹æÇÒ ¼ö ÀÖ°Ô µÆ´Ù¡±°í ¼³¸íÇß´Ù.
ÇÑÆí, ¾ÆÄí¾Æ´Â À̹ø SW °ø±Þ¸Á º¸¾È ¼Ö·ç¼Ç Ãâ½Ã¸¦ ÅëÇØ Áö³ÇØ 12¿ù¿¡ ÀμöÇÑ ¾Æ¸£°ï ½ÃÅ¥¸®Æ¼(Argon Security)¿ÍÀÇ ±â¼ú ÅëÇÕÀ» ¿Ï¼ºÇßÀ¸¸ç, ¼ÒÇÁÆ®¿þ¾î °ø±Þ¸Á º¸¾È Æò°¡¸¦ ¿¹¾àÇÒ ¼ö ÀÖ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>