ÀÀ´äÀÚ 91% SW °³¹ß ´Ü°è¼ µ¥ºê¼½¿É½º µµÀÔ¡¤½ÇÇà ÀÛ¾÷ ¾ÈÁ¤Àû
[º¸¾È´º½º ÀÌ¼Ò¹Ì ±âÀÚ] »çÀ̹ö º¸¾È Àü¹®±â¾÷ KMSÅ×Å©³î·ÎÁö(KMS Technology, ´ëÇ¥ ÀÌâǥ)´Â ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ºÐ¾ßÀÇ ±Û·Î¹ú ±â¾÷ ½Ã³ô½Ã½º(Synopsys)°¡ ¡®2023 µ¥ºê¼½¿É½º(DevSecOps) ±Û·Î¹ú ÇöȲ ¸®Æ÷Æ®(Global State of DevSecOps 2023)¡¯¸¦ ¹ßÇ¥Çß´Ù°í ¹àÇû´Ù. ÇØ´ç ¸®Æ÷Æ®´Â Àü ¼¼°è °¢Áö 1,000¸í ÀÌ»óÀÇ IT Àü¹®°¡¸¦ ´ë»óÀ¸·Î ÇÑ ¼¾¼½º¿ÍÀ̵å(Censuswide)ÀÇ Á¶»ç¸¦ ±â¹ÝÀ¸·Î ¼ÒÇÁÆ®¿þ¾î º¸¾È¿¡ ¿µÇâÀ» ¹ÌÄ¡´Â Àü·«¡¤µµ±¸¡¤±âÁØ µî¿¡ °üÇÑ ½ÉÃþ ºÐ¼® Á¤º¸¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù.
¡ã¡®2023 µ¥ºê¼½¿É½º(DevSecOps) ±Û·Î¹ú µµÀÔ ÇöȲ ¸®Æ÷Æ®¡¯[À̹ÌÁö=½Ã³ô½Ã½º]
2023 µ¥ºê¼½¿É½º(DevSecOps) ±Û·Î¹ú ÇöȲ ¸®Æ÷Æ® ÀÀ´äÀÚ Áß 91%´Â ¼ÒÇÁÆ®¿þ¾î °³¹ß ´Ü°è¿¡ ¡âIT °³¹ß ¡â¹èÆ÷ ¡â»ý»ê ¡â¿î¿µ ¡â°ü¸®¿¡ À̸£±â±îÁö Àü °úÁ¤¿¡ º¸¾ÈÀ» ÅëÇÕ½ÃŲ ¡®µ¥ºê¼½¿É½º(DevSecOps)¡¯ µµÀÔ°ú ½ÇÇà ÀÛ¾÷ÀÌ ¾ÈÁ¤ÀûÀ¸·Î Á¤ÂøÇØ ¼ÒÇÁÆ®¿þ¾î °³¹ßÀÇ ÀϺηΠÀÚ¸® ÀâÀº °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
ÇÏÁö¸¸ È¿°úÀûÀÎ µ¥ºê¼½¿É½º ¹æ¹ýÀÇ ±¸ÇöÀº Çö½ÇÀûÀ¸·Î Áö¼ÓÀûÀ¸·Î ¸¹Àº Àå¾Ö¹°¿¡ Á÷¸éÇÏ°í ÀÖ´Ù. ±× Áß µ¥ºê¼½¿É½º ±¸ÇöÀÌ ¾î·Á¿î 2°¡Áö ÁÖ¿ä Àå¾Ö ¿äÀÎÀ» ²Å¾Ò´Ù.
ù ¹ø°´Â ÁÖ¿ä Ãë¾àÁ¡À» ã¾Æ ÇØ°áÇϴµ¥ ¼Ò¿äµÇ´Â ½Ã°£ ´ÜÃàÀÌ ÇÊ¿äÇÏ´Ù´Â ¹®Á¦¿Í µÎ ¹ø°·Î ¿©·¯ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Å×½ºÆ®(AST) µµ±¸¸¦ ÅëÇØ ¾òÀº ºÐ¼® °á°ú°¡ ÀÖÁö¸¸ ´ã´çÀÚ¸¶´Ù °¢±â ´Ù¸¥ ºñÁî´Ï½º ¿ì¼±¼øÀ§·Î À̸¦ ¸ðµÎ ÃæÁ·½ÃÅ°±â ¾î·Æ´Ù´Â Á¡À̾ú´Ù.
Ãë¾àÁ¡ ´ëÀÀ ½Ã°£ ´ÜÃàÀÇ Çʿ伺
ÀÀ´äÀÚÀÇ 28%´Â ¹èÆ÷µÈ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ÁÖ¿ä º¸¾È À§Çè, Ãë¾àÁ¡ ÆÐÄ¡ ÁøÇà ½Ã ÃÖ´ë 3ÁÖ°¡ °É¸°´Ù°í ´äÇßÀ¸¸ç, 20%´Â ÃÖ´ë ÇÑ ´ÞÀÌ °É¸± ¼ö ÀÖ´Ù°í ´äÇß´Ù. ÀÌ·¯ÇÑ ¼öÄ¡´Â ±× ¾î´À ¶§º¸´Ù Ãë¾àÁ¡ÀÌ ºü¸£°Ô ¾Ç¿ëµÇ°í ÀÖ´Ù´Â Á¡¿¡¼ ƯÈ÷ ¿ì·Á½º·´´Ù´Â ¹ÝÀÀÀÌ´Ù. ÃÖ±Ù ¿¬±¸¿¡ µû¸£¸é º¸°íµÈ Ãë¾àÁ¡ÀÇ Àý¹Ý ÀÌ»óÀÌ °ø°³ ÈÄ ÀÏÁÖÀÏ À̳»¿¡ ºü¸¥ ¼Óµµ·Î ¾Ç¿ëµÇ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
ºñÁî´Ï½º ¿ì¼±¼øÀ§ÀÇ ´Ù¾ç¼º
º¸°í¼ ¼¹®¿¡ ¡®µ¥ºê¼½¿É½º¡¯¶ó´Â ¿ë¾î°¡ ¿©·¯ ºÐ¾ß¸¦ Æ÷°ýÇϸç, °¢ ºÐ¾ßº°·Î °íÀ¯ ¿µ¿ªÀÌ ÀÖ¾î ´ã´çÀÚ°¡ ¸ÃÀº ºÐ¾ß¿¡ µû¶ó ¡®ºñÁî´Ï½º ¿ì¼±¼øÀ§¡¯°¡ ´Ù¸¥ Àǹ̸¦ °¡Áú ¼ö ÀÖ´Ù°í º¸°í ÀÖ´Ù. ¿¹¸¦ µé¾î ºñÁî´Ï½º ¸®´õµéÀº ÃÖ¿ì¼±ÀûÀ¸·Î ¡®AppSec µµ±¸¡¯°¡ ¾ó¸¶³ª È¿°úÀûÀÎÁö ÆľÇÇÏ°í, ÆÀ ÀüüÀÇ ¼º°ú¡¤¼º´É¿¡ ´ëÇÑ °¡½ÃÀûÀÎ È¿°ú¸¦ ¿øÇÑ´Ù. ¹Ý¸é¿¡ °³¹ß¡¤¿î¿µÆÀÀº ¸ðµç ¹®Á¦¿¡ ´ëÇØ Áß¾ÓÁýÁßÇüÀ¸·Î ÅëÇÕÀûÀ¸·Î º¸±â ¿øÇÏ°í Àִµ¥ À̸¦ ÅëÇØ °¡Àå Áß¿äÇÑ º¸¾È È°µ¿À» ½Äº°ÇÒ ¼ö ÀÖ´Ù. º¸¾È¿¡ ÁßÁ¡À» µÐ »ç¶÷µéÀº ÀÌ·¯ÇÑ À§Çè ¿ä¼Ò Á¦°Å¸¦ À§ÇØ Áß¿äÇÑ ¹®Á¦¸¦ ¿ì¼± ¼øÀ§¸¦ ºü¸£°Ô Á¤ÇØ ½Å¼ÓÇÏ°Ô Ã³¸®Çϱ⸦ ¿øÇÑ´Ù.
2023 µ¥ºê¼½¿É½º ±Û·Î¹ú ÇöȲ ¸®Æ÷Æ®´Â ¿¬µ¿µÇÁö ¾Ê´Â ¡â°í¸³µÈ º¸¾È µµ±¸ ¡â°úºÎÈµÈ ÆÀ ¾÷¹« ¡âÃë¾àÁ¡ ÇØ°á¿¡ ¿À·£ ½Ã°£ÀÌ ¼Ò¿äµÊ¿¡ µû¶ó ¹ß»ýÇÏ´Â ¹®Á¦Á¡µéÀ» ÇØ°áÇÏ´Â °ÍÀÌ ¼º°øÀûÀÎ µ¥ºê¼½¿É½º ±¸ÃàÀ» À§ÇÑ ±Ùº»ÀûÀÎ °úÁ¦¶ó°í ÁöÀûÇß´Ù. ¿©·¯ ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È Å×½ºÆ® µµ±¸¸¦ »ç¿ëÇÏ´Â ´Ù¾çÇÑ µ¥ºê¼½¿É½º ÆÀÀÌ ÀÖ´Â Á¶Á÷ÀÇ °æ¿ì, ASPM(¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ż¼ °ü¸®) ¼Ö·ç¼ÇÀ» »ç¿ëÇØ Àüü ¾ÖÇø®ÄÉÀ̼ÇÀÇ Ãë¾àÁ¡À» ºÐ¼®ÇÏ°í ÅëÇÕ °ü¸®ÇÒ ¼ö ÀÖ¾î ÀÌ·¯ÇÑ ¹®Á¦¸¦ È¿°úÀûÀ¸·Î ÇØ°áÇÒ ¼ö ÀÖ´Ù.
½Ã³ô½Ã½ºÀÇ ASPM ¼Ö·ç¼ÇÀÎ ¡®¼ÒÇÁÆ®¿þ¾î ¸®½ºÅ© ¸Å´ÏÀú(Software Risk Manager)¡¯´Â °³¹ß¡¤¹èÆ÷±îÁö ¾ÖÇø®ÄÉÀ̼ÇÀÇ À§ÇèÀ» Áö¼ÓÀûÀ¸·Î °ü¸®ÇÑ´Ù. ¼ÒÇÁÆ®¿þ¾î ¸®½ºÅ© ¸Å´ÏÀú´Â ¿©·¯ ¼Ò½º¿¡¼ µ¥ÀÌÅ͸¦ ¼öÁýÇÑ ´ÙÀ½ ´õ ½¬¿î Çؼ®¡¤ºÐ·ù¡¤ÇØ°áÀ» À§ÇØ °á°úÀÇ »ó°ü°ü°è¸¦ ºÐ¼®ÇÑ´Ù. ¶ÇÇÑ º¸¾È µµ±¸ÀÇ °ü¸® ¹× Á¶Á¤ °èÃþ ¿ªÇÒÀ» ÇÔÀ¸·Î½á º¸¾È Á¤Ã¥À» Á¦¾îÇÏ°í ½ÃÇàÇÒ ¼ö ÀÖ´Ù. ±×¸®°í ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È °á°ú¿¡ ´ëÇÑ ÅëÇÕµÈ °üÁ¡À» Á¦°øÇÔÀ¸·Î½á ¼ÒÇÁÆ®¿þ¾î ¸®½ºÅ© ¸Å´ÏÀú´Â Àüü ¾ÖÇø®ÄÉÀÌ¼Ç ¶Ç´Â ½Ã½ºÅÛ Àü¹Ý¿¡ °ÉÃÄ º¸¾È ¹× À§Çè »óÅ¿¡ ´ëÇÑ Æ÷°ýÀûÀÎ °¡½Ã¼ºÀ» Á¦°øÇØ ¼º°øÀûÀÎ µ¥ºê¼½¿É½º ±¸ÃàÀ» È¿°úÀûÀ¸·Î Áö¿øÇÒ ¼ö ÀÖ´Ù.
±â¾÷ÀÌ ºñÁî´Ï½º ¿ä±¸ »çÇ×À» ÃæÁ·ÇÏ¸é¼ ´Ù¸¥ µ¥ÀÌÅ͵é°ú ¿¬°áµÇÁö ¸øÇÏ°í °í¸³µÈ º¸¾È µµ±¸°£ÀÇ ÀÏ°ü¼º È®º¸¿¡ ¾î·Á¿òÀ» °Þ°í ÀÖ´Ù¸é, ¡®¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È ż¼ °ü¸®(ASPM : Application Security Posture Management)¡¯ ¼Ö·ç¼ÇÀ» ÅëÇØ È¿°úÀûÀÎ ÇØ°á¹æ¹ýÀ» ãÀ» ¼ö ÀÖ´Ù. Á¶Á÷Àº »óȲº° Á¶Á¤ ¹× ¿ì¼±¼øÀ§ ÁöÁ¤À» ÀÚµ¿ÈÇÏ´Â ASPM ¼Ö·ç¼ÇÀ» ÅëÇØ ´ÙÀ½°ú °°Àº ³»¿ëµé¿¡ ´õ ÁýÁßÇÒ ¼ö ÀÖ´Ù.
- °³¹ß¡¤º¸¾È Å×½ºÆ® µµ±¸ ¹× ¿î¿µ ¸ð´ÏÅ͸µ µµ±¸¿Í ÅëÇÕÇØ ASPM ¼Ö·ç¼ÇÀº Á¶Á÷ ³» ¿©·¯ º¸¾È °ü·Ã Á¤º¸¸¦ ÇϳªÀÇ ÅëÇÕµÈ º¸±â¸¦ Á¦°øÇÑ´Ù.
- ƯÁ¤ ¾ÖÇø®ÄÉÀ̼ǰú Ãë¾àÁ¡À» ºÐ¼®ÇÏ´Â ¿©·¯ µµ±¸ÀÇ µ¥ÀÌÅ͸¦ »óÈ£ ¿¬°ü½ÃÅ°°í ±×·ìÈÇÔÀ¸·Î½á ASPM ¼Ö·ç¼ÇÀº ¾ÖÇø®ÄÉÀ̼ÇÀÇ Àü¹ÝÀûÀÎ º¸¾È »óŸ¦ Á¾ÇÕÀûÀ¸·Î ÆľÇÇÒ ¼ö ÀÖ´Ù. µ¥ºê¼½¿É½º ±×·ìÀº °¢ÀÚÀÇ ¿ªÇÒ ¹× Ã¥ÀÓ°ú °ü·ÃµÈ µ¥ÀÌÅ͸¦ »ý¼ºÇÒ ¼ö ÀÖ´Ù. ¶ÇÇÑ ASPM ¼Ö·ç¼ÇÀ» ÅëÇØ Çö¾÷ °ü¸®ÀÚ¿Í ´õ ³ÐÀº °üÁ¡À» ÇÊ¿ä·Î ÇÏ´Â »ç¶÷µéÀÌ ÀÌÇØÇÒ ¼ö ÀÖ´Â ¹æ½ÄÀ¸·Î µ¥ÀÌÅ͸¦ º¼ ¼ö ÀÖ´Ù.
- ASPM ¼Ö·ç¼ÇÀ» »ç¿ëÇϸé ƯÁ¤ ¾ÖÇø®ÄÉÀ̼ǰú Ãë¾àÁ¡À¸·Î ÀÎÇØ ¹ß»ýÇÒ ¼ö Àִ ƯÁ¤ À§Çè¿¡ ´ëÇÑ º¸¾È Á¤Ã¥À» »ý¼º¡¤Àû¿ëÇÒ ¼ö ÀÖ´Ù. °³¹ß ¹× ¿î¿µ°ú ÅëÇÕµÈ °æ¿ì ASPM ¼Ö·ç¼ÇÀº ÀÎÇÁ¶ó¸¦ È®º¸ÇØ ÇØ°áÀÌ ÇÊ¿äÇÑ º¸¾È ¹®Á¦¸¦ ÇÁ·Î¼¼½º Ãʱ⿡ °¡´ÉÇÑ ÇÑ »¡¸® ½Äº°ÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÑ´Ù.
°¡Æ®³Ê(Gartner)´Â 2021³â µ¥ÀÌÅ͸¦ »ç¿ëÇØ ¾à 5%°¡ Á¶»ç ´ë»ó Á¶Á÷ Áß ASPM ¼Ö·ç¼ÇÀ» äÅÃÇ߰ųª ASOC(Application Security Orchestration and Correlation)À» äÅÃÇß´Ù°í ¹àÇû´Ù. °¡Æ®³Ê´Â ÇâÈÄ Ã¤Åà ¼Óµµ°¡ ºü¸£°Ô °¡¼Ó鵃 °ÍÀ¸·Î ¿¹»óÇϸç, ÀÌ·¯ÇÑ ¿¹ÃøÀº 2023³â ¼³¹® Á¶»ç °á°ú¿¡¼ ÀÀ´äÀÚÀÇ 28%°¡ ASOC/ASPMÀ» »ç¿ëÇÏ°í ÀÖ´Â °ÍÀ¸·Î ³ªÅ¸³²À¸·Î½á È®Àεǰí ÀÖ´Ù.
À̹ø ¸®Æ÷Æ®´Â ¹Ì±¹, ¿µ±¹, ÇÁ¶û½º, Çɶõµå, µ¶ÀÏ, Áß±¹, ½Ì°¡Æ÷¸£, ÀϺ» µîÀÇ IT °ü¸®ÀÚ 1,000¿©¸íÀÌ ÀÀ´äÇß´Ù. ÀÌ ¸®Æ÷Æ®´Â µ¥ºê¼½¿É½ºÀÇ ¡âäÅà ÇöȲ ¡âÁÖ¿ä º¸¾È °üÇà ¡â¼º°øÀûÀÎ µ¥ºê¼½¿É½º Àû¿ëÀ» À§ÇÑ ±³Â÷ ±â´É ÆÀÀÇ Á߿伺 ¡âº¸¾È ÇÁ·Î±×·¥ ¼º´ÉÀ» È¿°úÀûÀ¸·Î ÃøÁ¤ÇÏ´Â ¹æ¹ý ¡âÇâÈÄ AI°¡ µ¥ºê¼½¿É½º¿¡ °¡Á®¿Ã ¼ö ÀÖ´Â °¡´É¼º¡¤À§Ç輺°ú °°Àº ÁÖÁ¦¸¦ ´Ù·ç°í ÀÖ´Ù.
½Ã³ô½Ã½ºÀÇ °ø½Ä ä³Î ÆÄÆ®³Ê»çÀÎ KMSÅ×Å©³î·ÎÁö Ãֿ쿵 ºÎ»çÀåÀº ¡°µ¥ºê¼½¿É½º ±¸ÃàÀ» À§ÇØ ¸¹Àº °í°´µéÀÌ ´Ù¾çÇÑ ³ë·ÂÀ» ±â¿ïÀÌ°í ÀÖÁö¸¸ ´Ù¾çÇÑ º¸¾È µµ±¸ »çÀÌ¿¡¼ ÀÏ°ü¼ºÀ» È®º¸ÇÏÁö ¸øÇÏ°í ¼ö¸¹Àº ¿ä±¸ »çÇ×À» µû¸£±â ¾î·Á¿î °í°´µéÀÌ ¸¹´Ù¡±¸é¼, ¡°À̹ø¿¡ ¹ßÇ¥µÈ ½Ã³ô½Ã½ºÀÇ 2023 µ¥ºê¼½¿É½º ¸®Æ÷Æ®¸¦ ÅëÇØ °í°´µéÀÌ µ¥ºê¼½¿É½º¿Í °ü·ÃµÈ ¹®Á¦ ÇØ°áÀÇ ÀλçÀÌÆ®¸¦ ¾ò¾î°¥ ¼ö ÀÖ±æ ¹Ù¶ó¸ç ¼ÒÇÁÆ®¿þ¾î ¸®½ºÅ© ¸Å´ÏÀú(Software Risk Manager)¿Í °°Àº ASPM ¼Ö·ç¼ÇÀ» »ç¿ëÇÔÀ¸·Î½á °³¹ßºÎÅÍ ¹èÆ÷±îÁö ÀÏ°ü¼º ÀÖ´Â °ü¸®¸¦ Á¦°ø¹Þ°Ô µÇ±â¸¦ ±â´ëÇÑ´Ù¡±°í ¹àÇû´Ù.
ÇÑÆí KMSÅ×Å©³î·ÎÁö´Â Synopsys SIG±×·ì(Synopsys Software Integrity Group)ÀÇ ÆÄÆ®³Ê»ç·Î¼ Áö³ 9³â°£ Çù·ÂÇÏ¸ç ¿ÀǼҽº º¸¾ÈÃë¾àÁ¡ ¹× ¶óÀ̼±½º Á¡°Ë µµ±¸ÀÎ ¡âºí·¢´ö(Black Duck¢ç) ¡âÄ¿¹ö¸®Æ¼('Coverity¢ç) ¡âµðÆæÁ÷½º(Defensics¢ç)¿Í °°ÀÌ ±Û·Î¹ú ¼Ö·ç¼ÇÀ» °ø±Þ¡¤Áö¿øÇÏ°í ÀÖ´Ù.
[ÀÌ¼Ò¹Ì ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>