데브섹옵스 클라우드 네이티브 환경에서 ‘비밀’을 유지하는 방법
2022.04.07
ⓒChris Hughes | CSO/ itworld
데브섹옵스(DevSecOps) 도입이 활발히 이뤄지면서 많은 기업이 클라우드 네이티브 아키텍처를 활용해 안전한 소프트웨어 결과물을 확보하는 동시에 개발, 보안, 운영 부서 간의 사일로를 허물 방안을 모색하고 있다. 하지만 데브섹옵스 여정 전반에서 해결해야 문제가 여전히 존재한다. 바로 비밀 관리다.
비밀은 기업이 비공개로 유지하고자 하는 정보로 구성된다. 로그인 인증 정보, 액세스 키, 인증서가 대표적이다. IBM의 데이터 침해 보고서에서 드러난 바와 같이 인증 정보와 비밀은 각종 사이버 공격과 데이터 침해의 단골 표적으로, 유출 시 악의적 행위자에게 초기 또는 횡적 액세스 권한을 제공하는 역할을 한다.
코드코브(Codecov), 트위치(Twitch)를 포함한 여러 데이터 침해 사건에서 허술한 보안 관리 관행이 주요한 원인으로 작용했다. 최근 삼성의 소스 코드 일부분이 노출된 삼성 데이터 침해 사건에서는 6,000개 이상의 비밀 키가 노출 정보에 포함됐다.
비밀 관리 문제의 심각성은 지난 몇 년 동안 계속해서 증가했다. 최근 깃가디언(GitGuardian)이 발행한 2022년 비밀 노출 현황 보고서(State of Secrets Sprawl 2022)에 따르면, 2021년 공개 깃허브 리포지토리를 스캔한 결과 600만 개 이상의 비밀이 감지됐다. 2020년에 비해 2배 증가한 수치다.
(후략)
[원문 기사 :https://www.itworld.co.kr/news/231529]
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지.
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 343852 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 333644 | 2020-10-27 |
9921 | [주간 OSS 동향 리포트]오픈스택 10주년, 25번째 버전 '요가' 공개 | 4272 | 2022-04-11 |
9920 | 사람 말 이해하는 NLP, 스타트업 업고 떠올라 | 3786 | 2022-04-11 |
9919 | 웹어셈블리 기반의 유력 언어 프로젝트 13종 | 4619 | 2022-04-08 |
9918 | 러스트 개발진, '개발 편의성' 강조한 러스트 2024 로드맵 발표 | 3977 | 2022-04-08 |
9917 | 도커, 1억 5,000만 달러 규모 시리즈 C 투자 유치 | 3782 | 2022-04-07 |
9916 | “제네릭 자바 클래스 호환성 향상 外” 코틀린 1.6.20 출시 | 3593 | 2022-04-07 |
9915 | 채용 분석 기관 "테크 직종 취업, '이 언어' 마스터하면 면접 기회 확보 유리해“ | 3626 | 2022-04-07 |
9914 | 15년된 버그, 피어 PHP 리포지터리에서 발견돼 | 3990 | 2022-04-07 |
9913 | 데브섹옵스 클라우드 네이티브 환경에서 ‘비밀’을 유지하는 방법 | 3740 | 2022-04-07 |
9912 | IT 신입 개발자, 최다 검색어는 '자바' | 3526 | 2022-04-06 |
0개 댓글