Home > 열린마당 > 공개SW 소식

공개SW 소식

데브섹옵스 클라우드 네이티브 환경에서 ‘비밀’을 유지하는 방법

support1 게시글 작성 시각 2022-04-07 09:26:29 게시글 조회수 1131

2022.04.07
Chris Hughes | CSO/ itworld

 

데브섹옵스(DevSecOps) 도입이 활발히 이뤄지면서 많은 기업이 클라우드 네이티브 아키텍처를 활용해 안전한 소프트웨어 결과물을 확보하는 동시에 개발, 보안, 운영 부서 간의 사일로를 허물 방안을 모색하고 있다. 하지만 데브섹옵스 여정 전반에서 해결해야 문제가 여전히 존재한다. 바로 비밀 관리다.

비밀은 기업이 비공개로 유지하고자 하는 정보로 구성된다. 로그인 인증 정보, 액세스 키, 인증서가 대표적이다. IBM의 데이터 침해 보고서에서 드러난 바와 같이 인증 정보와 비밀은 각종 사이버 공격과 데이터 침해의 단골 표적으로, 유출 시 악의적 행위자에게 초기 또는 횡적 액세스 권한을 제공하는 역할을 한다.
코드코브(Codecov), 트위치(Twitch)를 포함한 여러 데이터 침해 사건에서 허술한 보안 관리 관행이 주요한 원인으로 작용했다. 최근 삼성의 소스 코드 일부분이 노출된 삼성 데이터 침해 사건에서는 6,000개 이상의 비밀 키가 노출 정보에 포함됐다.
비밀 관리 문제의 심각성은 지난 몇 년 동안 계속해서 증가했다. 최근 깃가디언(GitGuardian)이 발행한 2022년 비밀 노출 현황 보고서(State of Secrets Sprawl 2022)에 따르면, 2021년 공개 깃허브 리포지토리를 스캔한 결과 600만 개 이상의 비밀이 감지됐다. 2020년에 비해 2배 증가한 수치다.

(후략)

 

[원문 기사 :https://www.itworld.co.kr/news/231529]

 

본 내용은 한국아이디지() (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.

Copyright 2020 International Data Group. 무단전재 및 재배포 금지.

 

 

 

 

맨 위로
맨 위로