2022.04.07
ⓒChris Hughes | CSO/ itworld
데브섹옵스(DevSecOps) 도입이 활발히 이뤄지면서 많은 기업이 클라우드 네이티브 아키텍처를 활용해 안전한 소프트웨어 결과물을 확보하는 동시에 개발, 보안, 운영 부서 간의 사일로를 허물 방안을 모색하고 있다. 하지만 데브섹옵스 여정 전반에서 해결해야 문제가 여전히 존재한다. 바로 비밀 관리다.
비밀은 기업이 비공개로 유지하고자 하는 정보로 구성된다. 로그인 인증 정보, 액세스 키, 인증서가 대표적이다. IBM의 데이터 침해 보고서에서 드러난 바와 같이 인증 정보와 비밀은 각종 사이버 공격과 데이터 침해의 단골 표적으로, 유출 시 악의적 행위자에게 초기 또는 횡적 액세스 권한을 제공하는 역할을 한다.
코드코브(Codecov), 트위치(Twitch)를 포함한 여러 데이터 침해 사건에서 허술한 보안 관리 관행이 주요한 원인으로 작용했다. 최근 삼성의 소스 코드 일부분이 노출된 삼성 데이터 침해 사건에서는 6,000개 이상의 비밀 키가 노출 정보에 포함됐다.
비밀 관리 문제의 심각성은 지난 몇 년 동안 계속해서 증가했다. 최근 깃가디언(GitGuardian)이 발행한 2022년 비밀 노출 현황 보고서(State of Secrets Sprawl 2022)에 따르면, 2021년 공개 깃허브 리포지토리를 스캔한 결과 600만 개 이상의 비밀이 감지됐다. 2020년에 비해 2배 증가한 수치다.
(후략)
[원문 기사 :https://www.itworld.co.kr/news/231529]
※ 본 내용은 한국아이디지(주) (https://www.idg.co.kr/)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 2020 International Data Group. 무단전재 및 재배포 금지.
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 303432 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 293391 | 2020-10-27 |
1632 | 파이썬 로봇 프레임워크를 활용한 소프트웨어 자동화 테스트의 가능성 | 3674 | 2022-04-11 |
1631 | 웹어셈블리 기반의 유력 언어 프로젝트 13종 | 4502 | 2022-04-08 |
1630 | 데브섹옵스 클라우드 네이티브 환경에서 ‘비밀’을 유지하는 방법 | 3630 | 2022-04-07 |
1629 | [주간 OSS 동향 리포트]라인, 오픈소스 비영리재단 '아파치 소프트웨어 재단' 공식 후원 | 4159 | 2022-04-05 |
1628 | 닷넷 5.0, 5월 8일 보안 업데이트 등 지원 종료 | 4439 | 2022-03-28 |
1627 | "성급하면 결국 골칫거리 된다" 데이터베이스 선택 팁 5가지 | 3859 | 2022-03-22 |
1626 | 쿠버네티스 관리를 '더 쉽게' 만드는 15가지 툴 | 3692 | 2022-03-21 |
1625 | 글로벌 칼럼 | AWS는 경쟁자인가 파트너인가 | 3758 | 2022-03-18 |
1624 | [주간 OSS 동향 리포트]가트너, 2022년 주요 보안 및 리스크 관리 트렌드 발표 | 4039 | 2022-03-14 |
1623 | 구글이 CNCF에 K네이티브를 기부한 이유 | 3727 | 2022-03-08 |
0개 댓글