애플리케이션 개발은 혁신을 거듭해 대부분 자동화되었지만 보안은 여전히 고도로 수동적인 작업입니다. 개발자와 DevOps 실무자는 보안 전문가보다 100대 1이나 많습니다. 출시 시간에 대한 압박으로 인해 애플리케이션 팀과 보안 팀 간에 갈등이 발생했고, 이로 인해 보안이 병목 현상이라는 인식이 생겼습니다. 이는 종종 부적절한 테스트, 프로세스 단축, 비효율적인 감독으로 이어지는 심각한 딜레마입니다.

동시에 아키텍처, 클라우드, 타사 통합이 확산되면서 많은 조직의 위협 노출 영역이 극적으로 늘어났습니다. 크로스 사이트 스크립팅(XSS) 및 주입과 같은 애플리케이션 취약점은 20년 전 애플리케이션 보안이 시작된 이래로 널리 퍼져 있었지만 공격자들은 놀라운 속도로 이러한 취약점을 발견하고 악용하고 있습니다. 공격자는 자동화 프레임워크와 AI 강화 도구를 사용하여 인터넷을 검색하고, 금전적 이익을 위해 약점을 발견하고 악용하여 취약점을 빠르게 무기화합니다. 특히 오픈소스 소프트웨어는 취약점으로 인해 알려지지 않은 심각한 위험을 초래하는 경우가 많습니다.

F5 Labs에 따르면 , 가장 심각한 공격 중 하나인 원격 코드 실행이 가능한 심각한 취약점이 9시간마다 공개된다고 합니다. 2025년까지 일반적인 주당 500개의 새로운 CVE가 공개될 것으로 예상됩니다.

아키텍처, 클라우드, 개발자 프레임워크 전반에서 애플리케이션 보안의 증가하는 복잡성을 효과적으로 관리하려면 조직에서 전략을 바꾸고 관점을 바꿔야 합니다.

OWASP( Open Web Application Security Project )는 2001년에 기업 임원과 기업 이사회를 대상으로 효과적인 취약성 관리의 필요성을 설득하기 위해 설립되었습니다. 보안 공급업체와 커뮤니티 피드백을 포함하는 엄격한 접근 방식을 통해 가장 널리 퍼져 있고 중요한 애플리케이션 취약점 목록인 OWASP Top 10이 탄생했습니다.

XSS와 주입은 OWASP Top 10 목록이 처음 작성된 이래로 항상 포함되었지만, 소프트웨어 공급망에 대한 위협이 커지고 오픈소스 소프트웨어가 널리 퍼지며 기존 앱과 최신 앱 모두에 대한 보안과 액세스를 관리하는 운영상의 복잡성이 커지면서 애플리케이션 보안의 새로운 시대가 도래했습니다. 소프트웨어 업데이트, 중요 데이터 및 CI/CD 파이프라인 무결성이 모두 손상될 수 있습니다. 오픈소스 소프트웨어는 개발 속도를 상당히 높여주지만, 자체 개발된 맞춤형 소프트웨어에서 흔히 쓰이는 정적 코드 분석(SCA) 등의 통제 기능이 타사 소프트웨어에서는 항상 가능하거나 실용적이지 않기 때문에 위험 관리도 변화합니다.

2021년에 공격자들은 수천 개의 웹사이트와 애플리케이션에서 사용하는 널리 배포된 오픈소스 소프트웨어 라이브러리의 심각한 취약점을 악용하기 시작했습니다. 취약점에 대한 세부 정보가 공개된 직후였습니다. 이러한 취약점을 해결하지 않으면 원격 코드 실행이 가능해져 공격자가 웹사이트와 온라인 애플리케이션을 장악하고, 돈을 훔치고, 데이터를 침해하고, 고객 계정을 손상시킬 수 있습니다.

F5 Labs에서는 지난 20년 동안 CVE 환경이 크게 변화하여 취약점의 수가 증가하고 종류도 다양해졌다고 자세히 설명합니다. 이러한 변화 중 일부는 기술의 발전으로 인한 것이지만, 다른 변화는 데이터 수집 방식의 결과로 나타납니다.

기술의 급속한 발전은 기업의 사업 수행 방식을 변화시키고 있으며, 기업의 안전과 보안을 유지하기 위해 취해야 하는 조치도 변화시키고 있습니다. 오늘날 88%의 기업이 SaaS, 퍼블릭 클라우드/IaaS, 온프레미스(기존), 온프레미스(프라이빗 클라우드), 콜로케이션, 엣지를 포함하는 하이브리드 모델로 운영하고 있으며, 이러한 기업에서는 수동 튜닝의 부담을 덜고 탐지된 위협에 따라 보안 정책을 구축하는 자동화를 위해 AI를 활용하는 경우가 늘고 있습니다. 그린필드 프로젝트가 클라우드의 효율성을 활용할 수 있는 반면, 대부분의 기업 포트폴리오에는 데이터 센터, 클라우드 및 마이크로서비스의 다양한 아키텍처에 걸쳐 있는 레거시 앱과 최신 앱이 모두 포함됩니다.

애플리케이션의 폭발적 증가와 출시 속도 증가로 인해 위험 관리에도 근본적인 변화가 일어나고 있습니다. 네트워크 엔지니어가 인프라를 구축하지 못할 수도 있습니다. DevOps 팀은 턴키 클라우드 솔루션의 컨테이너와 같은 새로운 아키텍처를 사용하여 가상 및 일시적 인프라를 쉽게 만들 수 있으며 코드 빌드부터 서비스 배포까지 모든 것을 자동화할 수 있습니다. 애플리케이션 개발 주기에서 역할, 책임 및 작업 방식이 바뀌면서 보안이 뒤처지는 경우가 많습니다.

동시에 공격자들은 공격의 규모를 확장하기 위해 쉽게 구할 수 있는 도구와 프레임워크를 활용하는 등 공격 방법에서 효율성을 높이고 있습니다. 기본적으로 보안 전문가가 위험을 정량화하고 평가하는 데 사용하는 것과 동일한 방법을 사용하고 있는 것입니다.

또한, 기업은 비즈니스 연속성을 위해 여러 클라우드 공급자를 채택하는 경우가 점차 늘어나고 있습니다. 또한 기업들은 여러 클라우드 환경에서 특정 요구 사항을 해결하기 위한 노력으로 인해 도구의 확산을 경험하고 있습니다. 이로 인해 보안 담당자는 무엇이 보안되는지, 무엇이 보안되지 않는지 혼란스러워하는 경우가 많으며, 미묘한 차이로 인해 취약성이 발생할 수 있습니다. 일반적으로 보안 오류로 인해 발생합니다(예: AWS 공유 책임 모델 참조 ).

애플리케이션이 구축되고 배포되는 방식으로 인해 위험이 변화하고 있습니다. 따라서 애플리케이션 취약성 증가에 앞서나가기 위해 보안을 강화해야 합니다. 가시성과 일관성은 그 어느 때보다 중요하지만, 조직에서는 애플리케이션 보안을 구현하는 방식에 패러다임을 전환해야 합니다. 애플리케이션을 시작한 후에 보안 정책을 구성하고, 정책을 안정화하고 조정하기 위해 거짓 긍정을 조사한 다음, 앱을 위험에 빠뜨릴 수 있는 새로 공개된 취약점을 모니터링하는 대신, 애플리케이션 보안은 아키텍처, 클라우드 또는 프레임워크에 관계없이 코드에서 테스트를 거쳐 프로덕션에 이르기까지 애플리케이션 개발 라이프사이클에 본질적으로 통합되어야 합니다.

침투 테스트는 소프트웨어가 프로덕션에 투입되기 전에 중요한 위험을 밝혀내고 보안 팀에 중요한 통찰력을 제공하여 웹 애플리케이션 방화벽 정책과 같은 중요한 대책을 구현할 수 있도록 함으로써 완화 시간 곡선을 획기적으로 평탄화할 수 있습니다.

가장 효과적인 애플리케이션 보안은 자동화되고 통합되며 적응적입니다. 자동화를 통해 애플리케이션 출시, 배포 및 유지 관리 중에 운영 비용(OpEx)을 낮추고 중요한 보안 리소스에 대한 부담을 줄일 수 있습니다. 자동화된 정책 배포를 통해 소프트웨어 개발 수명 주기(SDLC) 초기에 보안 제어를 구현하고 안정화하여 효율성을 개선하고, 수동 개입을 줄이면서 효율성을 높이고, 정보 보안 부문에서 수많은 알림과 잠재적인 오탐지로부터 벗어나 보다 전략적인 위험 관리에 집중할 수 있습니다. 애플리케이션 개발 프레임워크와 지속적인 통합/지속적인 배포(CI/CD) 파이프라인에 대한 기본 통합을 통해 개발팀과 보안팀 간의 마찰이 줄어들고, 이는 더 나은 비즈니스 민첩성과 조직적 정렬로 이어집니다.

API 기반 배포 및 유지 관리를 통해 개발자 도구에 통합하면 인프라 복잡성을 추상화하고, 운영 오버헤드를 줄이며, 잘못된 구성을 방지하여 여러 아키텍처와 클라우드에서 정책 관리 및 변경 제어가 간소화됩니다.

또한 보안 완화책은 정확하고 탄력적이어야 고객을 실망시키거나 공격자가 감지를 피하기 위해 캠페인을 확대하는 것을 방지할 수 있습니다. 소비자는 개인화되고 큐레이션된 경험을 요구하며, 정교한 공격자는 쉽게 저지되지 않습니다.

사용성에 영향을 미치지 않는 효과적인 보안은 경쟁이 치열한 디지털 경제에서 고객을 확보하고 유지하는 데 중요한 차별화 요소가 될 수 있습니다. 

오늘날 앱은 곧 비즈니스이며, 이로 인해 앱에 대한 위협과 비효율적인 보안이 비즈니스 잠재력에 대한 가장 큰 위험이 됩니다. 현대적이고 분산된 애플리케이션 아키텍처는 위협 표면을 확대했고, 자동화로 인해 의도치 않은 위험과 공격자의 효율성이 커졌으며, 사이버 범죄로 인한 피해는 계속해서 커지고 있지만, 지속적으로 안전한 디지털 경험을 제공하는 조직은 고객과 매출 성장을 달성할 것입니다.

해결책은 분명합니다. 세상을 바꿀 수 있는 새로운 코드의 출시를 늦추는 대신, 보안을 왼쪽으로 전환하여 애플리케이션 수명 주기 전반에 걸쳐 보호를 자동화하고 보안 관점을 주요 비즈니스 차별화 요소로 전환하세요.

취약성을 사전에 완화하고, 복잡성을 줄이며, 효과적이고 사용하기 쉬운 보안으로 비즈니스를 보호함으로써 디지털 혁신을 가속화하고 고객 경험을 최적화할 수 있습니다. 이를 통해 위험을 줄이고 디지털 경쟁 우위를 확보할 수 있습니다.