한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
소프트웨어 공급망 보안을 강화하는 데 필요한 10가지 보안 도구 카테고리
에리카 치코스키(Erika Chickowski)
CSO 기여자, CSO |
보안 리더가 소프트웨어 공급망 보안 프로그램 구축을 진행하면서 사용 가능한 도구와 관련하여 좋은 소식과 나쁜 소식이 공존하는 상황에 직면하게 됩니다. 말 그대로 기술은 좋게든 나쁘게든 빠르게 발전하고 있습니다.
빠르게 발전하는 소프트웨어 공급망 보안 기술에 대한 좋은 소식은 빠른 혁신 속도로 인해 소프트웨어 포트폴리오에 포함되는 다양한 구성 요소와 코드에 대해 더 큰 가시성과 투명성을 얻을 수 있는 기회가 늘어나고 있다는 것입니다.
그러나 나쁜 소식은 실험과 혁신이 동시에 다양한 방향으로 진행되고 있으며 도구 환경이 새롭고 발전하는 카테고리 약어와 틈새 제품이 혼란스럽게 혼합되어 있다는 것입니다.
그 중 일부는 개발자 친화적으로 발전하고 있는 보다 전통적인 애플리케이션 보안 도구입니다. 다른 것들은 공급망 위험 문제를 해결하기 위해 보안 중심 제어 및 기능을 강화하는 전통적인 개발자 도구입니다. DevSecOps 세계에서는 부족 간의 상호 협력을 촉진하기 위해 특별히 고안된 다른 기능도 등장하고 있습니다.
태니엄(Tanium)의 제품 컨설턴트인 톰 고잉스(Tom Goings)는 CSO에 “소프트웨어 공급망 보안을 명확하게 파악하기 어려운 이유 중 하나는 공급망에 문제가 발생할 수 있는 부분이 너무 많기 때문”이라고 말했다. "몇 년 전의 SolarWinds 사례, Log4j와 같은 공용 라이브러리의 취약점, 심지어 손상된 CA(인증 기관)와 같은 취약점이 소프트웨어에 직접 도입될 수 있습니다."
여러 소프트웨어 공급망 보안 제품 스택 및 플랫폼이 시장에 통합되기 시작한 여러 소프트웨어 공급망 보안 제품 스택 및 플랫폼이 있지만 이러한 제품의 기능 조합은 전체에 걸쳐 있습니다.
이러한 플랫폼이 중심이 되는 주요 도구 범주는 소프트웨어 구성 분석(SCA)과 소프트웨어 자재 명세서(SBOM) 생성 도구, 즉 현대 소프트웨어의 '구성 요소 목록'입니다. SCA와 SBOM은 많은 소프트웨어 공급망 보안 도구의 중추를 형성하는 경향이 있지만 이는 실제로 공급망 위험 관리를 위한 포괄적인 프로그램을 지원하기 위한 로드맵을 구축하려는 CISO에게 빙산의 일각에 불과합니다.
Gartner의 애플리케이션 보안 수석 이사이자 분석가인 Dale Gardner는 CSO에 "공급망 보안을 볼 때 사람들은 SCA와 같은 도구 사용에 집중하고 SBOM을 봅니다."라고 말합니다. "이것들은 솔루션의 매우 중요한 부분입니다. 하지만 실제로는 매우 부분적인 솔루션일 뿐입니다."
비밀 관리, 종속성 매핑 및 관리, CI/CD 파이프라인 보안, 효과적인 저장소 관리 등을 포함하여 다른 많은 움직이는 부분이 관련되어 있습니다. 대부분의 전문가들은 보안 팀이 하나의 공급업체로부터 필요한 모든 것을 찾는 데 어려움을 겪을 것이라는 점에 동의합니다.
컨설팅 회사인 Coalfire의 애플리케이션 보안 수석 관리자인 Michael Born은 "모든 조직의 요구 사항에 맞는 방식으로 소프트웨어 공급망 보안과 관련된 모든 문제를 처리하는 단일 공급업체는 없다고 생각합니다."라고 설명합니다. 그는 CSO에게 통합 부족이 반드시 나쁜 것은 아니라고 말합니다. "이는 잠재적으로 조직을 벤더 종속과 관련된 위험에 빠뜨릴 수 있으며, 벤더가 따라잡을 수 있는 것보다 더 빠르게 조직이 성숙하거나 변화한다는 것을 의미할 수 있습니다."
이러한 단편화는 여러 가지 기술적 관점(개발 중심 도구, 운영 중심 도구, 보안 중심 도구)에서 비롯된 유기적 혁신뿐만 아니라 다양한 사용 사례가 다루어지고 있다는 사실의 결과입니다.
"우리는 이를 해결할 수 있는 올바른 소프트웨어 솔루션이나 전반적인 솔루션 스택을 찾을 수 있도록 어떤 위험이나 어떤 사용 사례에 대해 이야기하고 있는지 매우 구체적으로 파악해야 합니다."라고 사이버 관리자인 Sharon Chand는 설명합니다. Deloitte의 사이버 위험 서비스 업무를 위한 위험 보안 공급망 리더입니다. "나에게 실제로 필요한 솔루션 종류는 소프트웨어 공급망 보안 시나리오에서 내가 어디에 위치하는지에 따라 달라지기 때문입니다. 내가 소프트웨어 생산자라면 소프트웨어 소비자일 때와 다르게 보일 것입니다. 그리고 그보다 더 자주 모든 사람이 전체 공급망 수명주기의 특정 지점에 있을 수는 없습니다."