클라우드 네이티브 애플리케이션 보안의 새로운 패러다임

클라우드 네이티브 애플리케이션 보안의 새로운 패러다임

클라우드 네이티브 애플리케이션 보안의 새로운 패러다임

Backslash Security에서 발표한 최근 연구 보고서인 "Breaking the Catch-up Cycle: The New Cloud-Native AppSec Paradigm Survey Report"는 클라우드 네이티브 애플리케이션 개발이 급속도로 발전함에 따라 애플리케이션 보안이 어떻게 변화해 왔는지 조사했다. 보안 전문가들이 이용하는 연구는 CISO, AppSec 관리자 및 AppSec 엔지니어를 대상으로 이루어졌다.

보고서에 따르면 성급한 개발 속도에 따라 안전한 공격을 방어하고 취약성에 대한 응답을 준비하기 어려워진 AppSec 팀은 치열한 따라잡기를 겪고 있습니다. 특히 58%의 응답자들이 취약점을 조사하는데 50% 이상의 시간을 소비하는 것으로 나타났고, 충격적으로 89% 이상이 디펜시브 모드에서 25%의 시간을 보내고 있다. 이러한 '디펜시브 세금'은 연간 120만 달러의 인건비가 들어갈 정도로 비용이 많이 드는 부분입니다.

더욱이 AppSec 팀은 AppSec과 CloudSec 간 경계가 모호해짐에 따라 AppSec에 최적화되지 않은 도구로 인해 시장 변화에 발맞춰 나가기 어려워졌다. 따라서 AppSec 전문가들은 기존의 AppSec 도구에 대한 확신을 잃고 있다:

94% 응답자는 기존 AppSec 도구의 수많은 문제점을 인지하고 있으며, 시간소모(48%)와 도구에서의 잡음 발생(45%)이 최대의 고충이라고 말했다. 또한 SAST와 DAST는 점점 뒤쳐지고 있으며, 응답자 중 32%만이 해당 도구를 적극적으로 사용한다고 답했다.

 

이 보고서는 모든 마이크로서비스를 종합적으로 시각화하고, 실제 위험을 자동으로 식별 및 우선순위를 매기며, 지능적인 트라이어징 및 소멸 기능을 갖춘 새로운 AppSec 패러다임의 급선무적 필요성을 강조하고 있다. 이러한 역량들의 중요성을 평가하는데 있어서 응답자들의 견해가 다음과 같다:

82%가 AppSec 팀의 시간과 수작업을 줄이기 위해 위협 모델 시각화를 자동화하는 것이 도움이 된다고 인정한다;
91%는 애플리케이션의 외부세계에 대한 노출과 보안위협의 연관성이 중요하다고 생각한다;
91%는 일반적인 코드 약점과 중요 취약점을 구별하는 것이 중요하다고 생각한다;
응답자 중 70% 이상이 새로운 클라우드 네이티브 AppSec 패러다임을 정의하는 아홉 가지 전체 기능 중 네 개가 '핵심' 또는 '중요'하다고 평가했다.
그러나 AppSec 산업은 클라우드 네이티브 활성화 비틀 밖에 남지 않았다. 모든 핵심 역량에서 응답자들은 강력한 필요성을 보고했다.

개인적으로 이 연구 결과와 결론을 본 것으로서, 이러한 보고서는 AppSec 산업과 관련 전문가들에게 첨병한 도구와 필요한 역량을 확보하는데 좀더 열중할 것을 시사한다. 또한 새로운 클라우드 네이티브 애플리케이션 보안 도구와 접근을 찾는 것이 더욱 중요해질 것이며, 이를 통해 기업은 경쟁력을 높이고 성장을 기할 수 있을 것이다.