SecDevOps 모델 애플리케이션 – 조직을 위한 정보 보안 솔루션

2024년 11월 29일, MISA 대표들은 BIDV Insurance - BIC가 주최한 워크숍 "DevSecOps에 대해 알아보기 - 기술 및 보안 제어 솔루션"에서 조직의 정보 보안을 개선하기 위한 SecDevOps 문화 구축에 대한 실질적인 경험을 공유했습니다.

이번 워크숍에는 정보 기술 및 정보 보안 분야의 주요 전문가들이 참석했습니다. MISA 측에서는 응우옌 꽝 호앙(Nguyen Quang Hoang) 정보 보안 이사와 부이 득 트엉(Bui Duc Truong) 정보 보안 부서장이 참석했습니다.

워크숍의 일환으로 MISA 정보 보안 부서의 부장인 Bui Duc Truong 씨는 SecDevOps 모델을 소개하고, 조직에서 정보 보안과 안전에 대한 인식을 높이기 위해 제품에 SecDevOps를 적용한 경험을 공유했습니다.

팔로알토 네트웍스의 2022년 11월부터 2023년 1월까지의 공통 취약점 및 노출(CVE) 할당 카탈로그에 따르면, 안전하지 않은 프로그래밍으로 인해 애플리케이션에 취약점이 자주 발생합니다. 따라서 기업은 전체 소프트웨어 제품 개발 프로세스에 보안을 통합해야 합니다. 특히, CIO 인사이트의 제임스 러트에 따르면, 소프트웨어에 SecDevOps 모델을 적용하여 제품 개발 프로세스를 가속화하고 소스 코드의 취약점을 40~50% 최소화하는 것이 중요합니다.

SecDevOps는 DevSecOps와 유사하게 보안, 개발, 운영을 결합한 개발 모델입니다. 하지만 가장 큰 차이점은 SecDevOps가 각 개인의 사고방식과 소프트웨어 개발 프로세스의 모든 단계에서 보안을 최우선으로 고려한다는 것입니다. 또한, 이 모델은 "원 팀(One Team)"이라는 업무 프로세스와 문화를 강조하여 각 구성원이 긴밀하게 협력하여 보안을 최우선으로 고려하도록 합니다.

SecDevOps 모델을 효과적으로 적용하려면 조직은 사람, 프로세스, 기술이라는 세 가지 요소를 엄격하게 적용해야 합니다. 사람 측면에서는 정보 보안 팀의 역량을 향상시키고, 보안 팀을 DevOps 팀과 연결하며, 프로그래밍 교육 및 안전한 배포를 제공해야 합니다. 프로세스 측면에서는 보안 - 소프트웨어 개발 수명 주기(SSDLC) 제품 수명 주기 모델을 적용하여 안전한 소프트웨어를 개발할 수 있습니다. 기술 측면에서는 다음과 같은 보안 방법과 도구를 사용하여 보안 취약점을 탐지하고 처리할 수 있습니다. 정적 분석(SAST), 동적 분석(DAST), 대화형 분석(IAST), 소프트웨어 구성 분석(SCA).

트롱 씨에 따르면 프로그래머는 보안 인식과 안전한 프로그래밍에 대한 교육을 받아야 하며, 이를 통해 소프트웨어 개발 과정의 후반 단계에서 취약점이 나타나는 것을 방지해야 합니다.

MISA는 베트남에서 소프트웨어 서비스를 제공하는 선도적인 기술 기업이자 CYSEEX Alliance의 창시자로서, 기업들이 첨단 보안 솔루션을 구축하고 사이버 공격으로부터 데이터와 정보 시스템을 보호하도록 돕는 데 전념하고 있습니다.