SecDevOps 모델 적용 – 조직을 위한 정보 보안 솔루션.

2024년 11월 29일, MISA의 담당자들은 BIDV Insurance – BIC가 주최한 워크숍 "DevSecOps 이해 – 보안 제어를 위한 기술 및 솔루션"에서 조직의 정보 보안을 강화하기 위한 SecDevOps 문화 구축에 대한 실질적인 경험을 공유했습니다.

이번 워크숍에는 정보 기술 및 정보 보안 분야의 저명한 전문가들이 참석했습니다. MISA 에서는 응우옌 꽝 호앙 정보 보안 이사와 부이 득 쯔엉 정보 보안 책임자가 참석했습니다.

이번 워크숍에서는 MISA의 정보 보안 책임자인 부이 득 쯔엉(Bui Duc Truong) 씨가 SecDevOps 모델을 소개하고, 정보 보안 및 안전에 대한 조직의 인식을 높이기 위해 SecDevOps를 제품에 적용한 경험을 공유했습니다.

팔로알토 네트워크의 CVE(Common Vulnerabilities and Exposures) 지수(2022년 11월~2023년 1월 기준)에 따르면, 애플리케이션에서 취약점이 발생하는 주된 이유는 안전하지 않은 프로그래밍 때문입니다. 따라서 기업은 소프트웨어 개발 프로세스 전반에 보안을 통합해야 합니다. 특히 Insight의 CIO인 제임스 루트에 따르면, 소프트웨어 개발에 SecDevOps 모델을 적용하면 개발 속도를 높이고 소스 코드 취약점을 40~50% 줄일 수 있습니다.

SecDevOps는 DevSecOps와 유사하게 보안, 개발 및 운영을 결합한 개발 모델입니다. 하지만 핵심적인 차이점은 SecDevOps가 소프트웨어 개발 프로세스의 모든 단계에서 그리고 모든 구성원의 사고방식에 보안을 최우선으로 고려한다는 점입니다. 또한, 이 모델은 "원팀(One Team)"의 업무 프로세스와 문화를 강조하여 긴밀한 협업을 촉진하고, 보안이 항상 최우선 순위로 유지되도록 합니다.

SecDevOps 모델을 효과적으로 구현하려면 조직은 인력, 프로세스, 기술이라는 세 가지 핵심 요소를 철저히 준수해야 합니다. 인력 측면에서는 정보 보안 팀의 역량을 강화하고, 보안 팀과 DevOps 팀을 통합하며, 안전한 프로그래밍 및 배포 교육을 제공해야 합니다. 프로세스 측면에서는 안전한 소프트웨어 개발을 위해 SSDLC(Secure Software Development Life Cycle) 모델을 적용할 수 있습니다. 기술 측면에서는 정적 분석(SAST), 동적 분석(DAST), 대화형 분석(IAST), 소프트웨어 구성 분석(SCA) 등의 보안 방법과 도구를 활용하여 취약점을 탐지하고 해결할 수 있습니다.

쯔엉 씨에 따르면, 프로그래머는 소프트웨어 개발 과정 후반 단계에서 취약점이 발생하는 것을 방지하기 위해 보안 인식 및 안전한 프로그래밍 교육을 받아야 합니다.

베트남의 선도적인 서비스형 소프트웨어(SAS) 기술 기업이자 CYSEEX 얼라이언스의 설립자인 MISA는 사이버 공격으로부터 데이터와 정보 시스템을 보호하기 위한 첨단 보안 솔루션을 기업과 협력하여 제공하는 데 전념하고 있습니다.