사이버 보안 기업 레짓 시큐리티(Legit Security)가 현대 소프트웨어 개발 환경에서 발생하는 애플리케이션 보안의 주요 위험을 분석하고 조직이 효과적으로 이를 해결할 수 있는 방법을 제시하는 연구 보고서 ‘2025년 애플리케이션 위험 상태: 소프트웨어 팩토리 보안에 대한 ASPM 관점’을 발표했다.
이 보고서는 애플리케이션과 이를 생산하는 소프트웨어 개발 환경이 직면한 상당한 보안 문제를 다루며, 이를 해결하기 위해 가시성과 효율적인 보안 노력이 필요함을 강조한다.
보고서 주요 내용
이 보고서는 레짓 시큐리티의 애플리케이션 보안 포스처 관리(ASPM) 플랫폼 데이터를 바탕으로 작성되었으며, 소프트웨어 개발 환경에서 발견된 주요 위험 요소를 다각도로 분석했다. 보고서의 핵심 내용은 다음과 같다.
① 애플리케이션 개발 인프라 전반에 만연한 위험
조사된 조직의 100%가 개발 환경에서 높거나 심각한 수준의 위험을 보유한 것으로 나타났다. 이는 소프트웨어 개발 프로세스 전반에 걸친 보안 허점을 방치하고 있음을 시사한다.
② 비효율적인 애플리케이션 보안 스캐닝
조직의 78%는 중복된 소프트웨어 구성 분석(SCA) 스캐너를 사용하고 있으며, 39%는 중복된 정적 애플리케이션 보안 테스트(SAST) 스캐너를 사용하고 있다. 이는 동일한 취약성에 대해 상충되는 수정 권고안을 제공함으로써 보안 프로세스를 혼란스럽게 한다.
③ 비밀 정보의 노출
코드 내에서 중요한 비밀 정보가 드러나는 문제가 만연해 있으며, 조사된 조직의 100%에서 이와 같은 현상이 발견되었다. 특히, 비밀 정보의 36%는 소스 코드 외부에서도 노출된 것으로 나타났다.
④ AI(생성AI)로 인한 새로운 위협
조직의 46%는 소스 코드에서 AI 모델을 위험하게 사용하고 있으며, 이로 인해 악성 페이로드를 포함하거나 민감한 데이터가 유출될 가능성이 있다.
⑤ 구성 오류와 권한 관리 문제
조사된 조직의 89%가 파이프라인 구성 오류를 경험했으며, 이는 CodeCov와 같은 침해 사고를 초래할 수 있다. 또한, 조직의 85%는 과도한 권한이 부여된 개발자 계정으로 인해 최소 권한 원칙이 위반되고 있는 것으로 나타났다.
⑥독성 조합에 의한 위험
인간 코드 검토 없이 생성AI를 사용하는 개발자, 외부 협력자가 접근 가능한 저장소에 비밀을 저장하는 등의 문제가 독성 조합을 이루어 심각한 보안 위협으로 작용하고 있다. 이는 보안 팀이 에너지를 집중해야 할 주요 영역이다.
레짓 시큐리니티의 CTO이자 공동 창립자인 리아브 카스피는 “개발 프로세스 전반에 걸쳐 큰 위험이 발견되었다.”라고 말하며, 많은 팀이 CI/CD 파이프라인에서 발생하는 위험을 간과하고 있음을 지적했다. 그는 “이는 녹슨 장비와 오작동하는 주방에서 혁신적인 요리를 준비하는 것과 같다.”라고 비유하며, 오늘날 대부분의 보안 팀이 소스 코드 외부의 위험을 식별하거나 앱섹(AppSec) 결과를 효과적으로 분류하는 데 필요한 맥락과 가시성을 갖추지 못하고 있다고 강조했다.
애플리케이션 보안 위협에 처한 조직에 필요한 개선 전략
보고서는 애플리케이션 보안의 범위를 코드 취약성을 넘어 소프트웨어 팩토리 전반으로 확장해야 한다고 제안한다. 조직이 취할 수 있는 주요 개선 방안은 다음과 같다.
① 종단 간 보호 구현
개발 파이프라인, 빌드 서버, 도구, 프로세스 전반에서 가시성을 확보하고 보안 조치를 강화해야 한다.
② 효율적인 스캐닝 도구 사용
중복된 스캐너 사용을 줄이고, 단일한 보안 플랫폼을 통해 일관된 취약성 진단과 수정 권고를 제공해야 한다.
③ 비밀 관리 강화
코드와 비코드 환경에서의 비밀 노출을 방지하기 위해 정기적인 점검과 보안 조치를 시행해야 한다.
④ AI 모델 사용 관리
낮은 수준의 AI 모델 사용을 제한하고, 생성AI 기반 개발에 대한 가이드라인을 수립해야 한다.
⑤ 구성 오류 최소화
파이프라인의 구성 오류를 사전에 탐지하고, 자동화된 검증 도구를 활용하여 문제를 방지해야 한다.
보고서는 조직의 애플리케이션 보안이 단순히 코드의 취약성을 탐지하는 것을 넘어 개발 환경 전반에 걸친 포괄적인 보호와 관리를 요구하고 있음을 명확히 보여준다. 레짓 시큐리티의 연구는 현대 개발 환경에서 존재하는 위험을 체계적으로 분석하고, 이를 줄이기 위한 구체적인 방안을 제시해 기업들이 보안 수준을 한층 높일 수 있도록 돕는다.
관련기사
- 앱섹팀 희소식 ‘자연어 코드 정책’…애플리케이션 보안 시간 절약 및 위험감소
- 72시간 내 컴플라이언스 준수 지원 ‘API 보안 솔루션’
- “기업 보안 적신호” API 보안 사고 3년 연속 급증에도 대비 인식은 감소
- 초현실적 디지털 위조 막는 '딥페이크 대응 가이드'
- '애플리케이션 보안 상태 관리' 통합으로 강력해진 '클라우드 보안'
- 취약한 API와 봇 공격, 연간 최대 1860억달러 손실
- 아카마이, API 보안과 클라우드 통합한 ‘네이티브 커넥터’로 보안 강화
- 취약점 빠르게 해결하는 ‘사이버 보안 노출 관리 플랫폼’
- 여러 취약점 동시에 ‘근본 원인 해결’하는 ‘애플리케이션 보안 상태 관리 플랫폼’
- ‘AI 기반 애플리케이션 위험 관리 솔루션’..."애플리케이션·API 사이버 위협 전방위 대응"
- 사이버 보안의 미래 핵심 전략 ‘보안 플랫폼화’
- ‘실시간 AI 컨텍스트’로 강화되는 ‘애플리케이션 보안 상태관리 솔루션’...보안 문제 ‘자동 우선순위 및 수정’
- 강력한 애플리케이션 보호 전략 ‘상시 활성화 런타임 보안’
- API 보안 강화하는 '자율 AI 에이전트'...앱 보안 자동화 혁신
- ‘정적 애플리케이션 보안 테스팅’, AI 기반 CAST로 보안 강화
- AI 코딩시 실시간 보안 통합하는 ‘애플리케이션 보안용 MCP 서버’
- “98% 정확도 AI 보안 솔루션, 코드 단계에서 클라우드까지 보호한다”
- AI 기반 DAST로 애플리케이션 보안 진화...정확도·가시성·속도 모두 강화
- 보안 중심 코드 변경 관리로 애플리케이션 보안 자동화