보안 사고의 상당수는 외부 공격보다는 내부 관리 부실에서 비롯된다. 특히 삭제되지 않은 자격 증명, 하드코딩된 비밀, 과도한 권한 설정 등은 공격자에게 쉽게 노출될 수 있는 취약점으로 작용하고 있다. 깃허브, 오라클 그리고 미국 사이버보안 및 인프라 보안국(CISA)이 최근 경고한 보안 사고들도 CI 파이프라인과 클라우드 구성에 남겨진 오래된 자격 증명을 이용한 공격이었다.
이러한 상황은 단순한 실수가 아닌 구조적인 문제를 반영한다. 비밀 보안 관리 솔루션 기업도플러(Doppler)의 최신 백서는 구식의 비밀 관리 방식, 예를 들어 .env 파일, 하드코딩된 API 토큰, 수동 갱신 체계 등이 클라우드 네이티브 환경에서 큰 리스크가 된다고 지적한다.
동기화되지 않은 비밀 관리 방식은 개발 속도는 높지만, 보안 통제는 어려운 상태를 만든다. 이에 따라 팀은 자신들이 어떤 비밀을 보유하고 있는지, 누가 접근하는지, 그것이 여전히 사용 중인지조차 확인하지 못하는 상황에 자주 직면한다.
공격자가 보기 전에 먼저 찾는다, 도플러의 새로운 보안 도구
이러한 문제를 해결하기 위해 도플러가 팀이 잊혀진 자격 증명을 탐지하고 불필요하게 노출된 비밀을 제거하는 데 초점을 맞춘 새로운 보안 제품 업데이트를 발표했다.
도플러의 CEO 브라이언 발레룽가(Brian Vallelunga)는 “보안은 완벽한 기억력이나 수동 정리에 의존해서는 안 된다.”라며, “공격자가 먼저 발견하기 전에 위험 요소를 시각화하고 제어할 수 있는 환경을 제공하는 것이 핵심”이라고 밝혔다.
이번 업데이트의 주요 기능 중 하나는 변경 요청 정책(Change Request Policy)이다. 민감한 비밀에 대한 변경 사항은 자동 기록되며, 해당 변경을 수행한 사용자나 프로세스를 명확히 식별할 수 있다. 이로 인해 비인가 변경이나 감사 부적합 문제를 사전에 방지할 수 있다.
또한, OIDC 기반의 서비스 계정 ID 도입을 통해 장기 사용 정적 토큰을 ID 기반의 일시적 접근 방식으로 대체한다. 이는 오라클 보안 권고에서도 강조된 방식으로, 사용하지 않는 자격 증명이 악용되는 것을 방지한다. 통합 액세스 범위 설정 기능은 팀이 제3자 도구 및 파이프라인에 대한 과도한 접근 권한을 사전에 제어할 수 있게 하여, 최소 권한 원칙을 실현할 수 있게 돕는다.
분석 대시보드로 비밀 노후화 추적 및 자동화 효율성 확보
새롭게 추가된 보안 분석 대시보드는 만료되었거나 장기간 사용되지 않은 비밀을 자동 식별하고 시각적으로 표시한다. 이를 통해 팀은 정리 우선순위를 파악하고, 위험 노출을 줄일 수 있는 실질적인 실행 전략을 수립할 수 있다. 이는 수동 업데이트와 산발적인 접근 제어로 인해 비밀 관리가 일관되지 않았던 기존 환경에서 커다란 전환점이 된다.
도플러의 백서에 따르면, 이러한 자동화 기능은 기업의 보안 운영 효율성에 직접적인 영향을 미친다. 일부 기업은 비밀 관련 감사 시간이 90% 이상 단축되었고, 매일 비밀을 관리하는 데 걸리는 시간이 98% 감소했으며, 과거 8시간 이상 걸리던 수동 업데이트가 거의 실시간 정책 변경으로 대체되었다.
브라이언 CEO는 “비밀 관리를 단순화하는 것만으로는 부족하다”며, “어떤 정보가 위험한지, 어디에 집중해야 하는지를 정확히 알 수 있도록 돕는 것이 우리의 목표”라고 덧붙였다. 이는 보안 실수를 줄이는 동시에 팀이 실질적으로 대응 가능한 정보를 제공하는 데 중점을 두고 있음을 시사한다.
사각지대 제거가 보안의 핵심으로 부상
보안 업계는 점점 더 ‘예방’ 중심의 전략으로 이동하고 있다. 자동화된 감지와 실시간 분석 기능은 보안 침해가 발생하기 전, 사전에 위협을 식별하고 차단할 수 있는 기반이 된다. 특히 비밀 정보 관리 부실이 가장 시급한 보안 과제로 지적되는 상황에서, 도플러의 접근 방식은 최신 보안 환경에 적합한 대응 모델로 주목받고 있다.
이번 발표는 단순한 기능 추가에 그치지 않고, 자격 증명의 수명 주기 전반을 관리하고, 보안 팀과 개발자가 더 빠르고 안전하게 협업할 수 있는 환경을 제공한다. 도플러는 이러한 기술 혁신을 바탕으로 조직의 보안 사각지대를 제거하고, 향후 보안 사고를 미연에 방지할 수 있는 구조적 접근법을 제시하고 있다.
관련기사
- 기업 사이버 위협 대응 강화하는 ‘다층 통합 사이버 보안 스택’
- 소프트웨어 공급망 보안, AI 기반 실시간 빌드 방화벽으로 강화
- AI 취약점 스캐닝 시장 2029년 2배 성장...실시간 위협 대응 수요 급증
- 개발·보안·SRE·AI/ML지원 ‘자율 엔지니어링 통합 플랫폼’...기업 SDLC·PDLC 혁신 가속
- 제로데이 위협, 기업 보안 전략의 판도 변화 이끈다
- 공격 대응력 높이는 크라우드 소싱 기반 레드팀 서비스 'RTaaS' 부상
- AI 위협 대응 인프라 관리 플랫폼...‘개발·보안·운영 워크플로 간소화’
- ‘정적 애플리케이션 보안 테스팅’, AI 기반 CAST로 보안 강화
- 자동화된 취약점 수정·자바 지원 확대 ‘OSS 보안 카탈로그’...1300만 개 자바 구성요소 포함
- 세일포인트, 클라우드 보안 업데이트로 생산성·확장성·보안성 대폭 향상
- Qt, CVE 보안취약점 자체관리 기관(CNA)으로 공식 지정
- 앱 보안·컴플라이언스 자동화하는 AI 보안 에이전트
- 대규모 취약점 백로그 해결하는 ‘AI 기반 복구 플랫폼’
- 이중 협박하는 ‘리시다 랜섬웨어’ 서버 공격법과 예방법
- 인간·비인간 신원 통합 보호하는 클라우드 접근 관리 플랫폼...자동화된 최소 권한 제어로 클라우드 보안 강화
- “사이버 공격으로 평균 피해액 15배 증가”...위협 모델 맞춤화·보안 우선순위 도출 시급
- 기기 인텔리전스로 실시간 신원 사기 차단
- 오라클, OCI 기반 xAI ‘그록’ 모델 지원...고성능 AI 추론 환경 제공