AI 우선의 개발 환경이 확산되며 소프트웨어 보안은 복잡성과 속도의 균형을 동시에 요구받고 있다. 특히 생성AI, 오픈소스, 마이크로서비스 도입 증가로 인해 코드 변경의 빈도와 경로는 다양해졌으며, 이에 따라 보안 사고의 사전 탐지 및 통제가 더욱 어려워지고 있다. 기존 보안 시스템은 개발 파이프라인, 구성 파일, 인프라 요소 등 다양한 경로에서 발생하는 중요한 변경 사항을 실시간으로 식별하고 대응하기에 제한적이다. 이러한 배경에서 보안 통합성과 워크플로 연계 가시성 확보가 애플리케이션 보안 관리의 핵심 과제로 떠오르고 있다.

애플리케이션 보안 상태 관리(ASPM) 플랫폼 기업 리짓시큐리티(Legit Security)가 자사 플랫폼 내 중요한 코드 변경과 관련 워크플로를 통합·강화하는 고급 기능을 새롭게 발표했다. 이번 업데이트는 보안 또는 규정 준수에 영향을 줄 수 있는 코드, 구성, 인프라 변경사항에 대한 심층 인사이트를 제공하고, SDLC 전반의 워크플로를 안전하게 자동화할 수 있도록 지원한다.

코드 변경 추적과 보안 대응을 통합하는 ASPM 기능 강화

이번에 발표된 기능은 코드, 파이프라인, 종속성, 보안 정책 내 발생하는 중요한 변경 사항을 실시간 감지하고, 관련 정보를 문서화하며, 자동화된 워크플로로 연결해 보안 대응 속도와 정확성을 동시에 확보한다. 일상적인 코드 변경이 발생하는 위치와 그 보안 영향을 분석해 앱섹(AppSec) 및 개발팀이 불필요한 경고, 맥락 없는 수정, 간과된 위협 등으로부터 작업 효율을 확보할 수 있다.

보안 상태에 실질적인 영향을 미치는 변경 사항을 실시간으로 파악하지 못하면, 조직은 위험도 낮은 코드에 불필요한 대응을 하거나 중요한 변경을 놓칠 수 있다. 특히 다양한 보안 도구가 산재되어 통합 뷰가 없는 조직에서는 변경 이력 추적과 대응이 지연되고, 검토의 정확도 역시 떨어지는 문제가 발생한다.

상세 변경 감지 메타데이터와 맥락 기반 워크플로 제공

이번 기능은 코드 변경 사항에 대한 세부 데이터를 ASPM 내에 통합해 맥락 기반 분석이 가능하다. 변경 사항은 ▲변경 유형 ▲보안 영향 수준 ▲커밋 ID 및 일시 ▲커미터와 검토 상태 ▲담당자 ▲소스 및 태그 ▲저장소 및 엔터티 정보 ▲작업 유형 등 다양한 메타데이터와 함께 기록된다. 이러한 정보는 개발과 보안 부서 간 협업을 위한 공통의 기준으로 작용한다.

또한, 상황에 따른 워크플로 제어 기능도 포함되었다. 조직은 가드레일 부족, 낮은 리짓 점수, 중대한 변경 사항, 비즈니스 영향, 배포 환경 등의 기준에 따라 특정 변경을 자동으로 차단하거나 검토를 의무화할 수 있다. 이를 통해 보안 정책이 단순한 권고 수준을 넘어 실질적인 통제 도구로 작동하게 된다.

리짓시큐리티의 공동 창립자이자 최고기술책임자(CTO)인 리아브 카스피(Liab Caspi)는 “데브옵스 팀이 오픈소스와 독점 라이브러리를 활용해 프로젝트를 확장하면서, 현재 환경과 코드 변경 사항에 대한 심층 탐지와 명확한 워크플로가 필수적으로 요구되고 있다.”라며, “이번 업데이트로 고객은 코드 변경의 맥락을 명확히 이해하고, 가장 우선순위가 높은 보안 위험에 집중할 수 있다.”고 설명했다.

카스피는 또한 “개발자는 명확한 인사이트 덕분에 불필요한 보안 개입 없이도 신속한 배포가 가능하며, 조직은 실제 위험에 근거해 보안 리소스를 집중할 수 있다”고 강조했다. 이를 통해 ASPM 플랫폼은 단순 모니터링을 넘어, 자동화된 실질 대응 플랫폼으로 진화하고 있다.

리짓시큐리티는 이번 고급 기능 도입을 통해 앱섹 및 데브옵스 팀이 코드 변경의 영향을 실시간으로 식별하고, 적절한 정책 기반 대응을 자동화할 수 있는 환경을 마련했다. 특히 AI 우선 개발 환경에서 반복적이고 복잡한 보안 조치를 자동화함으로써, 개발 속도를 저해하지 않으면서도 보안 수준을 강화하는 방향으로 ASPM 플랫폼의 역할을 확대하고 있다. 향후 이 기능은 다양한 개발 파이프라인 및 클라우드 기반 배포 환경 전반에서 보편적으로 확장 적용될 수 있을 것으로 기대된다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.