자동화된 비밀 탐지 솔루션 글로벌 기업 깃가디안(GitGuardian) 최근 사피오 리서치(Sapio Research)와 함께 미국의 507 IT 및 보안 의사 결정권자의 인식과 관행에 대한 연구 보고서 "실무자의 목소리: AppSec의 비밀 상태"를 발표했다. 이 보고서는 대규모 기업에서 보안의 무질서한 증가로 인한 위험과 이를 완화하기 위해 취한 조치를 조명하는 것을 목표로 한다.

이 연구에 따르면 대기업의 고위 경영진은 하드 코딩된 비밀과 관련된 위험을 예리하게 인식하고 있다. 응답자의 75%가 과거에 유출된 적이 있다고 답했으며, 94%는 향후 12-18개월 내에 기밀 관리 관행을 개선할 계획이다. 흥미롭게도 응답자의 절반 이상이 소프트웨어 공급망 내의 주요 위험 요소로 "소스 코드 및 저장소"를 꼽았고, 47%는 특히 하드 코딩된 비밀을 꼽았다.

이러한 인식의 증가에도 불구하고, 이 연구는 또한 업계 전반에 걸친 위험 감소 전략의 상당한 차이를 강조한다. 예를 들어, 응답자의 약 27%가 비밀 누설로부터 자신을 보호하기 위해 비효율적인 수동 코드 검토에 의존한다고 밝혔다.

스테픈 오그래디(Stephen O'Grady) 레드 몽크(RedMonk) 수석 분석가는 “기술 보안 문제에 대한 언론 보도는 운영 시스템, 랜섬웨어 및 외부 공격자와 관련된 기타 사건에 초점을 맞추는 경향이 있지만, 대부분의 조직에서 가장 시급한 우려 사항 중 하나는 의도하지 않은 내부 비밀 공개이다.”라며, “소스 코드가 점점 더 세분화되고 조직과 전 세계에 널리 퍼지면서 비밀 인증서, 키 및 암호가 공개적으로 액세스할 수 있는 저장소에 저장되는 것이 너무 일반적으로 되었다. 이러한 악몽 같은 시나리오를 방지하는 것은 크고 작은 조직에서 중점을 두는 주요 영역이다.”고 말했다.

설문 조사 결과 외에도 이 연구에서는 대규모 조직이 누적되는 취약점 백로그와 씨름할 때 겪는 공통적인 문제점에 대해 자세히 설명한다. 2022년에 GitGuardian은 다각적인 접근 방식을 사용하여 누출 방지 노력을 확장할 수 있도록 대규모 기업과 파트너십을 맺었다. 7,500명의 개발자와 50,000개 이상의 모니터링 소스가 있는 이 기업에는 강력하고 확장 가능한 솔루션이 필요했다.

이 연구는 설문 조사 결과 외에도 누적된 취약성과 씨름하면서 대기업이 겪는 일반적인 문제점을 자세히 조사한다. 깃가디언은 2022년에 대규모 기업과 파트너 관계를 맺고 다각적인 접근 방식을 사용하여 유출 방지 노력을 확장했다. 7500명의 개발자와 5만 개 이상의 소스가 모니터링되고 있는 이 기업에는 강력하고 확장성이 뛰어난 솔루션이 필요했다.

이러한 성공적인 구현 결과는 대기업에서 애플리케이션 보안 전략을 확장하는 최상의 방법에 대한 귀중한 통찰력을 제공한다. 데이터에 따르면, 기밀 확산 위험을 줄이는 데 가장 큰 영향을 미치는 요소는 깃가디언의 솔루션을 개발 라이프사이클의 초기 단계에 통합하고 개발자가 예방 및 문제 해결 분야에서 자율적으로 대처할 수 있도록 지원하는 것이다.

전반적으로, 이 연구는 조직이 자동화된 툴과 프로세스를 활용하여 취약성을 신속하고 효율적으로 식별하고 해결할 수 있도록 보안에 대한 보다 사전 예방적인 접근 방식을 채택해야 할 필요성을 강조한다. 분류 및 할당 프로세스를 자동화해 조직은 보안 조정을 가속화하고, 보안 상태를 개선하며, 중요한 다른 작업에 집중할 수 있는 귀중한 리소스를 확보할 수 있다.

브라이언 밸레런가(Brian Vallelunga) 도플러 CEO는 “엔지니어링 팀 내에서 API 키, 구성 변수 및 비밀의 급속한 확산으로 인해 회사가 직면하는 위험은 엄청나다. 비밀은 회사의 가장 귀중한 자산인 데이터의 관문이다. 우리는 엔지니어링 및 보안 팀이 전체적인 비밀 전략을 수립해야 하는 중요한 시점에 있다.”라며 “무분별한 확장은 대부분의 회사에서 경험하는 문제이지만 해결하기 어려운 문제는 아니다. 비밀을 관리, 오케스트레이션 및 교체하기 위해 개발자 워크플로에 기본적으로 통합되는 도구를 활용하면 된다.”고 말했다.