금융 서비스 기업에서는 디지털 시대에서 경쟁 우위를 점하는 것이 새로운 솔루션과 및 제품을 “시장에 출시하는 시기 시장출시시간”를 최적화하는 것과 밀접한 관계가 있음을 알고 있습니다.

새로운 앱을 출시하거나 기능을 개선하여 경쟁사를 능가하는 기업만이 시장에서 우위를 유지할 수 있습니다.

이를 위해서는 모든 조직에서 데브옵스(DevOps)와 애자일(Agile) 방법론을 도입하여 새로운 앱과 새로운 솔루션을 신속하게 제공하고 업그레이드해야 합니다.

신속하게 진행되는 개발 프로세스는 굉장히 유용하지만, 보안팀에게는 완전히 새로운 도전과제를 안겨주게 되었습니다.

실제로 사이버상의 위협은 최근 본질적으로 점점 복잡해졌으며 애플리케이션 보안위협이 다차원적으로 발생하고 있습니다.

모놀리식 애플리케이션과 폐색망의 시대에는 프로세스의 마지막 단계에서 보안을 유지하면 되었으나, 디지털 전환혁신 시대에는 보안을 최우선으로 하는 다른 접근 방식이 필요합니다.

특히 사이버 범죄자와 악의적 행위자의 위협을 지속적으로 방어해야 하는 은행 및 금융 서비스 산업에서 이러한 필요성이 부각됩니다.

거의 모든 은행과 핀테크(FinTech) 기업은 이제 소비자 수요로 인해 모바일 앱과 온라인 포털을 제공하고 있으며, 디지털 기반 서비스를 지속해서 업그레이드해야 한다는 압박이 거세지고 있습니다.

바로 이 때문에 업계는 사이버 위협으로부터 방어하는 방법을 개선하기 위해 새롭고 흥미로운 방안을 끊임없이 모색하고 있습니다. 물론 그 첫 번째 단계는 애플리케이션의 코드를 안전하게 보호하는 것입니다.

안전한 SDLC 프로세스 구축

은행과 금융 기관은 사이버 공간에서 끊임없이 공격받고 있지만, 은행과 금융 기관을 공격하는 데 사용되는 모든 공격 경로가 정교한 것은 아닙니다.

팀에서 반복적인 데브옵스 배포와 개발환경 및 더욱더 빠른 릴리스 주기를 활용할 경우 SDLC(Software Develop Life Cycle)에 근본적인 보안을 제공할 수 있어 단순하고 복잡한 수많은 공격을 방지할 수 있습니다.

이를 위해서는 조직에서 는 먼저 자신이 구축하는 앱에 필요한 보안요구사항을 설정해야 합니다. 또한 개발팀과 및 보안팀은 앱의 치명적인 위험과 조직에서 준수해야 하는 산업 표준이나 규제 등의 여부를 확인하고 파악해야 합니다.

개발팀과 보안팀 간에 명확한 커뮤니케이션 통로가 마련되어야 하며 의사소통이 이루어져야하며, 적절한 보안 표준이 마련된 뒤에 개발을 시작해야 합니다.

또한, 조직에서 앱으로 인해 발생할 수 있는 다양한 위험 영역이나 공격받을 수 있는 공격 영역을 철저히 분석해야 합니다.

이러한 공격 영역에는 일반적으로 앱의 경로와 명령, 앱에 사용되는 중요한 데이터 및 가장 중요한 부분인 이러한 경로와 데이터를 보호하는 코드가 있습니다.

SDLC 프로세스에 보안을 통합하는 가장 중요한 단계는 아마 SAST(정적 분석 보안 테스트) 시행일 것입니다.

Source: Checkmarx

SAST는 기본적으로 애플리케이션의 소스 코드를 스캔하여 치명적인 취약점을 탐지합니다. 일부 고급 버전 도구는 아직 컴파일되지 않은 소스코드에서도 자동으로 실행할 수 있습니다.

개발팀에서 SAST를 시행하면 처음부터 코드를 식별한 다음 코드의 보안을 유지할 수 있어 개발 초기 단계에 강력하고 안전한 기반을 마련할 수 있습니다.

또한 SAST를 통해 많은 금융 기관에 적용되는 PCI-DSS와 같은 규정 준수 및 산업 표준과 관련된 문제를  쉽게 점검 할 수 있습니다.

개발팀은 SAST를 시행한 다음 IAST(대화형 애플리케이션 보안 테스트)를 사용하여 실시간 라이브  앱을 테스트할 수 있습니다.

IAST 도구는 일반적으로 데브옵스 환경에서 사용할 수 있도록 설계되었으며, SDLC 프로세스에 영향을 주지 않으면서 기존 기능 테스트 활동을 활용하여 실행 중인 애플리케이션의 취약점을 탐색합니다.

과거에는 안전한 SDLC를 구축하는 것이 중대한 과제였으나, 조직에서는 완전히 통합된 플랫폼을 제공하는 업체에  의존하여 보안 목표를 달성하는 데 도움을 받을 수 있었습니다. 보안목표를 달성하기 위해 완전히 통합된 플렛폼을 제공하는 공급업체에 보다 쉽게 의존할 수 있습니다.

물론 올바른 앱 보안 플랫폼을 선택하는 것은 모든 경영자에게 어려운 과제입니다.(Tech Wire Asia 에서는 시장의 주요 앱 보안 업체 목록을 검토하여 추천할 수 있는 업체를 발견했습니다.

Source: Checkmarx

Checkmarx: 보안에 필요한 모든 요구사항을 제공하는 단일 플랫폼

적절한 기능을 모두 갖춘 원스톱 통합 엔터프라이즈급의 플랫폼을 찾으신다면 Checkmarx 소프트웨어 보안 플랫폼(Checkmarx Software Security Platform)만큼 뛰어난 플랫폼은 없습니다.

이 플랫폼의 총체적 접근 방식을 통해 보안을 데브옵스 방법론에 완벽하도록 맞출 수 있으며 SDLC의 모든 단계에 보안을 포함할 수 있습니다.

플랫폼의 핵심에는 Checkmarx의 업계 최고의 소스 코드 분석 솔루션이자 매우 정확하고 유연한 도구인 CxSAST가 있습니다. 개발팀은 CxSAST를 통해 코드(컴파일되지 않은 코드 포함)를 자동으로 스캔하여 보안 취약점을 찾아낼 수 있습니다.

컴파일되지 않은  소스 코드를 스캔하는 기능은 기업에서 본질적으로 개발 수명주기의 초기 단계부터 보안을 통합할 수 있도록 도와드립니다.

Checkmarx는 그 외에도 Checkmarx만의 “Best Fix Locatio)”를 통해 소스상 수정해야할 최적의 위치를 자동 추천  합니다. 이 기능은 하나의 근본 문제해결을 통해  코드 세그먼트 내에서 여러 보안 취약점을 동시에 완화할 수 있습니다. .

또한 CxIAST(Checkmarx 대화형 애플리케이션 보안 테스트)는 모든 조직의 CI/CD 파이프라인에 완벽하게 통합된 테스트를 통해 애플리케이션의 취약성을 감지하여, 테스트 주기에 아무 영향도 주지  않으면서 최고의 취약성 감지 범위와 더욱 지능적인 복원 기능을 제공합니다.

Checkmarx의 소프트웨어 보안 플랫폼은 오픈 소스 구성요소 및 관련 위험 요소를 감지하는 CxSAST, CxIAST, CxOSA가 포함되어 있어 성공적인 데브옵스 도입에 이상적인 플랫폼입니다.

Checkmarx의 소프트웨어 보안 플랫폼에 관해 더 자세히 살펴보려면 한 내용을 보시려면 여기를 클릭하십시요.