피드로 돌아가기
Millions Spent on Security Tools. Zero Spent on Asking the Right Questions.
Dev.toDev.to
Security

Tooling 기반 보안의 한계 극복을 위한 Architectural Intent Gap 분석

Millions Spent on Security Tools. Zero Spent on Asking the Right Questions.

Tilak Upadhyay2026년 6월 19일14intermediate

Context

CSPM, CNAPP 등 자동화 도구 중심의 보안 체계가 가진 Context 부재 문제 분석. 설정값의 정합성(Configuration State)만 검증하는 기존 방식으로는 시스템의 설계 의도(Intent)와 실제 구현 사이의 괴리를 발견할 수 없는 구조적 한계 존재.

Technical Solution

  • Architectural Intent Gap 식별을 통한 설계 의도와 구현체 간의 정렬 검증
  • IoM(Indicator of Misconfiguration)을 넘어선 Context 기반의 아키텍처 분석 체계 도입
  • Shared Infrastructure(예: 상용 VPN Gateway) 사용 시 발생하는 IP Whitelisting의 논리적 허점 파악
  • 자동화 도구의 Green Dashboard가 보장하지 못하는 '논리적 접근 제어'의 유효성 검증
  • 시스템의 목적과 실제 트래픽 경로를 대조하는 Human-in-the-loop 검증 프로세스 구축
  • 설계 문서와 실제 배포 환경 간의 일치 여부를 확인하는 정기적 아키텍처 리뷰 수행

1. 외부 노출 ALB의 Security Group 설정 시 Whitelist IP가 공유 인프라인지 확인

2. 'Internal'로 정의된 서비스의 접근 경로가 실제 설계 의도대로 제한되는지 수동 검증

3. 자동화 도구의 Compliance 통과 여부와 별개로 아키텍처 다이어그램 기반의 데이터 흐름 분석 수행

4. 시스템 설계 시 '무엇을 막아야 하는가'에 대한 정의를 코드나 문서로 명문화하여 검증 지표로 활용

원문 읽기