Presentation: Panel: Security Against Modern Threats

Context

개발팀은 공개 레포지토리와 마켓플레이스의 모든 의존성을 기본적으로 신뢰하는 가정 하에 운영되어 왔으나, 의존성 혼동(dependency confusion), 타이포스쿼팅, 손상된 빌드 파이프라인 등 공급망 공격의 정교화로 이러한 가정이 근본적으로 위험함이 드러났다. CI/CD 파이프라인 자체가 내부에서 개발되고 신뢰한다는 가정도 적절한 감시 및 설정이 없으면 악성 코드 주입 공격에 노출될 수 있다.

Technical Solution

• 제로 트러스트 원칙을 소프트웨어 공급망에 적용: 마켓플레이스와 공개 레포지토리의 모든 의존성에 대해 검증 및 스캔 실행
• CI/CD 파이프라인 전체 단계에서 악성 패키지 및 악성 코드 차단: 코드베이스 다운로드 시점에서 검증하여 컨테이너 이미지 런타임까지 영향 최소화
• 의존성의 실시간 모니터링: 인프라에 대한 활성 공격 시도 감지 및 추적
• CI/CD 파이프라인 감시 및 적절한 구성: 내부 개발 파이프라인에 대한 감시 강화로 파이프라인 공격 차단
• 조직 전체 교육 프로그램 운영: 월별 1시간 점심 시간 학습 세션(보안, DevOps, QA, 개발자 참여) 및 TryHackMe 같은 라이브 해킹 테스트 플랫폼 활용

Key Takeaway

공급망 보안은 기술적 스캔과 모니터링을 넘어 모든 개발 단계에서 검증하는 제로 트러스트 문화 정착과 조직 전체의 보안 인식 향상이 핵심이며, 이를 위해 정기적인 교육과 최고 경영진의 지원이 필수적이다.