2023년은 AI의 급격한 증가로 야기된 다양한 보안이슈로 인해 CISO에게 매우 바쁜 한해였습니다. 이런 추세는 2024년에도 여전할 것으로 생각됩니다. Sonatype 의 제품혁신 부사장 스테판 매길이 “2024년 CISO가 알아야 할 5대 트렌드” 웨비나를 진행했고, 아래 주요 메세지를 정리해 보았습니다.
사이버 보안에 대한 AI의 영향
AI가 사이버 보안에 미치는 영향은 점점 커질 것이며, AI 시스템에 대한 악성 공격도 증가할 것으로 예측합니다. 최근 ChatGPT 내의 데이터 유출 사건이 그 반증입니다.
데이터 유출이 새로운 사건은 아니지만, CISO는 AI 사용을 운영화해야 한다는 점을 시사하며, 많은 기업이 AI 기술을 도입함에 따라 위험을 회피하고 규제된 환경으로 공급되는 데이터에 대해 신중하게 고려해야 함을 강조했습니다.
AI 기능 및 함정
매길 부사장은 2024년에는 소프트웨어 개발에 더 많은 AI 가 사용될 것으로 예측하였습니다. AI를 활용하여 개발 속도가 빨라지는 장점이 있지만, 생성형 AI가 작성한 코드의 오류와 보안 이슈가 높다는 연구 결과가 있었습니다. 이는 SCA(Software composition analysis) 툴을 활용하는 코드 리뷰 단계와 SAST(정적 애플리케이션 보안 테스트)가 더욱 중요해질 것을 의미합니다.
SBOM 요구 증가
결과적으로 이런 환경의 변화는 소프트웨어 자재명세서(SBOM) 의 중요성을 부각시킵니다. 소나타입에서 최근 진행한 조사에 따르면 바이든 대통령의 사이버보안 개선 행정명령 발표 이후 76% 기업이 SBOM의 도입을 했다고 조사되었습니다.
SBOM 진화
매길 부사장은 SBOM에 대한 요구가 증가함에 따라 효율적으로 SBOM을 관리하고 유지하기 위한 노력들이 늘어날 것으로 예측했습니다. SBOM은 의료나 IoT 디바이스 등 긴 수명의 시스템의 경우, 단순한 체크박스가 아닌 소프트웨어의 보안을 보장하기 위한 지속적인 노력을 의미합니다. 기업은 소프트웨어 공급망 보안에 접근하는 엄격한 개발 프로세스와 유지, 모니터링 관행이 필요합니다.
레거시 사이버 보안
소프트웨어 공급망 취약점에 대한 보안 강화는 여전히 중요한 트렌드로 손 꼽혔습니다. 96%의 취약성이 다운로드 되는 것을 피할 수 있는 것으로 조사되었고, 따라서 더 안전한 소프트웨어를 개발하기 위해 개발자가 오픈소스를 사용하고 소비하는 행태에 주의가 필요하다는 사실이 다시한번 강조되었습니다.
매길 부사장은 CISO가 사이버 보안을 강화하기 위해서는 이런 트렌드를 경계하고 적극적으로 대응해야 함을 강조했습니다.
소프트웨어 공급망 보안을 강화하기 위해 도움이 필요하다면 소나타입 한국총판 OSC Korea에 연락(문의하기)을 부탁드립니다.
