브로드컴, AI 시대 스프링 애플리케이션 보안 강화 목표

출처: DevOps.com

Broadcom 오늘은 Java 애플리케이션 구축을 위한 오픈소스 Spring 프레임워크에 대한 다양한 업데이트를 발표했습니다. 이번 업데이트는 인공지능(AI) 도구를 활용한 연구원들이 발견한 대량의 취약점을 주로 해결하기 위한 것입니다.

동시에 Broadcom은 Spring 프레임워크 배포판을 사용해 애플리케이션을 구축하는 조직을 위해 수천 개의 Spring 의존성을 보호할 수 있는 관리형 서비스를 추가하고 있습니다. 이 서비스는 Broadcom이 보안 이미지와 Tanzu Buildpacks를 생성하기 위해 사용하는 Bitnami 클린룸 기술을 기반으로 하며, Open Container Image(OCI) 형식에 따라 소스 코드를 자동으로 이미지로 변환합니다.

Broadcom은 VMware 인수 과정에서 해당 플랫폼에 대한 접근 권한을 얻었으며, 이제 Spring 프레임워크는 Broadcom의 Tanzu 부서에 포함되었습니다. Tanzu 부서는 Java 애플리케이션 개발과 오픈소스 Cloud Foundry 플랫폼‑서비스(PaaS) 환경에 중점을 두고 있으며, Buildpacks가 처음 개발된 곳이기도 합니다.

Broadcom Tanzu 부서 마케팅 책임자인 Kevin Strohmeyer는 “이러한 일련의 활동은 Spring 프레임워크에 대한 Broadcom의 지속적인 헌신과 조직이 Java 공급망을 보호할 수 있도록 추가 서비스를 제공하려는 의지를 보여준다”고 말했습니다.

보안 연구원들이 최신 세대의 최첨단 모델을 활용해 더 많은 취약점을 발견하고 있는 상황에서 Broadcom은 오늘 Spring 커뮤니티가 Broadcom에 보고한 월간 보안 권고 건수가 올해 3월에서 4월 사이에 1,700% 이상 증가했다고 밝혔습니다. 이에 따라 기업 IT 조직은 제로데이 취약점을 해결하기 위해 만든 패치를 신속히 검증하고 적용하도록 추가 서비스를 제공해 줄 Broadcom을 기대하고 있다고 Strohmeyer는 말했습니다.

수천 개의 제로데이 취약점이 갑자기 발견되는 것이 DevSecOps 워크플로에 어떤 영향을 미치는지는 명확하지 않지만, AI 시대에는 익스플로잇을 만드는 데 필요한 시간이 급격히 줄어들고 있습니다. 많은 경우 패치가 나오기 전에도 익스플로잇이 만들어지고 있습니다.

궁극적으로 각 조직은 위험 감수 수준을 재조정해야 할 것입니다. 과거에는 패치가 오히려 문제를 악화시킬 수 있어 애플리케이션이 중단될 위험이 있었기 때문에 대부분의 조직이 패치를 꺼려했습니다. 그러나 AI 시대에는 사이버 범죄자와 기타 위협 요소가 몇 시간 안에 취약점을 악용할 수 있다는 것이 명백해졌습니다. 침해가 발생했을 때 발생할 수 있는 피해는 일시적인 서비스 중단보다 훨씬 치명적일 수 있습니다.

문제는 그 위험을 어떻게 평가하느냐인데, 분당 수백만 달러의 매출을 창출하는 애플리케이션도 존재합니다. 이런 경우 제로데이 취약점에 대한 위험 수준이 그렇게 높게 보이지 않을 수도 있습니다.

어떤 접근 방식을 택하든, 확실한 한 가지는 과거와 같은 취약점 관리 방식은 AI 시대에 더 이상 통하지 않을 것이라는 점입니다. 실제로 많은 DevSecOps 팀은 사이버 범죄자보다 한 발 앞서기 위해 애플리케이션을 지속적으로 패치해야 하는 상황에 직면하게 될 것입니다.