DevSecOps 역설: Security Automation이 파이프라인 취약점을 해결하면서 동시에 생성하는 이유

Source: DZone DevOps

주요 통계

숫자는 우려스러운 이야기를 전합니다. 산업 추적 데이터에 따르면 2024년 사이버 공격의 45%가 CI/CD 파이프라인의 취약점을 이용했습니다. 애플리케이션 코드가 아니라, 사용자 자격 증명도 아닙니다. 바로 빌드 및 배포 인프라 자체를 노린 것입니다.

공격자 동기

이는 공격자들의 사고 방식에 근본적인 변화를 나타냅니다. 프로덕션 시스템을 위한 익스플로잇을 몇 주 동안 만들기보다, 그 시스템에 배포되는 파이프라인을 장악하는 것이 왜 더 효율적일까요? 우물을 오염시키면, 하위 서비스 모두가 오염된 물을 마시게 됩니다.