2024년 11월 29일, MISA 대표들은 BIDV Insurance - BIC가 주최한 워크숍 "DevSecOps에 대해 알아보기 - 기술 및 보안 제어 솔루션"에서 조직의 정보 보안을 개선하기 위한 SecDevOps 문화 구축에 대한 실질적인 경험을 공유했습니다.

워크숍에는 정보기술 및 정보보안 분야의 주요 전문가들이 참석했습니다. MISA 측에서는 정보 보안 책임자인 응우옌 꽝 호앙(Nguyen Quang Hoang) 씨와 정보 보안 부서 책임자인 부이 둑 트엉(Bui Duc Truong) 씨가 참석했습니다.

워크숍의 일환으로 MISA 정보 보안 부서의 부장인 Bui Duc Truong 씨는 SecDevOps 모델을 소개하고, 조직에서 정보 보안과 안전에 대한 인식을 높이기 위해 제품에 SecDevOps를 적용한 경험을 공유했습니다.

Paloalto Network의 2022년 11월부터 2023년 1월까지의 공통 취약점 및 노출(CVE) 할당 카탈로그에 따르면, 안전하지 않은 프로그래밍으로 인해 애플리케이션에 취약점이 자주 나타납니다. 따라서 조직에서는 전체 소프트웨어 제품 개발 프로세스에 보안을 통합해야 합니다. CIO Insight의 James Rutt에 따르면, 구체적으로 소프트웨어에 SecDevOps 모델을 적용하면 제품 개발 프로세스가 가속화되고 소스 코드의 취약점이 40~50% 줄어듭니다.

SecDevOps는 DevSecOps와 유사하게 보안, 개발, 운영을 결합한 개발 모델입니다. 그러나 가장 중요한 차이점은 SecDevOps가 모든 개인의 사고방식과 소프트웨어 개발 프로세스의 모든 단계에서 보안을 최우선으로 생각한다는 것입니다. 또한 이 모델은 "원팀" 업무 프로세스와 문화를 장려하여 각 개인이 긴밀히 협력하여 전반적으로 보안을 우선시하도록 돕습니다.

SecDevOps 모델을 효과적으로 적용하려면 조직에서 사람, 프로세스, 기술이라는 세 가지 요소를 긴밀하게 적용해야 합니다. 인력 측면에서 조직은 정보 보안 팀의 기술을 향상시키고, 보안 팀을 DevOps 팀과 연계하고, 프로그래밍 교육과 안전한 배포를 제공해야 합니다. 프로세스 측면에서 조직은 보안 소프트웨어 개발 수명 주기(SSDLC) 모델을 적용하여 보안 소프트웨어를 개발할 수 있습니다. 기술 측면에서 조직은 다음과 같은 보안 방법 및 도구를 사용하여 보안 취약점을 탐지하고 처리할 수 있습니다. 정적 분석(SAST); 동적 분석(DAST) 대화형 분석(IAST) 소프트웨어 구성 분석(SCA).

트롱 씨에 따르면 프로그래머는 보안 인식과 안전한 프로그래밍에 대한 교육을 받아야 하며, 이를 통해 소프트웨어 개발 과정의 후반 단계에서 취약점이 나타나는 것을 방지해야 합니다.

MISA는 베트남에서 소프트웨어 서비스를 제공하는 선도적인 기술 기업이자 CYSEEX Alliance의 창시자로서, 기업들이 첨단 보안 솔루션을 구축하고 사이버 공격으로부터 데이터와 정보 시스템을 보호하도록 돕는 데 전념하고 있습니다.