ISMS-P 2.8.5 소스 프로그램 관리 High Risk

소스 프로그램이 체계적으로 관리되고 있는가?

ISMS-P 2.8.5는 소스 프로그램에 대한 접근 권한을 제한하고 운영환경과 분리하여 관리하도록 요구합니다. 클라우드 환경에서는 VCS 기반 접근통제와 Git 브랜치 보호 정책을 통해 소스코드를 체계적으로 관리해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.8.5 소스 프로그램 관리 요구사항

2.8.5

소스 프로그램 관리

인증 기준 정의

"소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다."

📌 클라우드 환경 적용 포인트

Terraform Cloud VCS-driven 워크플로우로 소스코드 중앙 관리
Git 브랜치 보호 규칙으로 인가된 사용자만 변경 가능
State 파일 S3 Backend 저장 (암호화 + 버전관리 + 잠금)
비밀정보(Credentials) 절대 코드에 포함 금지

⚠️ 미준수 시 심사 영향

결함: 형상관리시스템 없이 개발자 PC에만 소스코드 보관
결함: 소스코드 접근권한 관리 미흡 (전 직원 접근 가능)
결함: 운영 서버에 소스코드 직접 배포 및 보관
권고: 소스코드 변경이력 관리 미수행

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS K-ISMS 규정 준수 ↗

📰

실제 보안 사고 사례

소스 프로그램 관리 미흡으로 발생한 실제 사고

2023년

트위터 소스코드 GitHub 유출

트위터의 비밀 소스코드 일부가 GitHub에 3개월간 공개되는 사고 발생. 내부 직원이 실수 또는 의도적으로 공개 리포지토리에 업로드하여 보안 취약점 노출 및 저작권 침해 우려가 발생했습니다.

💡 교훈: Git 리포지토리 접근권한 엄격 관리, 민감 코드 감지 시스템 필요

2024.05

Git 서브모듈 RCE 취약점 CVE-2024-32002

Git의 서브모듈 기능 취약점으로 악의적 리포지토리 clone 시 원격 코드 실행(RCE) 가능. git clone --recurse-submodules 명령어로 악성 스크립트가 .git 디렉토리에 기록되어 실행됩니다.

💡 교훈: Git 클라이언트 최신 버전 유지, 신뢰할 수 없는 리포지토리 clone 주의

⚡

클라우드 환경의 위험

Terraform에서 소스 프로그램 관리가 위반되는 상황

로컬 관리 + 민감정보 하드코딩 (위험)

# State - 로컬 파일로 관리 (위험!)
terraform {
  # backend 미설정
}

# 민감 정보 하드코딩 (위험!)
resource "aws_db_instance" "main" {
  password = "SuperSecret123!"
}

State 파일이 로컬에 평문 저장 → 민감 정보 노출 위험

S3 Backend + Secrets Manager (권장)

# S3 Backend - 암호화 + 잠금
terraform {
  backend "s3" {
    bucket       = "state-bucket"
    encrypt      = true
    use_lockfile = true
  }
}

# Secrets Manager 참조
password = data.aws_secretsmanager_secret_version.db.secret_string

State 파일 암호화 + 버전관리 → 규정 준수 충족

🚨

발견 사례: IaC 코드에 민감정보 하드코딩 및 로컬 State 관리

AWS 자격증명이 Provider에 하드코딩되고, terraform.tfstate가 로컬에 보관되어 형상관리 및 접근통제 미흡 상태입니다.

ISMS-P 2.8.5 위반 사항

●

형상관리 시스템 없이 로컬에만 소스코드 보관

●

State 파일 암호화 및 잠금 미적용

●

민감 정보(Credentials)가 소스코드에 포함

●

소스코드 접근권한 관리 미수행

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

소스 프로그램 관리 탐지 로직

판단 조건	조건 값	결과
📦 Terraform Backend	`설정 없음 (local)`	Critical - 차단
📦 Terraform Backend	`S3 + encrypt = true`	✓ 통과
🔑 민감정보	`access_key/secret_key 하드코딩`	Critical - 차단
🔑 민감정보	`password 등 민감값 평문`	Critical - 차단
🔒 State Locking	`use_lockfile 미설정`	High - 경고
🔒 State Locking	잠금 설정됨	✓ 통과

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

소스 프로그램 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
🔐 GitHub Secret Scanning	`민감정보 탐지됨`	Critical - 즉시 키 교체
🔐 GitHub Secret Scanning	`민감정보 없음`	✓ 통과
📂 S3 Bucket	`Public Access 허용`	Critical - 차단
📂 S3 Bucket	`.tfstate 파일 Git 커밋`	Critical - 삭제 권고
🛡️ Branch Protection	`미설정`	High - 설정 권고
🛡️ Branch Protection	PR 승인 필수 설정됨	✓ 통과

모든 알림에 포함되는 정보

리포지토리 이름 탐지된 민감정보 유형 커밋 작성자 조치 가이드 링크

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 문제

로컬 State 관리 + 민감정보 하드코딩

✓ 적용

S3 Backend + Secrets Manager + VCS-driven 워크플로우

권장 설정 (복사하여 적용)

backend.tf

# S3 Backend - 암호화 + 잠금
terraform {
  backend "s3" {
    bucket       = "my-terraform-state-bucket"
    key          = "production/terraform.tfstate"
    region       = "ap-northeast-2"
    encrypt      = true  # ✓ SSE-S3 암호화
    kms_key_id   = "alias/terraform-state-key"
    use_lockfile = true  # ✓ TF 1.10+ Native Locking
  }
}

# 민감 정보 - Secrets Manager 참조
data "aws_secretsmanager_secret_version" "db_password" {
  secret_id = "production/db/password"
}

resource "aws_db_instance" "main" {
  identifier = "production-db"
  username   = "admin"
  password   = data.aws_secretsmanager_secret_version.db_password.secret_string

  tags = {
    ISMS-P = "2.8.5"
  }
}

💡 핵심: S3 Backend에 encrypt = true와 use_lockfile = true를 설정하면 State 파일이 암호화되고 동시 접근이 방지됩니다. 민감정보는 절대 코드에 하드코딩하지 않고 Secrets Manager를 참조해야 합니다.

📚 참고 자료

📦 Terraform S3 Backend 문서 ↗ 🔐 GitHub Secret Scanning 가이드 ↗ 🔒 ISMS-P 인증기준 안내서 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

형상관리 체계 (VCS 연동 여부)
리포지토리 접근권한 설정
브랜치 보호 규칙 적용 여부
State 파일 암호화/잠금 상태
민감정보 탐지 현황

📅 리포트 주기

일간

민감정보 탐지 알림

주간

소스코드 보안 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

단순 패턴 매칭

하드코딩된 비밀정보 패턴 검색
password = "..." 정규식 탐지
정적 분석 결과만 출력

한계: Backend 설정 적정성 검증 불가, VCS 연동 및 브랜치 보호 상태 확인 불가

BSG 접근 방식

IaC 전체 분석 + VCS 연동 + State 보안 통합

Backend 설정, 암호화, 잠금 검증
GitHub Secret Scanning 연동
VCS 워크플로우 + 브랜치 보호 일괄 검증

차별점: 소스코드-State-배포 전 과정 보안 체계 탐지 → 조치 → 증적 자동화

← IaC/Terraform Management로 돌아가기