운영환경 이관이 적절히 수행되고 있는가?

ISMS-P 인증 기준

ISMS-P 2.8.6 운영환경 이관 요구사항

운영환경 이관

인증 기준 정의

"신규 도입·개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립·이행하여야 한다."

실제 보안 사고 사례

운영환경 이관 미흡으로 발생한 실제 사고

프록시로그온 제로데이 취약점 패치가 배포되었으나, 운영 중단 우려로 이관하지 않다가 해킹 피해 발생. 패치 이관을 미루는 동안 공격자가 취약점을 악용했습니다.

클라우드 스토리지 이관 시 접근 권한 설정 오류로 'Public Read' 상태로 배포되어 2,600만 건의 이력서가 외부에 노출되었습니다. 이관 전 보안 설정 검증이 없었던 것이 원인입니다.

클라우드 환경의 위험

환경 미분리 및 승인 없는 배포의 위험성

❌ 위험: 환경 미분리 + 승인 없는 배포

# 단일 Workspace에서 모든 환경 관리 (위험!)
terraform {
  cloud {
    organization = "my-company"
    workspaces {
      name = "all-environments"  # 구분 없음!
    }
  }
}

# 환경 구분 없이 하드코딩 (위험!)
resource "aws_instance" "web" {
  instance_type = "t3.large"  # prod가 dev에도 적용
}

# 승인 없이 직접 배포 (위험!)
# terraform apply -auto-approve

단일 Workspace에서 모든 환경 관리 시 실수로 운영환경 변경 위험

✓ 권장: 환경별 Workspace + 승인 게이트

# 환경별 Workspace 분리
terraform {
  cloud {
    organization = "my-company"
    workspaces {
      tags = ["app:web-service"]
      # web-service-dev
      # web-service-staging
      # web-service-prod
    }
  }
}

# 환경 변수로 분기
resource "aws_instance" "web" {
  instance_type = var.instance_type
  tags = { Environment = var.environment }
}

환경별 Workspace 분리로 안전한 이관 체계 구축

사전 탐지 방안

IaC 정적 분석 기반 환경 분리 검증

환경 분리 탐지 로직

# OPA/Rego Policy - 환경 분리 검증
package terraform.environment_migration

deny[msg] {
  workspace := input.workspace.name
  not contains(workspace, "-dev")
  not contains(workspace, "-staging")
  not contains(workspace, "-prod")
  msg := "Workspace 이름에 환경 구분 필수 (-dev/-staging/-prod)"
}

deny[msg] {
  resource := input.resource_changes[_]
  resource.change.actions[_] == "create"
  not resource.change.after.tags.Environment
  msg := sprintf("리소스 %s에 Environment 태그 필수 - ISMS-P 2.8.6", [resource.address])
}

# prod 환경 직접 배포 방지
deny[msg] {
  workspace := input.workspace.name
  contains(workspace, "-prod")
  input.run.auto_apply == true
  msg := "Production 환경 auto-apply 금지 - 수동 승인 필수"
}

사후 대응 방안

Runtime 탐지 및 이관 절차 모니터링

운영환경 이관 이벤트 대응 로직

# GitHub Actions - 환경별 승인 게이트
name: Terraform Deployment

jobs:
  deploy-dev:
    runs-on: ubuntu-latest
    environment: development  # 자동 승인
    steps:
      - name: Deploy to Dev
        run: terraform apply -auto-approve

  deploy-staging:
    needs: deploy-dev
    runs-on: ubuntu-latest
    environment: staging  # 수동 승인 필요
    steps:
      - name: Deploy to Staging
        run: terraform apply staging.tfplan

  deploy-prod:
    needs: deploy-staging
    runs-on: ubuntu-latest
    environment: production  # 수동 승인 + 추가 검토자
    steps:
      - name: Deploy to Production
        run: terraform apply prod.tfplan

조치 가이드

즉시 적용 가능한 권장 설정

# Terraform Cloud - 환경별 Workspace 분리
terraform {
  cloud {
    organization = "my-company"

    workspaces {
      tags = ["app:web-service"]
      # dev, staging, prod 별도 Workspace 생성
      # web-service-dev, web-service-staging, web-service-prod
    }
  }
}

# 환경 변수 정의
variable "environment" {
  description = "Deployment environment"
  type        = string
  validation {
    condition     = contains(["dev", "staging", "prod"], var.environment)
    error_message = "Environment must be dev, staging, or prod."
  }
}

# 환경별 리소스 설정
resource "aws_instance" "web" {
  ami           = data.aws_ami.amazon_linux.id
  instance_type = var.instance_type  # 환경별 tfvars에서 정의

  tags = {
    Name        = "web-${var.environment}"
    Environment = var.environment
    ISMS-P      = "2.8.6"
  }
}

💡 핵심: Terraform Cloud Workspace를 환경별(dev/staging/prod)로 분리하고, 각 환경은 별도의 tfvars 파일로 설정 관리합니다. staging과 production 배포 시 Manual Approve 필수.

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 점검 항목별 증적

🤖 자동화 증적 수집

# Terraform Cloud API로 Workspace 목록
curl -H "Authorization: Bearer $TFE_TOKEN" \
  "https://app.terraform.io/api/v2/\
organizations/my-org/workspaces"

# Run History 조회
curl -H "Authorization: Bearer $TFE_TOKEN" \
  "https://app.terraform.io/api/v2/\
workspaces/{id}/runs"

# State 버전 이력 확인
aws s3api list-object-versions \
  --bucket terraform-state \
  --prefix production/

# GitHub Environment 승인 설정
gh api repos/{owner}/{repo}/environments

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

BSG 접근 방식