2016.10.07

CISO와 기업 보안을 위한 데브옵스의 7가지 이점

Ryan Francis | CSO
오늘날 조직 문화와 프로세스, 그리고 IT는 과거에는 경험해보지 못한 속도로 진화 중이다. 가만히 앉아서 "데브옵스(DevOps) 유행"이 지나가길 기다릴 수는 없다. 그럴 일은 없기 때문이다.

데브옵스는 한때의 유행이 아니라 진화된 소프트웨어 개발 방식이다. 또한 보안은 너무 복잡하다는 이유로 회피할 수 있는 사안이 아니다. 보안 역시 진화해 섹데브옵스(SecDevOps)로 이어져야 한다.

많은 조직은 주기적으로 많게는 수백, 적게는 수십 개의 릴리스를 푸시하고 매일 업데이트를 배포한다. 조직은 보안 팀의 도움과 안내에 따라 한번에 보안 릴리스를 푸시하고, 이 과정에서 많은 비용과 시간을 절약할 수 있다. 체크막스(Checkmarx)는 데브옵스가 보안에 큰 이익이 될 수 있는 이유를 다음과 같이 설명한다.

1. 데브옵스는 협업과 사일로 허물기 문화를 촉진한다
데브옵스의 주요 목표 가운데 하나는 관련된 모든 팀이 더 효율적으로 작업하는 방법을 찾도록 협업을 중시하는 문화를 조성하는 것이다. 개발자에게 안전한 코드를 작성하기란 까다로운 일이다. 많은 보안 도구가 사용되지 않고 버려지는 이유는 개발 팀이 그 도구의 사용 방법에 대한 적절한 교육을 받지 못하거나, 빠르게 변화하는 소프트웨어 개발 라이프사이클 방법론에 도구가 보조를 맞추지 못하는 데 있다.

데브옵스를 도입하면 사일로가 허물어져 보안을 더 긴밀하게 통합하고 더 많은 부분을 자동화할 수 있으며 따라서 다른 개발 팀에서 보안을 더 쉽게 이해하고 개선할 수 있게 된다.

2. 데브옵스는 보안과 다른 비즈니스 영역이 조화를 이루도록 해준다
개발자와 다른 팀원들 간의 관계 개선 외에 데브옵스가 보안 팀에게 주는 또 다른 혜택은 다른 비즈니스 영역과의 조화다.

최근 퍼펫 랩스(Puppet Labs)의 설문에 따르면, 성과가 우수한 조직의 경우 계획되지 않은 작업과 재작업에 소비하는 시간이 22% 더 적은 것으로 나타났다. 통합 보안 테스트는 시스템 개발 라이프사이클(systems development life cycle, SDLC)에서 훨씬 더 일찍 문제를 포착할 수 있게 해준다. 보안 예산이 낮아지고, 그 예산은 조기 보안 프로세스에 집중된다.

가장 중요한 점은 보안 침해 위험이 낮아지고 침해 발견 시간이 단축된다는 것이다. 잠재적 침해에 대처하고 리스크 기반의 의사 결정을 내리기 위한 정책과 절차를 더 쉽게 구축할 수 있다. 이러한 모든 장점이 결합되어 잠재적 비즈니스 다운타임이 줄어든다.

3. 데브옵스는 안전한 혁신과 민첩한 개발을 촉진한다
애자일 소프트웨어 개발(Agile Software Development, ASD)을 도입하는 조직이 증가하고 있다. ASD는 이미 전세계 대다수 조직에서 사용되는 방법론이다. 그러나 소프트웨어 개발에서 일관성과 속도를 논할 때 보안을 고려하지 않을 수 없다.

애자일 소프트웨어 개발에서 최적의 결과를 얻기 위해서는 적절한 보안 구현이 필수적이다. 보안 팀이 개발 문화에 더 밀접하게 통합되면 시작 단계부터 새로운 개발을 더 쉽게 보호할 수 있다.

데브옵스를 통해 팀은 개발자의 스프린트에 매끄럽게 보안 리뷰를 통합하고, 안전한 새로운 기능 또는 혁신을 신속하게 추가할 수 있다. 보안을 고려한 혁신은 비즈니스를 지원할 뿐만 아니라 팀이 소프트웨어 개발의 유용한 초석으로 자리잡는 데도 도움이 된다.

4. 데브옵스는 자동화를 중시한다
데브옵스를 이끄는 원동력은 프로세스를 자동화할 수 있는 능률적인 소프트웨어 개발 접근 방법을 만들고자 하는 욕구다.

보안 팀은 같은 회사의 운영 관리자 및 개발 팀 리더와 협력함으로써 보안 기능과 정책을 확인하고, 안전하지 않은 구성 요소 및 규정 준수 관련 문제를 파악하고, 안전한 작업용 가상 머신을 구축하는 것을 포함한 자동화된 프로세스를 개발할 수 있다.

이를 통해 보안은 이전과는 다른, 완전히 새로운 차원으로 개입하게 된다. 자동화된 개발 프로세스에 정적 코드 분석 솔루션을 도입하면 특정 보안, 규정 및 컴플라이언스 기준을 충족하는 코드만 사용되도록 보장할 수 있다.

5. 데브옵스를 통해 보안은 모든 이의 책임이 된다
데브옵스로 전환하게 되면 얻는 효과 가운데 가장 까다롭지만 가장 값진 것은 SDLC의 모든 사람이 보안에 관여한다는 점이다.

보안 업무를 다른 팀에 넘겨준다는 것은 보안 팀 입장에서 두려운 일일 수 있지만 이를 통해 보안 팀은 부담을 덜고 다른 긴급한 보안 사안을 살필 수 있는 여유를 얻게 된다.

예를 들어 개발 시작 단계에 보안 테스트를 통합하면 보안 팀은 후반부의 SDLC 테스트로 인해 릴리스가 지연되는 일이 없도록 하는 데 더 이상 신경을 쓰지 않아도 된다.

개발(Dev)과 운영(Ops) 팀이 보안 코드에 대해 더 큰 책임을 맡게 되면 보안에 관심을 가진 개발 팀원들은 보안 전문 지식을 넓힐 기회를 갖게 된다. 적절한 교육 프로그램, 깃발 뺏기 훈련 등을 통해 팀의 전체적인 보안 지식을 개선할 수 있다.

6. 데브옵스는 모니터링과 측정을 강화한다
짧은 개발 스프린트는 지속적인 개선을 가능하게 해준다. 데브옵스에 보안을 통합하기 전에는 모니터링이 보안과 별개로 수행되는 경우가 많았다. 보안이 개발 프로세스에 통합되면 기존 소프트웨어 모니터링 및 측정에도 보안을 통합할 수 있다. 그 결과 새로운 보안 지표는 개발, 운영, 측정과 더 긴밀히 조화를 이루게 된다.

예를 들어 데브옵스 팀은 개발 프로세스의 초기에 버그의 75%를 잡는 것을 목표로 할 수 있다. 섹데브옵스를 통해 팀은 프로세스의 초반에 보안 취약점을 모니터링하고 측정해 배포를 지연시킬 수 있는 모든 버그를 포착, 정량화할 수 있다.

7. 데브옵스는 병목 지점을 없애준다
데브옵스가 없는 경우 사용자는 문제에 도움을 줄 적절한 담당자를 찾기 위해 이리저리 부딪쳐야 한다. 데브옵스 팀은 그룹 간 커뮤니케이션 채널을 열어주므로 사용자는 여러 담당자로 연결되는 명확한 경로를 알고, 문제가 발생하면 바로바로 해결할 수 있게 된다.

열린 커뮤니케이션과 함께 교육 역시 데브옵스 프로그램의 핵심 구성 요소다. 앞서 언급한 퍼펫 랩스 설문에서는 성과가 우수한 데브옵스 조직은 성과가 낮은 조직에 비해 보안 문제를 수정하는 데 50% 더 적은 시간을 소비하며, 정보 보안 팀이 개발자와 IT 운영진이 사용할 사전 승인된 사용하기 쉬운 라이브러리와 패키지, 툴체인, 프로세스를 만들도록 한다. editor@itworld.co.kr


2016.10.07

CISO와 기업 보안을 위한 데브옵스의 7가지 이점

Ryan Francis | CSO
오늘날 조직 문화와 프로세스, 그리고 IT는 과거에는 경험해보지 못한 속도로 진화 중이다. 가만히 앉아서 "데브옵스(DevOps) 유행"이 지나가길 기다릴 수는 없다. 그럴 일은 없기 때문이다.

데브옵스는 한때의 유행이 아니라 진화된 소프트웨어 개발 방식이다. 또한 보안은 너무 복잡하다는 이유로 회피할 수 있는 사안이 아니다. 보안 역시 진화해 섹데브옵스(SecDevOps)로 이어져야 한다.

많은 조직은 주기적으로 많게는 수백, 적게는 수십 개의 릴리스를 푸시하고 매일 업데이트를 배포한다. 조직은 보안 팀의 도움과 안내에 따라 한번에 보안 릴리스를 푸시하고, 이 과정에서 많은 비용과 시간을 절약할 수 있다. 체크막스(Checkmarx)는 데브옵스가 보안에 큰 이익이 될 수 있는 이유를 다음과 같이 설명한다.

1. 데브옵스는 협업과 사일로 허물기 문화를 촉진한다
데브옵스의 주요 목표 가운데 하나는 관련된 모든 팀이 더 효율적으로 작업하는 방법을 찾도록 협업을 중시하는 문화를 조성하는 것이다. 개발자에게 안전한 코드를 작성하기란 까다로운 일이다. 많은 보안 도구가 사용되지 않고 버려지는 이유는 개발 팀이 그 도구의 사용 방법에 대한 적절한 교육을 받지 못하거나, 빠르게 변화하는 소프트웨어 개발 라이프사이클 방법론에 도구가 보조를 맞추지 못하는 데 있다.

데브옵스를 도입하면 사일로가 허물어져 보안을 더 긴밀하게 통합하고 더 많은 부분을 자동화할 수 있으며 따라서 다른 개발 팀에서 보안을 더 쉽게 이해하고 개선할 수 있게 된다.

2. 데브옵스는 보안과 다른 비즈니스 영역이 조화를 이루도록 해준다
개발자와 다른 팀원들 간의 관계 개선 외에 데브옵스가 보안 팀에게 주는 또 다른 혜택은 다른 비즈니스 영역과의 조화다.

최근 퍼펫 랩스(Puppet Labs)의 설문에 따르면, 성과가 우수한 조직의 경우 계획되지 않은 작업과 재작업에 소비하는 시간이 22% 더 적은 것으로 나타났다. 통합 보안 테스트는 시스템 개발 라이프사이클(systems development life cycle, SDLC)에서 훨씬 더 일찍 문제를 포착할 수 있게 해준다. 보안 예산이 낮아지고, 그 예산은 조기 보안 프로세스에 집중된다.

가장 중요한 점은 보안 침해 위험이 낮아지고 침해 발견 시간이 단축된다는 것이다. 잠재적 침해에 대처하고 리스크 기반의 의사 결정을 내리기 위한 정책과 절차를 더 쉽게 구축할 수 있다. 이러한 모든 장점이 결합되어 잠재적 비즈니스 다운타임이 줄어든다.

3. 데브옵스는 안전한 혁신과 민첩한 개발을 촉진한다
애자일 소프트웨어 개발(Agile Software Development, ASD)을 도입하는 조직이 증가하고 있다. ASD는 이미 전세계 대다수 조직에서 사용되는 방법론이다. 그러나 소프트웨어 개발에서 일관성과 속도를 논할 때 보안을 고려하지 않을 수 없다.

애자일 소프트웨어 개발에서 최적의 결과를 얻기 위해서는 적절한 보안 구현이 필수적이다. 보안 팀이 개발 문화에 더 밀접하게 통합되면 시작 단계부터 새로운 개발을 더 쉽게 보호할 수 있다.

데브옵스를 통해 팀은 개발자의 스프린트에 매끄럽게 보안 리뷰를 통합하고, 안전한 새로운 기능 또는 혁신을 신속하게 추가할 수 있다. 보안을 고려한 혁신은 비즈니스를 지원할 뿐만 아니라 팀이 소프트웨어 개발의 유용한 초석으로 자리잡는 데도 도움이 된다.

4. 데브옵스는 자동화를 중시한다
데브옵스를 이끄는 원동력은 프로세스를 자동화할 수 있는 능률적인 소프트웨어 개발 접근 방법을 만들고자 하는 욕구다.

보안 팀은 같은 회사의 운영 관리자 및 개발 팀 리더와 협력함으로써 보안 기능과 정책을 확인하고, 안전하지 않은 구성 요소 및 규정 준수 관련 문제를 파악하고, 안전한 작업용 가상 머신을 구축하는 것을 포함한 자동화된 프로세스를 개발할 수 있다.

이를 통해 보안은 이전과는 다른, 완전히 새로운 차원으로 개입하게 된다. 자동화된 개발 프로세스에 정적 코드 분석 솔루션을 도입하면 특정 보안, 규정 및 컴플라이언스 기준을 충족하는 코드만 사용되도록 보장할 수 있다.

5. 데브옵스를 통해 보안은 모든 이의 책임이 된다
데브옵스로 전환하게 되면 얻는 효과 가운데 가장 까다롭지만 가장 값진 것은 SDLC의 모든 사람이 보안에 관여한다는 점이다.

보안 업무를 다른 팀에 넘겨준다는 것은 보안 팀 입장에서 두려운 일일 수 있지만 이를 통해 보안 팀은 부담을 덜고 다른 긴급한 보안 사안을 살필 수 있는 여유를 얻게 된다.

예를 들어 개발 시작 단계에 보안 테스트를 통합하면 보안 팀은 후반부의 SDLC 테스트로 인해 릴리스가 지연되는 일이 없도록 하는 데 더 이상 신경을 쓰지 않아도 된다.

개발(Dev)과 운영(Ops) 팀이 보안 코드에 대해 더 큰 책임을 맡게 되면 보안에 관심을 가진 개발 팀원들은 보안 전문 지식을 넓힐 기회를 갖게 된다. 적절한 교육 프로그램, 깃발 뺏기 훈련 등을 통해 팀의 전체적인 보안 지식을 개선할 수 있다.

6. 데브옵스는 모니터링과 측정을 강화한다
짧은 개발 스프린트는 지속적인 개선을 가능하게 해준다. 데브옵스에 보안을 통합하기 전에는 모니터링이 보안과 별개로 수행되는 경우가 많았다. 보안이 개발 프로세스에 통합되면 기존 소프트웨어 모니터링 및 측정에도 보안을 통합할 수 있다. 그 결과 새로운 보안 지표는 개발, 운영, 측정과 더 긴밀히 조화를 이루게 된다.

예를 들어 데브옵스 팀은 개발 프로세스의 초기에 버그의 75%를 잡는 것을 목표로 할 수 있다. 섹데브옵스를 통해 팀은 프로세스의 초반에 보안 취약점을 모니터링하고 측정해 배포를 지연시킬 수 있는 모든 버그를 포착, 정량화할 수 있다.

7. 데브옵스는 병목 지점을 없애준다
데브옵스가 없는 경우 사용자는 문제에 도움을 줄 적절한 담당자를 찾기 위해 이리저리 부딪쳐야 한다. 데브옵스 팀은 그룹 간 커뮤니케이션 채널을 열어주므로 사용자는 여러 담당자로 연결되는 명확한 경로를 알고, 문제가 발생하면 바로바로 해결할 수 있게 된다.

열린 커뮤니케이션과 함께 교육 역시 데브옵스 프로그램의 핵심 구성 요소다. 앞서 언급한 퍼펫 랩스 설문에서는 성과가 우수한 데브옵스 조직은 성과가 낮은 조직에 비해 보안 문제를 수정하는 데 50% 더 적은 시간을 소비하며, 정보 보안 팀이 개발자와 IT 운영진이 사용할 사전 승인된 사용하기 쉬운 라이브러리와 패키지, 툴체인, 프로세스를 만들도록 한다. editor@itworld.co.kr


X