2014.06.30

컴플라이언스로부터 데브옵스 방어하기

George V. Hulme | CSO
데브옵스(DevOps)는 협업과 기업 IT 민첩성 증가를 약속한다. 하지만 규제 준수에 있어서 데브옵스는 어떤 의미를 가질까? 이 해답에 대해 새로운 노력이 진행 중이다.

데브옵스는 운영팀과 개발팀 사이의 협업에 대한 모든 것이다. 그리고 협업 증가는 기업이 더 신속해지고 쓰레기를 없애고 자동화하면서도 더 안정적인 인프라를 구축하는데 도움을 줘야 한다. 한 마디로 신속한 반복, 지속적인 개선, 경쟁력 강화가 핵심이다.

그리고 개발과 운영이 더욱 밀접하게 협업하기 시작함에 따라 코드 변경 승인과 특정 운영의 의무 분리 등의 전형적인 보안 제어와 QA 체크 등 일부는 무너질 위기에 처하게 되었다. 이는 감사인이 질문을 하기 시작할 때 데브옵스의 노력이 보안팀과 벽에 부딪힐 수 있는 이유다.

데브옵스의 수많은 측면 가운데에서도 감사(Audit)에 대해 알아보자.
이달 초, 데브옵스 감사 방어 툴킷(DevOps Audit Defense Toolkit)의 최초의 평가서가 공개됐다. 이 툴킷은 데브옵스 조직과 감사관들이 회계 감사를 어떻게 고려해야 하는 지에 대한 권위있는 지침을 제공하기 위한 것이다.

이 툴킷의 저자에 의하면, 데브옵스 감사 방어 툴킷은 조직이 그들의 사업 목표에 기반해 위험을 어떻게 더 잘 이해하고 규제 제어의 효과를 어떻게 정확히 살피고 입증할 수 있는지를 규정함으로써 그 목표를 달성한다.

데브옵스 감사 방어 툴킷을 이해하기 위해 CSO는 툴킷의 저자인 EY의 선임 매니저이자 고문인 제임스 데루시아, 엑셀라 컨설팅(Excella Consulting)의 파트너인 제프 갈리모어, 트립와이어의 창립자이자 전직 CTO인 진 킴, 루미넥스(Luminex Corporation)의 시스템 엔지니어인 바이런 밀러와 많은 얘기를 나눴다.

진 킴은 "조직들이 실제로 이 데브옵스 여정에 착수할 때 아마 그들의 컴플라이언스 담당자가 수많은 업무들을 제지하는 상황에 처하게 될 것"이라고 말했다.

기업이 데브옵스로 이동해감에 따라 이런 일이 발생하는 것은 놀라운 일이 아니다. 규제 산업에서 있어서 감사 요건은 피할 수 없으며, 대부분의 조직들은 IT 보안을 감독하는 연방의료보험통상책임법(Health Insurance Portability and Accountability Act), 결제카드산업정보보안표준(Payment Card Industry Data Security Standard), SSAE(Statement on Standards for Attestation Engagements) 16번, 샤베인-옥슬리 법(Sarbanes-Oxley Act), FedRAMP 등의 규제 체제 영향을 받게 된다.

감사관들은 회사가 제대로 규제를 지키는지를 입증하는데 큰 책임이 있기 때문에 규제 제어에 중대한 변경이 필요한 것에 대해 우려하는 것은 당연한 일이다.

바이런 밀러는 데브옵스를 이행하기 시작하는 기업들이 종종 '전통적인' 통제를 그들의 새로운 이행에 적용시키려 할 때 문제를 겪곤 한다고 설명했다.

밀러는 "이는 조직이 '그들이 무엇을 왜 하고 있는지'와 감사관들의 이해 사이의 격차를 좁히지 못할 경우 발생하게 되는 마찰은 아주 좌절스럽고 고통스러우며, 잠재적으로 값비싼 비용이 들어가는 경험"이라고 말했다.

만약 기업이 감사관들이 무엇을, 왜 찾고 있는지 이해하지 못하고 기업의 새로운 데브옵스 이행과 가치를 이해하지 못할 경우, 감사관과 기업은 그냥 서로 다른 주장만 하면서 서로의 관점은 이해하지 못하게 되는 꼴이 된다.

분명 이런 상황에서 좋은 결과가 나오긴 힘들다. 밀러는 "이런 상황은 기업과 감사관들 사이의 오해로 이어질 뿐 아니라 효과가 떨어지거나 비생산적인 감사 의견과 기업 조치로 이어지게 된다"고 덧붙였다.

감사에 있어 데브옵스는 잠재적으로 어떤 의미를 지닐까?
제임스 데루시아는 "데브옵스는 전형적인 감사를 바꾸지는 않지만 기초 단계(거버넌스) 제어에서부터 제어 절차(변경 제어 모니터링)에 이르기까지, 기업의 거버넌스 전략을 완전히 바꾼다"며, "데브옵스 접근방식이 성공하고 오랫동안 이어지려면 이 아이디어가 비즈니스 의사결정, 내부 감사, 정보 보안과 결합해서 확대돼야만 한다"고 말했다.

감사가 시작된다는 것은 전통적인 제어 절차가 자동화 증가를 고려한 제어로 업데이트나 교체되어야 함을 의미한다. 데루시아는 "성공적이면서 쾌적하게 감사되는 대상인 데브옵스 영역은 제어 목적, 절차, 프로세스가 데브옵스 통합, 자동화 툴링을 반영하는 부분"이라고 설명했다.

데브옵스 감사 방어 툴킷은 데브옵스 협업자들과 감사관들 사이의 소통을 향상시키고 감사관들의 IT 이해도를 높임으로써 그 목표의 달성을 돕고, 그 이의/응답 형식은 IT가 그들의 제어 변경에 맞춰 감사관들을 더 잘 이해하고 대비할 수 있도록 돕는다.

밀러는 "방어 킷은 기업이 위험의 언어, 제어 목적, 제어, 일반적 감사 사고방식들을 포함한 '오딧 스피크(audit speak)'를 이해하는데 도움을 준다. 이런 식으로 기업은 감사관이 무엇을 찾고 있는지를 이해하고 그들이 이해할 수 있는 방식으로 그들에게 연관 정보를 제공함으로써 감사관들과 소통할 수 있다"고 말했다.

또한 밀러는 "데브옵스 감사 방어 툴킷은 감사관들이 IT의 관점과 데브옵스 이행을 더욱 세부적으로 이해할 수 있게 해준다"고 설명했다.

이는 "기업의 위험에서부터 기업이 그 위험을 어떻게 최소화할지, 그 위험을 최소화하는데 있어서 기업의 제어가 효과적임을 증명하는데 사용되는 증거에 이르기까지의 가시선(line of sight)을 보는 것을 의미한다"고 덧붙였다.

방어 킷의 이의/응답 형식은 IT팀이 그런 가시거리내 통신을 배우는데 도움을 준다. 밀러는 "이 형식은 전형적인 감사 이의와 우려를 나열하고, 이런 이의가 어떤 의미인지, 어디에서 생겨난 것인지를 설명하고, 기업이 이를 충족시키기 위해 제시할 수 있는 데브옵스-지향적인 세부 응답을 내놓는다"고 설명했다.

데브옵스 감사 방어 툴킷은 여전히 초안 단계에 있지만 7월에 완료될 예정이다. editor@itworld.co.kr


2014.06.30

컴플라이언스로부터 데브옵스 방어하기

George V. Hulme | CSO
데브옵스(DevOps)는 협업과 기업 IT 민첩성 증가를 약속한다. 하지만 규제 준수에 있어서 데브옵스는 어떤 의미를 가질까? 이 해답에 대해 새로운 노력이 진행 중이다.

데브옵스는 운영팀과 개발팀 사이의 협업에 대한 모든 것이다. 그리고 협업 증가는 기업이 더 신속해지고 쓰레기를 없애고 자동화하면서도 더 안정적인 인프라를 구축하는데 도움을 줘야 한다. 한 마디로 신속한 반복, 지속적인 개선, 경쟁력 강화가 핵심이다.

그리고 개발과 운영이 더욱 밀접하게 협업하기 시작함에 따라 코드 변경 승인과 특정 운영의 의무 분리 등의 전형적인 보안 제어와 QA 체크 등 일부는 무너질 위기에 처하게 되었다. 이는 감사인이 질문을 하기 시작할 때 데브옵스의 노력이 보안팀과 벽에 부딪힐 수 있는 이유다.

데브옵스의 수많은 측면 가운데에서도 감사(Audit)에 대해 알아보자.
이달 초, 데브옵스 감사 방어 툴킷(DevOps Audit Defense Toolkit)의 최초의 평가서가 공개됐다. 이 툴킷은 데브옵스 조직과 감사관들이 회계 감사를 어떻게 고려해야 하는 지에 대한 권위있는 지침을 제공하기 위한 것이다.

이 툴킷의 저자에 의하면, 데브옵스 감사 방어 툴킷은 조직이 그들의 사업 목표에 기반해 위험을 어떻게 더 잘 이해하고 규제 제어의 효과를 어떻게 정확히 살피고 입증할 수 있는지를 규정함으로써 그 목표를 달성한다.

데브옵스 감사 방어 툴킷을 이해하기 위해 CSO는 툴킷의 저자인 EY의 선임 매니저이자 고문인 제임스 데루시아, 엑셀라 컨설팅(Excella Consulting)의 파트너인 제프 갈리모어, 트립와이어의 창립자이자 전직 CTO인 진 킴, 루미넥스(Luminex Corporation)의 시스템 엔지니어인 바이런 밀러와 많은 얘기를 나눴다.

진 킴은 "조직들이 실제로 이 데브옵스 여정에 착수할 때 아마 그들의 컴플라이언스 담당자가 수많은 업무들을 제지하는 상황에 처하게 될 것"이라고 말했다.

기업이 데브옵스로 이동해감에 따라 이런 일이 발생하는 것은 놀라운 일이 아니다. 규제 산업에서 있어서 감사 요건은 피할 수 없으며, 대부분의 조직들은 IT 보안을 감독하는 연방의료보험통상책임법(Health Insurance Portability and Accountability Act), 결제카드산업정보보안표준(Payment Card Industry Data Security Standard), SSAE(Statement on Standards for Attestation Engagements) 16번, 샤베인-옥슬리 법(Sarbanes-Oxley Act), FedRAMP 등의 규제 체제 영향을 받게 된다.

감사관들은 회사가 제대로 규제를 지키는지를 입증하는데 큰 책임이 있기 때문에 규제 제어에 중대한 변경이 필요한 것에 대해 우려하는 것은 당연한 일이다.

바이런 밀러는 데브옵스를 이행하기 시작하는 기업들이 종종 '전통적인' 통제를 그들의 새로운 이행에 적용시키려 할 때 문제를 겪곤 한다고 설명했다.

밀러는 "이는 조직이 '그들이 무엇을 왜 하고 있는지'와 감사관들의 이해 사이의 격차를 좁히지 못할 경우 발생하게 되는 마찰은 아주 좌절스럽고 고통스러우며, 잠재적으로 값비싼 비용이 들어가는 경험"이라고 말했다.

만약 기업이 감사관들이 무엇을, 왜 찾고 있는지 이해하지 못하고 기업의 새로운 데브옵스 이행과 가치를 이해하지 못할 경우, 감사관과 기업은 그냥 서로 다른 주장만 하면서 서로의 관점은 이해하지 못하게 되는 꼴이 된다.

분명 이런 상황에서 좋은 결과가 나오긴 힘들다. 밀러는 "이런 상황은 기업과 감사관들 사이의 오해로 이어질 뿐 아니라 효과가 떨어지거나 비생산적인 감사 의견과 기업 조치로 이어지게 된다"고 덧붙였다.

감사에 있어 데브옵스는 잠재적으로 어떤 의미를 지닐까?
제임스 데루시아는 "데브옵스는 전형적인 감사를 바꾸지는 않지만 기초 단계(거버넌스) 제어에서부터 제어 절차(변경 제어 모니터링)에 이르기까지, 기업의 거버넌스 전략을 완전히 바꾼다"며, "데브옵스 접근방식이 성공하고 오랫동안 이어지려면 이 아이디어가 비즈니스 의사결정, 내부 감사, 정보 보안과 결합해서 확대돼야만 한다"고 말했다.

감사가 시작된다는 것은 전통적인 제어 절차가 자동화 증가를 고려한 제어로 업데이트나 교체되어야 함을 의미한다. 데루시아는 "성공적이면서 쾌적하게 감사되는 대상인 데브옵스 영역은 제어 목적, 절차, 프로세스가 데브옵스 통합, 자동화 툴링을 반영하는 부분"이라고 설명했다.

데브옵스 감사 방어 툴킷은 데브옵스 협업자들과 감사관들 사이의 소통을 향상시키고 감사관들의 IT 이해도를 높임으로써 그 목표의 달성을 돕고, 그 이의/응답 형식은 IT가 그들의 제어 변경에 맞춰 감사관들을 더 잘 이해하고 대비할 수 있도록 돕는다.

밀러는 "방어 킷은 기업이 위험의 언어, 제어 목적, 제어, 일반적 감사 사고방식들을 포함한 '오딧 스피크(audit speak)'를 이해하는데 도움을 준다. 이런 식으로 기업은 감사관이 무엇을 찾고 있는지를 이해하고 그들이 이해할 수 있는 방식으로 그들에게 연관 정보를 제공함으로써 감사관들과 소통할 수 있다"고 말했다.

또한 밀러는 "데브옵스 감사 방어 툴킷은 감사관들이 IT의 관점과 데브옵스 이행을 더욱 세부적으로 이해할 수 있게 해준다"고 설명했다.

이는 "기업의 위험에서부터 기업이 그 위험을 어떻게 최소화할지, 그 위험을 최소화하는데 있어서 기업의 제어가 효과적임을 증명하는데 사용되는 증거에 이르기까지의 가시선(line of sight)을 보는 것을 의미한다"고 덧붙였다.

방어 킷의 이의/응답 형식은 IT팀이 그런 가시거리내 통신을 배우는데 도움을 준다. 밀러는 "이 형식은 전형적인 감사 이의와 우려를 나열하고, 이런 이의가 어떤 의미인지, 어디에서 생겨난 것인지를 설명하고, 기업이 이를 충족시키기 위해 제시할 수 있는 데브옵스-지향적인 세부 응답을 내놓는다"고 설명했다.

데브옵스 감사 방어 툴킷은 여전히 초안 단계에 있지만 7월에 완료될 예정이다. editor@itworld.co.kr


X