IT 관리 / 개발자 / 미래기술 / 보안 / 애플리케이션

데브옵스와 시큐어 코딩과의 관계, "데브옵스의 발전은 시큐어 코딩 관행을 정착시킨다"

David Geer | CSO 2016.08.02
"소프트웨어가 세상을 먹어치우고 있다."
앤드리신 호로위츠(Andreseen Horowitz)의 제너럴 파트너 마크 앤드리신 등 데브옵스(DevOps) 분야의 리더들은 이렇게 주장하고 있다. 실제 많은 기업이 소프트웨어 기업이 되어가고 있다. 소프트웨어로 주 상품과 서비스를 관리하며 더 큰 경쟁력을 획득하기 위해서다.


Credit: Pexels

전문가들은 데브옵스가 소프트웨어를 먹어 치우고 있다고 입을 모아 주장한다. 코베로스(Coveros) CTO 톰 스티엠은 "5~10년 이내에 데브옵스가 주류 관행으로 자리잡을 것"이라고 말했다. 스티엠은 "사람들은 데브옵스를 소프트웨어를 올바르게 개발하는 방법으로 인식할 것이다"며, "이런 측면에서 데브옵스가 소프트웨어 개발 분야를 점령해 나가고 있다"고 설명했다.

시큐어 코딩(secure coding)은 악의적인 해커가 악용할 수 있는 취약점 가운데 상당 수를 봉쇄하면서 데브옵스를 안전하게 감쌀 것이다. 데브옵스가 소프트웨어 개발을 앞당기면, 시큐어 코딩이 소프트웨어 완성을 지연시킨다는 주장이 힘을 잃게 될 전망이다.

개발자들이 코드를 수정하듯, 보안 취약점을 수정하는데 데브옵스의 많은 진입점을 이용하면, 시큐어 코딩이 데브옵스를 점령하고, 소프트웨어 개발의 기준으로 정착될 것이다.

마이크로소프트 X박스(X box) 최초 아키텍트이자 현재 CA테크놀로지스 CTO인 오토 버크스는 "데브옵스는 고객을 위해 최상의 결과물을 일궈내는 것으로 개발의 초점을 이동시키고 있다. 이런 시각에는 고객 신뢰를 구축해 유지하는데 보안이 아주 중요하다는 공통된 인식이 반영되어 있다"고 말했다.

가트너는 '2016년 가장 유망한 정보 보안 기술 10종'에 '데브옵스 보안 테스트'를 포함시켰다. CSO는 데브옵스가 왜 시큐어 코딩이라는 관행을 보급시킬 수 있는지 알아봤다.

시큐어 코딩을 위한 최고의 환경인 데브옵스
데브옵스가 소프트웨어를 감싸듯 시큐어 코딩이 데브옵스를 감싼다면, 데브옵스는 시큐어 코딩이 소프트웨어 개발의 기준으로 자리잡도록 만들 수 있다.

버크스는 "보안 개선은 데브옵스의 핵심 효과 가운데 하나다. 또한 데브옵스가 강력한 변화를 주도할 수 있는 이유이기도 하다. 고객들은 소프트웨어 경험이 개선되고, 여기에 보안이 기본 요소로 포함되기 기대한다"고 설명했다.

많은 기업에서 데브옵스 자동화 기법이 소프트웨어 개발 속도를 앞당겨, 일정보다 앞서 소프트웨어가 완성되도록 만들었다. 동영상 엔터테인먼트 방송 산업의 선도주자인 넷플릭스(Netflix)는 데브옵스에 관한 연구 자료에 자주 등장하는 사례다.

넷플릭스의 블로그 게시물에 따르면, 이 회사가 개발한 클라우드 유지관리 서비스인 재니터 몽키스(Janiotor Monkeys)는 16분만에 코드를 점검한 후, 여러 지역에 완전하게 배포할 수 있다. 야후 전 CIO이자 사이브릭(Cybric)을 공동 창업자 마이크 카일은 "넷플릭스는 데브옵스의 속도와 민첩성을 대변한다. 이는 많은 산업에서 응용할 수 있는 개발 방식을 개척했다"고 설명했다.

2016년 데브옵스 현황 보고서(State of DevOps Report)에 따르면, 데브옵스 개발 방식과 방법론을 이용해 높은 성과를 내는 IT 조직은 낮은 성과의 조직보다 소프트웨어 배포 횟수가 200회 많다. 데브옵스는 소프트웨어 개발 횟수를 증가시키기 때문에 배포를 늦추지 않고도 시큐어 코딩 관행을 도입할 수 있다.

카일은 "애자일 개발 프로세스의 일부로 CI(Continuous Integration)/ CD(Continuous Delivery)를 도입하면서 과거 수동이었던 부분을 자동화한다. 이는 놀랄 만큼 속도를 높인다. 따라서 여러 엔지니어가 여러 수동 작업을 조정할 때보다 보안 도구를 통합하는 것이 훨씬 쉬워진다"고 설명했다.

현재 사이버 보안 엔지니어가 아주 많이 부족한 실정이다. 업계는 인재 부족 현상이 계속되고, 심지어는 악화될 것으로 내다보고 있다. 따라서 데브옵스 기반 자동화는 시큐어 코딩 관행을 확대시키는데 아주 중요한 역할을 한다.

시큐어 코딩에 대한 반대를 무력화시키는 데브옵스
필요성에 대한 반대 의견, 적용 방법, 추가되는 비용, 배포의 지연, 출시일 연기 등이 시큐어 코딩이 관행으로 정착되지 못하도록 가로막는 이유들이다.

<VM웨어 관리자를 위한 데브옵스(DevOps for VMware Administrators)>를 공동 저술한 조쉬 애트웰에 따르면, 기업이 데브옵스를 도입하면, 소프트웨어 딜리버리 과정을 더 전체적으로 확인할 수 있다. 또한 배포 이후가 아닌 배포 동안 위험이 위치한 장소와 이를 경감할 방법을 찾을 수 있다.

데브옵스의 인기가 높아지고, 경쟁력과 비용 절감 측면에서의 장점이 경쟁 기법을 압도하면, 보안 산업은 시큐어 코딩에 대한 베스트프랙티스를 데브옵스 파이프라인에 즉각 반영할 준비를 하면서 기회를 잡을 수 있다.

애트웰은 "데브옵스와 기능적인 틀은 보안 전문가들이 코딩과 테스트에 적용할 수 있는 특정 보안 기능을 제공할 수 있도록 만든다"고 설명했다. 데브옵스는 효율성과 자동화를 통해 개발 속도를 높이고, 비용을 절약시켜준다. 또 기간 내 출시 횟수를 배가시키고, 경쟁력을 통해 새로운 수익원을 창출시킨다.

첫 번째 기준으로 만들 대상
코베로스의 톰 스티엠은 시큐어 코딩을 데브옵스의 중심으로 만들 수 있는 방법을 제안했다.

- 몇개의 오픈소스 도구를 추가하거나 더 종합적인 방법으로 가능한 많은 소프트웨어 빌드 분석과 스캐닝, 보안 설정을 추가한다.
- 팀이 가능한 쉽게 데이터를 수집하고, 자동으로 테스트할 수 있도록 만들며, 테스트 결과를 이용할 수 있도록 만든다.
- 관련 규칙과 기능을 개선하는 스캐닝과 분석을 지원하는 오픈소스 도구를 활용한다.
- 빌드 파이프라인에서 이들 보안 도구를 후원하고, 소프트웨어 전달 팀이 보안 개선의 가치를 이해하도록 지원한다.


버크스는 "애플리케이션 딜리버리 수명주기 동안 계속 시큐어 코딩 프로세스를 이용하고, 개발 초기에 자동화된 테스트를 이용하고, 보안 문제점을 찾아 수정하는 기회를 확대하는 것이 모든 사람에게 도움이 된다"고 강조했다.

시큐어 코딩의 기회와 위험 요소
산업이 데브옵스를 기반으로 시큐어 코딩을 정착시킬지 아직 불확실하다. 애트웰은 "시큐어 코딩과 보안 프랙티스로 소프트웨어 개발 수명주기를 개선한다면 데브옵스 생태계에 좀더 쉽게 다가갈 수 있을 것이다"고 말했다. 그러나 파괴적인 기술 변화들이 그렇듯, 일부 기업은 초기에 값비싼 교훈을 터득하고 있다.
또한 각 산업의 요구사항, 조직 별로 고유한 시장 기회 때문에 데브옵스 도입 경로를 찾아야 하는 기업들이 많을 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.