개발자 / 오피스ㆍ협업

“데브옵스 파이프라인를 보호하라” 데브섹옵스의 개념과 툴, 자격증

Bob Violino | InfoWorld 2022.12.27
오늘날에는 기업을 운영하는 것은 소프트웨어다. 소프트웨어는 디지털 조직의 모든 측면에서 운영, 트랜잭션, 통신을 담당한다. 따라서 애플리케이션과 운영체제의 보안을 보장하는 것은 개발, 보안 팀의 주요 우선순위다. 그리고 바로 여기서 데브섹옵스(DevSecOps)가 핵심적인 역할을 한다. 
 
ⓒ Getty Images Bank
 

개발, 보안 그리고 운영

데브섹옵스는 개발, 보안 및 운영의 줄임말이다. 소프트웨어 개발을 위한 데브옵스 모델의 확장으로, 소프트웨어 개발 수명 주기(SDLC) 전반에 걸쳐 보안 조치를 적용하는 것을 의미한다. 데브섹옵스는 개발 과정에 참여하는 모든 사람이 보안의 필요성을 인식할 것을 요구한다. 동시에 이를 위한 방법론으로써, 데브섹옵스는 소프트웨어의 보안을 강화하기 위해 보안, 개발 및 운영 팀 간의 협업을 강화하는 일련의 작업 방식을 아우른다.

데브섹옵스의 대표적인 사례로는 보안 설계 검토, 보안 취약성에 대한 코드 스캐닝, 합법적인 위협을 나타내는 버그 수정 등이 있다. 데브섹옵스는 SDLC 초기에 보안을 도입해 기업이 보안을 사후 처리하는 것이 아니라 미리 진지하게 고려하도록 보장한다. 데브섹옵스를 도입하기 위해서는 이에 필요한 과정과 문화, 기술을 변경하는 것이 포함된다.
 

데브섹옵스가 중요한 이유 

소프트웨어 취약성은 사이버 범죄자가 공격을 개시하는 진입점이 될 가능성이 크고, 이런 공격은 전체 공급망에 악영향을 준다. 2021년 말에 아파치 로그 4j(Apache Log4j)에서 발견된 취약성이 단적인 예다. 자바 로깅 시스템에서 자바 패키지인 로그 4j를 사용하면 자바 애플리케이션이 데이터를 더 쉽게 로그 할 수 있다. 이를 널리 사용하는 것도 이 때문이다.

그런데 2021년 말 엔지니어들은 로그 4j에서 해커가 시스템과 데이터를 제어할 수 있는 원격 코드 실행 결함을 발견했다. 그 버그는 기기 수백만 대를 위험에 빠뜨릴 수 있고, 실제로 특정 버전의 로그 4j를 실행하는 모든 인터넷 연결 기기는 이 버그의 영향을 받는다. 로그 4j가 얼마나 널리 사용되는지를 고려하면 매우 심각한 위협이다.

로그 4j는 하나의 예에 불과하다. 기업의 애플리케이션 의존도가 높다는 점을 감안할 때 소프트웨어 보안을 보장하는 것은 매우 중요하다. 데브섹옵스는 바로 이 보안을 위한 모델이다. 인터내셔널 데이터 코퍼레이션(IDC)의 데브옵스 및 데브섹옵스 연구 책임자인 짐 머서는 "로그4j와 같은 취약점으로 인해 많은 기업이 애플리케이션 보안 및 소프트웨어 공급망 보안을 강화해야 할 필요성을 느끼고 있다. 데브섹옵스 툴 시장은 2026년까지 두 자릿수의 성장세가 지속될 것으로 보인다"라고 말했다.
 

데브섹옵스의 장점 

데브섹옵스 모델을 도입하면 기업은 다양한 이점을 얻을 수 있다. 가장 확실한 것은 더 강력한 소프트웨어 보안이다. 개발 팀은 개발 초기 단계부터 보안을 통제해 생산 단계까지 보안에 계속 집중해 더 안전한 제품을 만들 수 있다.

개발 팀과 보안 팀 간의 협업이 증가하는 것은 또 다른 이점이다. 이 두 팀은 서로 다른 목표 때문에 때때로 갈등을 빚고 이런 마찰은 생산성에 악영향을 준다. 데브섹옵스를 통해 보안이라는 공통의 목표를 향해 협업하는 것은 이런 마찰을 완화하는 좋은 방법이다. 개발자는 사이버 보안과 관련된 새로운 지식을 얻을 수 있는 기회이기도 하다.

또 다른 이점은 소프트웨어 제공 속도가 더 빨라진다는 것이다. 데브섹옵스는 개발 주기 중 개발 과정의 각 단계에서 코드를 평가하고 수정하고 테스트할 것을 권장한다. 이런 테스트를 통해 팀은 복잡하고 시간이 많이 소요되는 보안 취약점 수정 작업을 나중에 하는 작업을 완전히 피할 수 있다. 
 

데브섹옵스는 데브옵스를 대체할까

데브섹옵스는 데브옵스의 진화일 뿐 데브옵스 자체를 대체하는 것이 아니다. 데브섹옵스는 보안에 중점을 두고 데브옵스의 핵심 개념을 발전시킨다. 

데브옵스는 조직의 소프트웨어 개발과 IT 운영 기능 간의 협업, 커뮤니케이션 및 긴밀한 통합을 강조하는 소프트웨어 개발 방식이다. 데브옵스의 목표는 소프트웨어를 더 빠르고 효율적으로 생산하는 것이다. 반면 데브섹옵스는 이름에서 알 수 있듯이 데브옵스에 포함된 개발 및 운영 절차에 보안 계층을 추가한다. 둘 사이에는 중첩되는 부분이 상당히 많다. 예를 들어, 둘 다 자동화와 팀 협업을 강조한다. 그러나 데브섹옵스의 경우 개발 및 보안 전문가 간의 협업인 반면, 데브옵스에서는 개발 및 운영 간의 협업이다. 
 

데브섹옵스 툴 

기업은 데브섹옵스 프로그램을 지원하기 위해 다양한 기술 툴을 사용할 수 있다. 이들 툴은 생산 속도를 늦추지 않고 소프트웨어 개발 파이프라인의 위험을 최소화하는 데 도움이 된다. 이런 툴을 이용하면 지속적인 보안 테스트를 통해 취약점을 발견하고 해결할 수 있다. 또한 보안 팀은 데브섹옵스 툴을 사용해 각 릴리스를 수동으로 검토하고 승인할 필요 없이 개발 프로젝트의 보안을 효율적으로 관리할 수 있다. 

대표적인 데브섹옵스 툴을 꼽으면 바로 취약성 스캐너다. 이 툴은 다양한 개발 단계에서 소프트웨어를 자동으로 검색해 알려진 취약성을 찾는다. 오픈소스 취약성 검색 또는 소프트웨어 구성 분석(SCA) 툴을 이용하면 소프트웨어의 오픈소스 구성 요소를 식별하고 취약성 데이터베이스, 소프트웨어 공급업체 권고 사항 및 기타 보안 소스와 비교해 결함을 탐지한다.  

또 다른 대표적인 데브옵스 툴은 개발자가 소스 코드를 스캔해 취약하거나 안전하지 않은 코딩을 찾을 수 있는 정적 애플리케이션 보안 테스트(SAST)다. 이런 종류의 테스트를 통해 해결해야 할 보안 문제를 식별할 수 있다. SAST를 데브섹옵스 SDLC에 통합하면 파이프라인의 다양한 단계를 따라 취약한 구성 요소를 찾아내는 데 도움이 된다.
 

데브섹옵스 엔지니어가 되는 방법 

데브섹옵스 분야의 핵심 직책이 데브섹옵스 엔지니어다. 기술 경력 사이트 다이스닷컴(Dice.com)은 보안 코드의 필요성이 이런 전문가에 대한 수요로 이어지고 있다고 분석했다. 다이스에 따르면 데브섹옵스 엔지니어에게 가장 중요한 기술 중 하나는 보안 결함이 있는지 애플리케이션을 테스트하는 능력이다. 또한 데브섹옵스 엔지니어는 데브섹옵스 툴에 대한 지식이 있어야 한다. 

필요한 다른 기술로는 데브옵스 원리에 대한 지식과 자바, 루비, 펄, 파이썬, PHP와 같은 인기 있는 프로그래밍 언어에 대한 지식이다. 최신 사이버 보안 위협에 대응해 이런 지식을 최신 상태로 유지하는 것도 중요하다. 또한 이들 전문가는 코드가 작동하거나 작동하지 않는 이유와 개발 과정 중에 나타날 수 있는 취약성을 파악할 수 있는 애널리틱스 역량도 보유해야 한다. 
 

데브섹옵스 자격증 취득하기 

소프트웨어 보안 분야에서 일하는 개발자는 데브섹옵스 자격증을 취득해 경력을 더 수월하게 관리할 수 있다. 예를 들어, 데브섹옵스 재단은 데브섹옵스가 필요한 이유와 데브섹옵스 문화 및 관리, 일반적인 보안 고려사항, ID 및 액세스 관리, 애플리케이션 보안, 그리고 운영 보안을 다루는 데브옵스 연구소를 통해 자격증 프로그램을 제공한다.

이 프로그램은 프로젝트 관리자, 사이트 신뢰성 엔지니어, 데브옵스 엔지니어, 소프트웨어 엔지니어, 유지보수 및 지원 직원, 릴리스 관리자, 스크럼 마스터 등과 같은 직종에 취업하려는 이들에게 적합하다.
editor@itworld.co.kr
 Tags 데브섹옵스 DevSecOps

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.