2021.11.03

소프트웨어 신뢰성 확보는 보안 강화의 지름길

Chris Hughes | CSO
지난 몇 년 간 소프트웨어 보안과 신뢰성은 비교 및 대조 대상이었다. 소프트웨어 보안과 신뢰성의 핵심 목표는 모두 기업 및 최종 사용자를 보호하는 것이다. 하지만 데브섹옵스(DevSecOps) 및 SRE(Site Reliability Engineering) 도입이 지속되고 성숙하면서 소프트웨어 보안과 신뢰성의 공통분모는 점차 커지고 있다. 그리고 기업은 데브섹옵스와 SRE를 적절히 수행했을 때 가치를 극대화할 수 있다.
 
ⓒ Getty Images Bank

사이버보안 부문에 종사했던 사람은 CIA(Confidentiality, Integrity, Availability)에 익숙하다. 특히 가용성(Availability) 관련 지표는 데브옵스와 이후 등장한 데브섹옵스로의 변화에서 중요한 요소다. DORA(Devops Research and Assessments)와 MTTR(Meantime to Recover), CFR(Change Failure Rate)이 대표적인 지표다. 제안된 변경사항이 실패해 가용성이 낮아지고 결과적으로 회복에 오랜 시간이 투입되면, 보안과 신뢰성 모두 위태로워진다. 

기업은 데브옵스를 안전하게 도입해야 한다. 데브옵스 실태 보고서에 따르면, 데브옵스 도입 담당자는 가용성을 확보하기 위해 도입 속도를 늦추지는 않는다. 점차 많은 기업이 SRE 원칙을 도입하고 있으며, 고장 나거나 작동을 멈춘 시스템에서 배울 점을 찾아 취약한 시스템의 보안과 신뢰성을 높이고자 한다. 


짧은 리드 타임이 보안을 강화한다

MTTR과 CFR의 관계는 명확하지만, 보안 관점에서 영향력이 높은 또 다른 DORA 지표가 존재한다. 바로 변화 지표를 위한 리드 타임으로, 작성한 코드를 프로덕션 단계에서 성공적으로 구현하는 데 걸리는 시간과 관련된 지표다. 일반적으로 기업 또는 최종 사용자에게 가치를 신속하게 전달하는 맥락에서 논의된다. 

시스템 보안 업데이트를 신속하게 배치하는 것도 일종의 가치 제공이다. 프로덕션 시스템에서 안전하지 못한 구성요소나 취약점을 발견했을 때, 시스템 가용성을 해치지 않고 문제를 얼마나 신속하게 해결할 수 있을까? 보안 업데이트를 위해 시스템 가용성을 해치는 것은 악의적인 공격자가 취약점을 악용할 가능성을 높이는 셈이다. 가용성이 낮아지면 시스템 안정성과 보안도 저해된다.


보안 지표로서의 소프트웨어 신뢰성

2021년 데브옵스 실태 보고서는 가용성 변화에 대응하는 지표로 신뢰성을 추가했다. 평가 지표를 가용성 외에 지연 속도와 성과, 확장성까지 확장한 것이다. 평가 지표 확장은 논리적인 결정이다. 시스템이 이용 및 접근 가능한 상태이지만 성능 저하 또는 확장 불가 현상이 심각해서 비즈니스 요건을 충족할 수 없는 상황이라면, 해당 시스템의 실질적인 필요성이 없어지기 때문이다. 하지만 일각에서는 가용성에 추가 요소가 포함되어 있다고 주장할 수 있다. 예를 들어, NIST는 가용성을 ‘필요에 따라 접근하고 사용할 수 있는 데이터 혹은 정보’로 정의한다. 

보고서에 따르면, 신뢰성 목표를 초과 달성한 팀은 보안을 SDLC(Systems Development Life Cycle)에 통합할 가능성이 2배 높은 것으로 조사됐다. 기업은 신뢰성을 중요 지표로 인식한다. 최종 사용자에게 중요하며, 시장 점유율과 매출 손실을 피하는 핵심이 신뢰성이기 때문이다. SDLC에 보안을 통합하면 신뢰성 저하 없이 해결이 저렴하고 쉬운 문제를 더욱 신속하게 처리할 수 있다.

신뢰성이 높은 수행팀은 리드 타임, CFR, MTTR 지표가 가장 낮기 때문에 시스템 신뢰성 저하 없이 중요 보안 업데이트를 배포하는 능력이 가장 뛰어나다. 결과적으로 공격 가능성과 시스템 및 소프트웨어의 전반적인 보안 위험도 감소한다. 2021년 데브옵스 실태 보고서에 따르면, 뛰어난 수행팀은 사고로부터 회복하는 시간이 6,570배 빨랐다. 기업의 코드 배치 빈도와 리드 타임, CFR 성과가 저조하다면 가용성 확보에 실패했다고 볼 수 있다. 어떤 것을 연습할수록 더 잘 습득한다는 사실을 생각하면, 이해하기 쉽다.

실제로 변화를 꺼려하면서 안정성에 집착하는 기업은 보안 사고 회복력이 가장 취약하다. 보안 사고는 피할 수 없으므로 이는 매우 중요한 사실이다. 


SRE와 데브섹옵스 통합의 이점

SRE와 데브섹옵스가 중첩되는 부분도 있다. SRE는 기본적으로 시스템을 관리하고 문제를 해결하며 작업을 자동화하는 데 소프트웨어를 사용하는 접근 방식이다. 최종 사용자와의 약속을 지키는 것이며 SLI(Service Level Indicator)/SLO(Service Level Objective)와 같은 지표와 관련된 경우가 많다. 

SRE와 데브섹옵스를 결합한 기업은 공통 OKR(Objective and Key Result)을 달성하고 원하는 비즈니스 결과를 달성할 가능성이 훨씬 높다. 소프트웨어 안정성 또는 신뢰성 개선에 집중하는 기업은 보안 문제 해결에 시간도 적게 투입한다. 에이드리언 코크로프트는 SRE와 데브섹옵스 통합을 주장하는 대표적인 인물이다. 코크로프트는 지속적인 탄력성에 대한 아이디어를 근거로 SRE와 데브섹옵스 통합을 제안했다. 

여러 연구 및 조사에 따르면, 소프트웨어 신뢰성 개선 및 데브섹옵스 구현에 집중하는 기업은 신뢰성과 보안을 개선할 수 있다. 많은 기업이 신뢰성과 고객 만족도 극대화를 추구하면서 SDLC 초반부터 보안에 신경 쓰고 보안 기술 부채 감소, 자동화 도입에 집중하고 있다.

신뢰성이 소프트웨어 보안의 전제 조건이라는 주장이 많다. 신뢰할 수 없는 시스템은 안전하지 않지만, 시스템은 얼마든지 안전하지 않은 상태로 제공될 수 있다. 모든 위협에서 완전히 안전한 시스템은 없다. 보안이란 기본적으로 주요 이해관계자가 정의한 일정 허용 수준 안에서 위험을 관리하는 활동이다. 마찬가지로 가용성 및 신뢰성에 대한 모든 우려에서 완벽하게 자유로운 소프트웨어와 시스템은 없다. 즉, 소프트웨어와 시스템은 과거 논의대로 SLO와 SLI에 정의된 수준까지만 신뢰할 수 있다. 

뛰어난 SRE 및 데브옵스 수행팀의 성과와 IBM의 2021년 데이터 유출 비용 보고서의 인사이트를 CFR, MTTR, 신뢰성 측면에서 고려하면 의미하는 바가 명확하다. 전 세계 데이터 유출에 따른 평균 비용은 총 424만 달러이며, 2021년 9월까지 총 데이터 유출 건수는 2020년 전체 건수보다 많다. 데이터 유출 빈도에 가속도가 붙고 있다. 공격과 위험이 증가하는 상황에서 보안 업데이트를 신속하게 배치하고 사고로부터 회복하며 최종 사용자를 위해 신뢰성을 확보하는 능력이 그 어느 때보다 중요하다고 할 수 있다. editor@itworld.co.kr


2021.11.03

소프트웨어 신뢰성 확보는 보안 강화의 지름길

Chris Hughes | CSO
지난 몇 년 간 소프트웨어 보안과 신뢰성은 비교 및 대조 대상이었다. 소프트웨어 보안과 신뢰성의 핵심 목표는 모두 기업 및 최종 사용자를 보호하는 것이다. 하지만 데브섹옵스(DevSecOps) 및 SRE(Site Reliability Engineering) 도입이 지속되고 성숙하면서 소프트웨어 보안과 신뢰성의 공통분모는 점차 커지고 있다. 그리고 기업은 데브섹옵스와 SRE를 적절히 수행했을 때 가치를 극대화할 수 있다.
 
ⓒ Getty Images Bank

사이버보안 부문에 종사했던 사람은 CIA(Confidentiality, Integrity, Availability)에 익숙하다. 특히 가용성(Availability) 관련 지표는 데브옵스와 이후 등장한 데브섹옵스로의 변화에서 중요한 요소다. DORA(Devops Research and Assessments)와 MTTR(Meantime to Recover), CFR(Change Failure Rate)이 대표적인 지표다. 제안된 변경사항이 실패해 가용성이 낮아지고 결과적으로 회복에 오랜 시간이 투입되면, 보안과 신뢰성 모두 위태로워진다. 

기업은 데브옵스를 안전하게 도입해야 한다. 데브옵스 실태 보고서에 따르면, 데브옵스 도입 담당자는 가용성을 확보하기 위해 도입 속도를 늦추지는 않는다. 점차 많은 기업이 SRE 원칙을 도입하고 있으며, 고장 나거나 작동을 멈춘 시스템에서 배울 점을 찾아 취약한 시스템의 보안과 신뢰성을 높이고자 한다. 


짧은 리드 타임이 보안을 강화한다

MTTR과 CFR의 관계는 명확하지만, 보안 관점에서 영향력이 높은 또 다른 DORA 지표가 존재한다. 바로 변화 지표를 위한 리드 타임으로, 작성한 코드를 프로덕션 단계에서 성공적으로 구현하는 데 걸리는 시간과 관련된 지표다. 일반적으로 기업 또는 최종 사용자에게 가치를 신속하게 전달하는 맥락에서 논의된다. 

시스템 보안 업데이트를 신속하게 배치하는 것도 일종의 가치 제공이다. 프로덕션 시스템에서 안전하지 못한 구성요소나 취약점을 발견했을 때, 시스템 가용성을 해치지 않고 문제를 얼마나 신속하게 해결할 수 있을까? 보안 업데이트를 위해 시스템 가용성을 해치는 것은 악의적인 공격자가 취약점을 악용할 가능성을 높이는 셈이다. 가용성이 낮아지면 시스템 안정성과 보안도 저해된다.


보안 지표로서의 소프트웨어 신뢰성

2021년 데브옵스 실태 보고서는 가용성 변화에 대응하는 지표로 신뢰성을 추가했다. 평가 지표를 가용성 외에 지연 속도와 성과, 확장성까지 확장한 것이다. 평가 지표 확장은 논리적인 결정이다. 시스템이 이용 및 접근 가능한 상태이지만 성능 저하 또는 확장 불가 현상이 심각해서 비즈니스 요건을 충족할 수 없는 상황이라면, 해당 시스템의 실질적인 필요성이 없어지기 때문이다. 하지만 일각에서는 가용성에 추가 요소가 포함되어 있다고 주장할 수 있다. 예를 들어, NIST는 가용성을 ‘필요에 따라 접근하고 사용할 수 있는 데이터 혹은 정보’로 정의한다. 

보고서에 따르면, 신뢰성 목표를 초과 달성한 팀은 보안을 SDLC(Systems Development Life Cycle)에 통합할 가능성이 2배 높은 것으로 조사됐다. 기업은 신뢰성을 중요 지표로 인식한다. 최종 사용자에게 중요하며, 시장 점유율과 매출 손실을 피하는 핵심이 신뢰성이기 때문이다. SDLC에 보안을 통합하면 신뢰성 저하 없이 해결이 저렴하고 쉬운 문제를 더욱 신속하게 처리할 수 있다.

신뢰성이 높은 수행팀은 리드 타임, CFR, MTTR 지표가 가장 낮기 때문에 시스템 신뢰성 저하 없이 중요 보안 업데이트를 배포하는 능력이 가장 뛰어나다. 결과적으로 공격 가능성과 시스템 및 소프트웨어의 전반적인 보안 위험도 감소한다. 2021년 데브옵스 실태 보고서에 따르면, 뛰어난 수행팀은 사고로부터 회복하는 시간이 6,570배 빨랐다. 기업의 코드 배치 빈도와 리드 타임, CFR 성과가 저조하다면 가용성 확보에 실패했다고 볼 수 있다. 어떤 것을 연습할수록 더 잘 습득한다는 사실을 생각하면, 이해하기 쉽다.

실제로 변화를 꺼려하면서 안정성에 집착하는 기업은 보안 사고 회복력이 가장 취약하다. 보안 사고는 피할 수 없으므로 이는 매우 중요한 사실이다. 


SRE와 데브섹옵스 통합의 이점

SRE와 데브섹옵스가 중첩되는 부분도 있다. SRE는 기본적으로 시스템을 관리하고 문제를 해결하며 작업을 자동화하는 데 소프트웨어를 사용하는 접근 방식이다. 최종 사용자와의 약속을 지키는 것이며 SLI(Service Level Indicator)/SLO(Service Level Objective)와 같은 지표와 관련된 경우가 많다. 

SRE와 데브섹옵스를 결합한 기업은 공통 OKR(Objective and Key Result)을 달성하고 원하는 비즈니스 결과를 달성할 가능성이 훨씬 높다. 소프트웨어 안정성 또는 신뢰성 개선에 집중하는 기업은 보안 문제 해결에 시간도 적게 투입한다. 에이드리언 코크로프트는 SRE와 데브섹옵스 통합을 주장하는 대표적인 인물이다. 코크로프트는 지속적인 탄력성에 대한 아이디어를 근거로 SRE와 데브섹옵스 통합을 제안했다. 

여러 연구 및 조사에 따르면, 소프트웨어 신뢰성 개선 및 데브섹옵스 구현에 집중하는 기업은 신뢰성과 보안을 개선할 수 있다. 많은 기업이 신뢰성과 고객 만족도 극대화를 추구하면서 SDLC 초반부터 보안에 신경 쓰고 보안 기술 부채 감소, 자동화 도입에 집중하고 있다.

신뢰성이 소프트웨어 보안의 전제 조건이라는 주장이 많다. 신뢰할 수 없는 시스템은 안전하지 않지만, 시스템은 얼마든지 안전하지 않은 상태로 제공될 수 있다. 모든 위협에서 완전히 안전한 시스템은 없다. 보안이란 기본적으로 주요 이해관계자가 정의한 일정 허용 수준 안에서 위험을 관리하는 활동이다. 마찬가지로 가용성 및 신뢰성에 대한 모든 우려에서 완벽하게 자유로운 소프트웨어와 시스템은 없다. 즉, 소프트웨어와 시스템은 과거 논의대로 SLO와 SLI에 정의된 수준까지만 신뢰할 수 있다. 

뛰어난 SRE 및 데브옵스 수행팀의 성과와 IBM의 2021년 데이터 유출 비용 보고서의 인사이트를 CFR, MTTR, 신뢰성 측면에서 고려하면 의미하는 바가 명확하다. 전 세계 데이터 유출에 따른 평균 비용은 총 424만 달러이며, 2021년 9월까지 총 데이터 유출 건수는 2020년 전체 건수보다 많다. 데이터 유출 빈도에 가속도가 붙고 있다. 공격과 위험이 증가하는 상황에서 보안 업데이트를 신속하게 배치하고 사고로부터 회복하며 최종 사용자를 위해 신뢰성을 확보하는 능력이 그 어느 때보다 중요하다고 할 수 있다. editor@itworld.co.kr


X