AIㆍML / IT 관리 / 개발자 / 보안 / 클라우드 오피스

데브옵스에도 여전한 보안 사각지대…핵심은 ‘설계 단계의 보안 통합’

David Braue | InfoWorld 2021.08.26
데브옵스(DevOps)가 전 세계 소프트웨어 개발 기업 사이에서 인기를 끌고 있다. 하지만 많은 기업이 여전히 문화적인 문제와 씨름하고 있다. 차세대 클라우드 애플리케이션 개발에 필수적인 데브섹옵스(DevSecOps) 시행 과정에서 보안 담당자의 영향력을 축소하는 것이 대표적이다.
 
ⓒ Getty Images Bank

데브옵스는 도입이 차질 없이 진행될 경우 극적인 변화를 끌어낸다. 최근 깃랩(GitLab)이 개발자 약 4,300여 명을 대상으로 조사해 발표한 2021년 데브섹옵스 설문조사에 따르면, 코로나19 팬데믹으로 인해 최신 데브옵스 기술이 크게 확산한 것으로 나타났다. 여기에는 쿠버네티스(Kubernetes), AI, 머신러닝, 클라우드 컴퓨팅 등이 포함된다.

데브옵스 관련 기술을 도입하면 소프트웨어 개발에 속도가 빨라진다. 깃랩 설문조사에서 개발자의 84%가 어느 때보다 빠르게 새로운 소프트웨어를 출시하고 있으며, 다섯 명 가운데 한 명은 신규 코드를 10배 더 빨리 릴리즈하고 있다고 답했다.


데브섹옵스 도입의 문제점

개발자가 새롭고 더 빠른 개발 프로세스를 선호하는 것은 자연스럽다. 하지만 이 ‘새로운 속도’는 데브섹옵스를 둘러싸고 역설적인 문제를 만들어 냈다. 즉, 보안의 중요성이 그 어느 때보다 커졌지만, 많은 이들이 데브섹옵스를 배포 속도를 늦추는 장애요소로 인식하는 것이다. 깃랩의 보고서는 “지난해 데브옵스가 이러한 기술 도입을 견인하며 성숙해졌지만 진정한 데브섹옵스를 달성하기에 앞서 해결해야 하는 방해물이 여전히 존재한다“고 설명했다.

보안 테스트가 특히 문제다. 응답자 가운데 42%가 개발 프로세스에서 보안 테스트가 너무 늦게 진행된다고 답했으며, 유사한 비율로 보안 취약점을 발견하고 수정하는 데 어려움을 겪고 있는 것으로 나타났다. 보안 전문가 72%는 그럼에도 불구하고 소속 기업이 보안에 “적당한” 혹은 “적극적인” 노력을 기울이고 있다고 대답했다. 지난해 설문조사 결과인 59%에서 개선된 수치다.

누가 보안을 담당해야 하느냐와 같은 문제에 대한 혼란이 남아있는 가운데, 깃랩 보안 부문 부사장 조나단 헌트는 “책임 소재를 명확히 하고 새로운 툴을 도입하려면 개발 과정의 맨 처음부터 보안을 고려해야 한다”라고 조언했다.


데브옵스의 고질적 문제, 데브섹옵스에서도 계속

깃랩의 조사는 지난해 가트너의 예측이 옳았음을 증명했다. 2020년 가트너는 조직적인 학습과 변화와 관련된 기업의 문제가 계속되면서 데브옵스 이니셔티브의 75%가 기대치에 미치지 못할 것이라고 예상한 바 있다.

최근 보안 솔루션 업체 벡트라 AI(Vectra AI)가 317명의 IT 임원을 대상으로 실시한 설문조사 결과도 비슷하다. 이들은 현 상황에서 가장 문제가 되는 이슈를 인지하고 있는 것으로 나타났는데, 응답자의 1/3이 새로운 소프트웨어 버전을 배포하기 전에 공식적인 사인 오프(sign-off)를 하지 않는다고 답했다.

벡트라 AI의 보고서는 조사 대상 기업의 64%가 매주, 혹은 더 자주 새로운 서비스를 배포하고 있지만, 보안에 대한 검토가 부족해 결국 기업 전체의 보안을 위협하게 된다고 지적했다. 기업이 클라우드 플랫폼에 투자를 확대함에 따라 사각지대가 더욱 커지는 것도 경고했다.

벡트라 AI의 보고서는 “클라우드가 너무 대중화되었기 때문에 확신을 가지고 안전한 환경을 설정하는 것은 거의 불가능한 일이 되었다”라며 “더 많은 사용자가 클라우드 환경에 접근할 수 있게 되면서 위험은 기하급수적으로 증가하고 있다”라고 설명했다.

흥미로운 사실은 특정 지역에서는 변화가 더디게 일어난다는 점이다. 퍼펫(Puppet)과 서클CI(CircleCI)가 진행한 2021년 데브옵스 현황 조사(2021 State of Devops Report)에 따르면, 아시아 태평양 지역 응답자의 37%가 소속 기업에서 데브옵스를 발전시키는 데 있어 문화가 방해가 된다고 답했다(전 세계 평균은 47%다). 23%는 기술이 더 문제라고 응답했다.

데브옵스 도입에 있어 문화적인 요소가 걸림돌이 되는 것은 매우 명확한 문제다. 구체적으로는 위험 회피와 불명확한 책임, 흐름 최적화를 우선순위에서 제외하는 것, 불충분한 피드백 루프 등이다. 이 모든 문제가 시간이 흐르면서 누적되고, 결국 많은 기업이 데브옵스를 초기 도입한 상태에서 더 나아가지 못하고 정체돼 버린다.

퍼펫과 서클CI의 보고서는 데브섹옵스라는 개념을 둘러싸고 두 가지로 나뉘는 업계의 의견을 제시했다. 하나는 보안이 개발과 운영을 아우르는 근본적인 것이기 때문에 용어 자체가 존재하면 안 된다는 주장이다. 다른 이들은 소프트웨어 개발 수명 주기의 시작에서부터 보안을 고려해야 한다는 명확한 요구로 이 용어를 해석한다.

퍼펫과 서클CI의 보고서는 “많은 기업이 보안 기능과 소프트웨어 개발 설계 단계가 개발과 운영만큼 동떨어진 것으로 여긴다”라며 “상징적인 명칭은 변화를 끌어내는 강력한 방법이 될 것”이라고 조언했다.

데브옵스가 잘 정착된 기업의 51%는 보안을 필수 조건으로 통합하고 있다. 이 중 소프트웨어 개발 수명 주기 중 설계 단계와 보안을 통합했다고 응답한 기업이 61%, 개발 단계와 통합했다는 응답이 53%, 테스트 단계와 통합했다는 응답이 52%로 집계됐다.

반면 데브옵스가 충분히 정착되지 못한 기업은 보안을 엄격하게 적용하지 않은 것으로 나타났다. 정기적인 제품 점검을 통해 보안에 신경 쓰는 기업이 48%, 제품에서 문제가 발생한 후 점검을 하는 곳은 45%로 조사됐다.

퍼펫과 서클CI의 보고서는 “훌륭한 보안 점검과 더 나은 보안 성과는 데브옵스 도입을 통해 가능하다”라며 “데브옵스 운영이 향상되면 데브섹옵스도 자연스럽게 따라오게 될 것”이라고 분석했다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.